|
Plagegeister aller Art und deren Bekämpfung: Worm-P2P.Spybot.102Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.10.2003, 17:44 | #1 |
Gast | Worm-P2P.Spybot.102 Hallo, ich habe gerade die Updates für TrojanHunter und Spybot heruntergeladen und dann mit TrojanHunter gescannt. Hier das Ergebnis: File scan Found trojan file: C:\AUTOEXEC.BAT (Worm-P2P.Spybot.102) Found trojan file: C:\CONFIG.SYS (Worm-P2P.Spybot.102) Found trojan file: C:\IO.SYS (Worm-P2P.Spybot.102) Found trojan file: C:\MSDOS.SYS (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Adobe\Acrobat 5.0\Reader\plug_ins\Movie\QT3.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Adobe\Acrobat 5.0\Reader\plug_ins\Movie\QT4.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Adobe\Acrobat 6.0\Esl\AiodLite.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Gemeinsame Dateien\InstallShield\Driver\7\Intel 32\objps7.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Gemeinsame Dateien\InstallShield\Engine\6\Intel 32\objectps.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\TTS\1033\spttseng.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Mozilla.org\Firebird\plds4.dll (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\Phoenix\regchrome.exe (Worm-P2P.Spybot.102) Found trojan file: C:\Programme\PowerQuest\Drive Image 5.0\RESCUEME\OS2DOS\MYDOS.SYS (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\ac97ali.sys (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\ac97via.sys (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\ds32gt.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\fpexedll.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\lang\tintsetp.exe (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\mscpx32r.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\odbcp32r.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\ServicePackFiles\i386\stub_fpsrvadm.exe (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\dllcache\oddbse32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\dllcache\odexl32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\dllcache\odfox32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\dllcache\odpdx32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\dllcache\odtext32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\dllcache\spttseng.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\ds32gt.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\mscpx32r.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\odbcp32r.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\oddbse32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\odexl32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\odfox32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\odpdx32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\odtext32.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\system32\vfpodbc.dll (Worm-P2P.Spybot.102) Found trojan file: C:\WINDOWS\Temp\SPF\Wg3n.vxd (Worm-P2P.Spybot.102) 37 trojan files found Handelt es sich um einen Fehlalarm oder hat Spybot tatsächlich einen Wurm übertragen? Mit leichter Unruhe Bernd KAV hat keinen Wurm gefunden! |
10.10.2003, 17:48 | #2 |
Gast | Worm-P2P.Spybot.102 Hat sich erledigt!
__________________http://www.rokop-security.de/board/i...?showtopic=878 |
15.10.2003, 07:31 | #3 |
Doppelaccount | Worm-P2P.Spybot.102mein KAV hat auch diesen WormP2P gefunden. Da ich diesen Text hier kannte habe ich erst abgewartet dann aber nach dem 3. Alarm desinfiziert. Glück auf [img]graemlins/dummguck.gif[/img] Kpt.B. |
15.10.2003, 08:52 | #4 |
| Worm-P2P.Spybot.102 @Kpt.B.: was hast Du genau gemacht???
__________________ Folding@Home-Team 2804 |
15.10.2003, 14:37 | #5 |
Doppelaccount | Worm-P2P.Spybot.102 Hi Hendrik, schlichte Frage aber die Antwort für einen Laien ? Mein erster Fall dieser Art - KAV hat das gemeldet: "Worm.P2P.SpyBot.gen" Aus dem Angebot von KAV habe ich gewählt "desinfizieren und Kopie anlegen". Kopie wollte ich an "SpyBot" schicken als Info. Mail ließ sich nicht mit Anhang senden also Anhang gelöscht und Mail gesendet. Das Ding sitzt jetzt bei Kaspersky in Datei "Infected" und nennt sich "explore.exe", 25.088 Bytes, geändert 24. Juni 2003, versteckt und läßt sich nicht löschen mit Kaspersky. Löschversuch mit NortonUtilities abgebrochen wegen Warnung vor größeren Schäden. Bin eben auf dem Wege in die "Trojaner Giftküche" um Hilfe zu suchen. Sollte ich Unsinn vezapft haben nicht gleich so dolle hauen, putzige Kommentare helfen nicht weiter. Ansonsten frisch drauflos, der Ton bei den "Trojanern" ist mir vertraut.(Ich habe ein gutes Image im Schrank stehen. Das kommt aber als Letztes dran ) Na dann Glück auf, Kpt.B./ WinXPhome SP1 und alle wichtigen M$Updates [ 15. Oktober 2003, 18:05: Beitrag editiert von: Kpt.B. ] |
15.10.2003, 17:31 | #6 |
| Worm-P2P.Spybot.102 Hallo! </font><blockquote>Zitat:</font><hr />Original erstellt von Kpt.B.: KAV hat das gemeldet: "Worm.P2P.SpyBot.gen"</font>[/QUOTE]Das ist dieser hier (und kein Fehlalarm wie hier anfangs im Thread von TrojanHunter): http://www.viruslist.com/eng/viruslist.html?id=60639 </font><blockquote>Zitat:</font><hr />Aus dem Angebot von KAV habe ich gewählt "desinfizieren und Kopie anlegen".</font>[/QUOTE]Desinfizieren lässt sich diese Datei nicht, da es sich bei ihr um die Malware selbst handelt. Somit ist entscheidend, was bei KAV in der Konfiguration für den Fall aktiviert ist, dass keine Desinfektion möglich ist. In der Regel dürfte dies "Löschen" sein. Zudem wurde diese Datei dann aufgrund deiner Wahl in den Quarantäne-Ordner ("Infected") kopiert. Dadurch besteht jedoch kein Grund zur Besorgnis. </font><blockquote>Zitat:</font><hr />Kopie wollte ich an "SpyBot" schicken als Info.</font>[/QUOTE]Achtung, Verwechslungsgefahr! Dieser Wurm hat nichts mit dem Programm "Spybot Search and Destroy" zu tun - er trägt halt nur einen ähnlichen Namen. </font><blockquote>Zitat:</font><hr />Mail ließ sich nicht mit Anhang senden also Anhang gelöscht und Mail gesendet.</font>[/QUOTE]Klar, Kaspersky unterbindet nun jeden Zugriff auf die im Quarantäne-Ordner befindliche Wurm-Datei. </font><blockquote>Zitat:</font><hr />Das Ding sitzt jetzt bei Kaspersky in Datei "Infected" und nennt sich "explore.exe", 25.088 Bytes, geändert 24. Juni 2003, versteckt und läßt sich nicht löschen mit Kaspersky.</font>[/QUOTE]Du musst sie auch nicht löschen. Wie gesagt, das ist das Quarantäne-Verzeichnis. Wenn du möchtest, dass erkannte Dateien gelöscht und nicht in Quarantäne verschoben werden, muss dies in Kaspersky entsprechend konfiguriert werden. </font><blockquote>Zitat:</font><hr />Sollte ich Unsinn vezapft haben nicht gleich so dolle hauen, putzige Kommentare helfen nicht weiter.</font>[/QUOTE]Allenfalls den Download einer ausführbaren Datei (.exe) aus unseriöser Quelle (P2P, Filesharing) würde ich als "Unsinn" bezeichnen. Ansonsten sieht es so aus, als hättest du nochmal Glück gehabt (weil die Datei noch rechtzeitig als Malware erkannt wurde). |
15.10.2003, 18:17 | #7 |
| Worm-P2P.Spybot.102 @mmk ....was für ein geistreicher Name! [img]graemlins/lach.gif[/img] für war, wie klug du bist! [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] mfg.
__________________ fuck the Norton .. |
15.10.2003, 18:37 | #8 |
Gast | Worm-P2P.Spybot.102 </font><blockquote>Zitat:</font><hr />Original erstellt von Doris: @mmk ....was für ein geistreicher Name! [img]graemlins/lach.gif[/img] für war, wie klug du bist! [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] mfg. </font>[/QUOTE]@ Doris "fürwahr" (lt. Duden) wie klug DU doch bist! |
15.10.2003, 18:48 | #9 |
Doppelaccount | Worm-P2P.Spybot.102 Hi mmk, danke für Deinen Text, liest sich gut, ist klar! Ohne rot zu werden kann ich sagen, daß ich keine "unseriösen" Quellen benutze. Bin ein braver DurchschnittsUser [img]smile.gif[/img] Weiß nicht wo ich mir das Ding eingefangen habe, bitte zu bemerken - es erfolgte keine Ausführung. Ende 1. Akt: Wollte den Worm... speichern auf Diskette - wurde verweigert. Dann auf CD gebrannt und doch noch mit Kaspersky erfolgreich gelöscht. Nun sitzt das Teufelchen im Kasten [img]tongue.gif[/img] Kpt.B. |
15.10.2003, 20:03 | #10 |
| Worm-P2P.Spybot.102 Sorry, wenn meine Frage oben irgendwie doof ruebergekommen ist, das sollte sie nicht. Aber Deine Antwort war ja dann in etwa klar. Kannst Du noch nachvollziehen, WO diese infizierte Datei genau lag (Logdatei!). Das könnte Hinweise auf den Ursprung geben. Ansonsten mmk hat ja schon alles wichtige geschrieben. Hast Du dann mal einen kompletten Scan mit KAV gemacht? KAV geupdatet? (75601 Records vom 15 October) Hendrik
__________________ Folding@Home-Team 2804 |
15.10.2003, 21:40 | #11 |
| Worm-P2P.Spybot.102 </font><blockquote>Zitat:</font><hr />Original erstellt von Doris: @mmk ....was für ein geistreicher Name! [img]graemlins/lach.gif[/img] </font>[/QUOTE]Auch wenn es vielleicht auf den ersten Blick nicht so aussieht - der hat schon seinen Sinn. </font><blockquote>Zitat:</font><hr />für war, wie klug du bist! [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/lach.gif[/img] </font>[/QUOTE]Danke für das Kompliment. </font><blockquote>Zitat:</font><hr /> [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] mfg.</font>[/QUOTE]Aua, das tut doch weh! |
15.10.2003, 22:20 | #12 |
| Worm-P2P.Spybot.102 </font><blockquote>Zitat:</font><hr />Original erstellt von Kpt.B.: Ohne rot zu werden kann ich sagen, daß ich keine "unseriösen" Quellen benutze.</font>[/QUOTE]Man muss jedoch z.B. auch eMails als bedenkliche Quelle betrachten - auch hier ist ein Doppelklick auf eine ausführbare Datei, die im Anhang daherkommt, unbedingt zu unterlassen. So gesehen wird jeder also immer wieder mit Dateien aus unseriösen Quellen konfrontiert. </font><blockquote>Zitat:</font><hr /> [img]smile.gif[/img] Weiß nicht wo ich mir das Ding eingefangen habe,</font>[/QUOTE]Was hast du denn gemacht, kurz bevor die Meldung des Kaspersky erschien? Einen Dateianhang einer eMail gespeichert? Einen Downlod über den Browser abgeschlossen? </font><blockquote>Zitat:</font><hr />bitte zu bemerken - es erfolgte keine Ausführung.</font>[/QUOTE]OK, aber KAV meldet sich ja ggf. auch bei anderen Aktionen, spricht beim Abspeichern, Öffnen eines Ordners, in dem sich eine verseuchte Datei befindet, etc. |
16.10.2003, 16:17 | #13 |
Doppelaccount | Worm-P2P.Spybot.102 Na Hallo, vielen Dank für diese Anteilnahme! Leider kann ich wirklich nicht sagen woher dieser Worm - ich saß auf dem Sofa und war über WLAN online (PC steht im Keller). Als ich in den Keller ging zum ausschalten hatten wir den Alarm. Weil ich kurz vorher diesen Thread hier gelesen hatte (s.o.)habe ich das Ding leider nicht ernst genommen :-( und einfach "switch off" Den PC hat es erwischt, das Notebook blieb verschont Mails erhalte ich wenig und Anhänge bekommen eine "Sonderbehandlung" Mein KAV bekommt regelmäßig sein Update (75616) abschließenden Scann durchgeführt - Befund negativ. Nun plagt mich die Neugierde, ich hätte doch zu gerne mal draufgeklickt ganz vorsichtig und nur ein klein wenig Was wäre denn dann passiert?? Kpt.B. PS: Mit meinem jv16 habe ich noch jede Menge Müll entsorgt. [ 16. Oktober 2003, 19:30: Beitrag editiert von: Kpt.B. ] |
24.10.2003, 19:25 | #14 |
Doppelaccount | Worm-P2P.Spybot.102 Na Hallöchen, möchte mir denn niemand sagen was nach dem "Klick" passiert wäre?? Oder weiß das vieleicht garkeiner ?? Kpt.B. |
Themen zu Worm-P2P.Spybot.102 |
.dll, acrobat, adobe, c:\windows, c:\windows\temp, dateien, dllcache, driver, ergebnis, fehlalarm, firebird, hunter, image, intel, microsoft, phoenix, programme, reader, spybot, system, system32, temp, trojanhunter, updates, windows, windows\temp, wurm |