Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32.Sobig.A@mm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.01.2003, 09:27   #1
Aelita
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Hi - ich bekam heute eine Mail, deren Anhang "sample.pif" der NAV sofort isolierte. Schaute nach - es war der W32.Sobig.A@mm Virus.
In den Eigenschaften der Mail konnte man, die IP-Adresse des Absenders big@boss.com sehen 145.253.176.2. - siehe auch unten.
Diese habe ich mit geeigneter Software zurückverfolgt und kam zur Firma icido Gmbh Stuttgart - ist diese nun der Verursacher? Steht diese Firma hinter big@boss? Habe leider keine Erfahrung in solchen Dingen, aber langsam stinkts mir.
Gruß Aelita
_______
X-Envelope-From: <big@boss.com>
X-Envelope-To: <mail@a-elita.de>
X-Delivery-Time: 1043136045
Received: from BLUBIDO (anubis.icido.de [145.253.176.2])
by mailin.webmailer.de (8.9.3/8.8.7) with ESMTP id JAA19171
for <mail@a-elita.de>; Tue, 21 Jan 2003 09:00:45 +0100 (MET)
From: big@boss.com
Message-Id: <200301210800.JAA19171@mailin.webmailer.de>
To: <mail@a-elita.de>
Subject: Re: Movies
Date: Tue, 21 Jan 2003 9:04:27 +0100
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_000E9863"

_________________

[ 21. Januar 2003, 10:28: Beitrag editiert von: Aelita ]
__________________
ich signiere niemals - ich unterschreib lieber: xxx

Alt 21.01.2003, 09:36   #2
LonesomWolf
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



</font><blockquote>Zitat:</font><hr />Original erstellt von Aelita:
....und kam zur Firma icido Gmbh Stuttgart - ist diese nun der Verursacher? Steht diese Firma hinter big@boss?
.
</font>[/QUOTE]...........wohl kaum. Entweder wird nur deren Adresse benutzt oder ihr System ist mit dem Virus infiziert.
Wenn Du weiß wer es ist hast Du ja wohl auch die Kontaktadresse von deren Admin. Schreib ihm doch mal ein freundliche Mail oder ruf ihn an und mache ihn auf diese Sache aufmerksam. Wahrscheinlich weiß er noch nicht mal dass sein System mißbraucht wird.

Cu.

[ 21. Januar 2003, 10:37: Beitrag editiert von: LonesomWolf ]
__________________


Alt 21.01.2003, 09:39   #3
fish
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Hi Aelita..

hier findest Du eine Beschreibung von W32/Sobig.A

und hier bei Rokop-Security kannst Du das Removal-Tool von Bitdefender herunterladen.

(Editas Prob ist der Wurm liest sich die E-mail-Adressen aus einem infizierten PC aus und versendet sich automatisch aber auch willkürlich weiter, der Absender dieser Firma ist wie Lonesome Wolf schon sagt eher selbst infiziert .. Edit-ende

greetz fish

[ 21. Januar 2003, 10:45: Beitrag editiert von: fish ]
__________________
__________________

Alt 21.01.2003, 09:45   #4
Aelita
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Danke - ich schrieb schon nach Stuttgart - mal sehen. Und ein revomaltool brauch ich sicher nicht - er ist isoliert. Die Datei Winmgm32.exe an der man eine Infizierung erkennen soll gibts auch nicht auf meiner Platte. Glück gehabt.
Aber wie soll meine email-addi in die Adressdateien einer solchen firma kommen? hm - sehr mysteriös. Gruß Aelita

[ 21. Januar 2003, 10:47: Beitrag editiert von: Aelita ]
__________________
ich signiere niemals - ich unterschreib lieber: xxx

Alt 21.01.2003, 09:48   #5
n_dot_force
Gast
 
W32.Sobig.A@mm - Pfeil

W32.Sobig.A@mm



hier ist eine detailierte info über sobig (in englisch):
http://www.viruslist.com/eng/viruslist.html?id=58906

[edit]
ok... a little 2 late... (ich sollte doch nicht gleichzeitig kernel-kompilieren und posten *g*)
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 21. Januar 2003, 10:50: Beitrag editiert von: n_dot_force ]


Alt 21.01.2003, 09:52   #6
Lucky
/// Helfer-Team
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Hmm ich denke, das einer deine Mail auf dem System hat, der auch infiziert ist. Da der Virus die Adressen "sammelt" sag ich mal, kombiniert der einfach. Manchmal ist es auch so, das man einfach per Zufall eine Mail erhält.
__________________
--> W32.Sobig.A@mm

Alt 21.01.2003, 09:59   #7
fish
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Hi Aelita,

an e-mail-Adressen zu kommen ist heute leider nicht mehr sooo schwierig.. z.B. Versandhäuser, Newsletter, E-bay ... oder einfach auch bei irgendwelchen Bekannten.
Sobald Du in dem Adressbuch von jemandem oder einer Firma landest und dieser PC dann infiziert wird, ist es oft ein Merkmal der Würmer diese Daten auszulesen und zu verwenden, zum einen als Adresse .. aber leider auch wie bei Klez passiert, dann genauso willkürlich als gefälschte Absenderadresse.

fish

(edit- sorry... die Grammatik und ich [img]graemlins/crazy.gif[/img] edit-ende)

[ 21. Januar 2003, 11:01: Beitrag editiert von: fish ]
__________________
Die Zukunft hat viele Namen: Für die Schwachen ist sie das Unerreichbare, für die Furchtsamen ist sie das Unbekannte, für die Tapferen ist sie die Chance.(Victor Hugo)

Alt 21.01.2003, 10:10   #8
Lutz
 

W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



</font><blockquote>Zitat:</font><hr />Original erstellt von Aelita:
...
X-Envelope-To: &lt;mail@a-elita.de&gt;...
</font>[/QUOTE]Hallo Aelita,

ist aelita.de deine Webseite und hast Du dort irgendwo die mail-adresse mail@a-elita.de hinterlegt??
Dann braucht also "nur" jemand infiziertes mal deine Seite besucht haben, oder dich sogar im mail-adress-buch gespeichert haben und schon ist's passiert.
Die Fa. Icido ist wohl wirklich eher Opfer denn Täter. Wobei man durchaus der Meinung sain kann, das ungeschütztes surfen&mailen auch eine gewisse Mitverantwortlichkeit mit sich bringt. Aber die Adresse big@boss.com ist definitiv ein Fake und uns im Betrieb schon von diversesten Mailclients untergekommen. Am besten alles was von big@boss.com kommt gleich auf dem Server löschen...

tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 21.01.2003, 13:03   #9
Yopie
Moderator, a.D.
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Hab letztens auch den Sobig bekommen, Absende-IP war das Rechenzentrum meiner Uni. Die haben sich nett bedankt für meine Nachricht und den Wurm aus ihrem Netz verbannt.

</font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk:
Hallo Aelita,

ist aelita.de deine Webseite ... ?
</font>[/QUOTE]Klick mal auf das Häuschen bei ihrem Posting. [img]tongue.gif[/img]

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 21.01.2003, 13:17   #10
fish
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Hab letztens auch den Sobig bekommen, Absende-IP war das Rechenzentrum meiner Uni. Die haben sich nett bedankt für meine Nachricht und den Wurm aus ihrem Netz verbannt.
</font>[/QUOTE]Hi Yopie.. [img]smile.gif[/img]

das mit dem Rechenzentrum der Uni find ich interessant.. - als ich nämlich das erste Mal nach diesem Wurm geguckt hab, bzw. wo der wohl auftaucht fand ich ohne Ende Meldungen verschiedener Camp.. -usse (?).. -i (?) (wie heißt bloß der Plural ) in den USA verteilt, Australien und NewZealand.. - als wenn er sie sich da durch die Adressbücher aller Studenten gelesen hätte

fish
__________________
Die Zukunft hat viele Namen: Für die Schwachen ist sie das Unerreichbare, für die Furchtsamen ist sie das Unbekannte, für die Tapferen ist sie die Chance.(Victor Hugo)

Alt 21.01.2003, 22:01   #11
Lutz
 

W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Klick mal auf das Häuschen bei ihrem Posting. [img]tongue.gif[/img] </font>[/QUOTE]@Yopie:
OK - sagen wir, meine Frage war eher rethorischer Natur...

tschööö,
DerBilk [img]graemlins/daumenhoch.gif[/img]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 22.01.2003, 15:56   #12
Aelita
 
W32.Sobig.A@mm - Pfeil

W32.Sobig.A@mm



Vielen Dank für Eure Postings. [img]graemlins/heulen.gif[/img] Ja - ihr habts gesehen - hab gestern meine Seite vollkommen vom Server gelöscht. Nun arbeite ich mit Hochdruck - soweit es Mr. Parkinson zulässt - am neuen Layout. Wär nett wenn Ihr dann mal vorbeischauen würdet. Gibt auch Spiele dort, nicht so clevere wie dieses hier, aber auch nicht zu verachten. Einsteinrätsel ist ebenfalls nicht schlecht.
Nun diese Firma, die mir den Virus schickte, hat noch nicht geantwortet - das wiederum find ich nicht so nett.
Gruß AELITA

[ 22. Januar 2003, 17:25: Beitrag editiert von: Aelita ]
__________________
ich signiere niemals - ich unterschreib lieber: xxx

Alt 28.01.2003, 09:48   #13
scherzbold.de
 
W32.Sobig.A@mm - Icon24

W32.Sobig.A@mm



Tja ich habe mir diesem Wurm auch so meine Probleme. Zuerst einmal das, was mein Virenscanner, Norton Antivirus 2003 etwa jede 30 Sekunden findet und löscht und was immer wieder da ist und auch nach einer kompletten Durchsuchung der Festplatte nicht aufspürbar ist:

Quelle: C:\DOKUME~1\Holger\LOKALE~1\Temp\CC148.tmp
Klicken Sie hier, um weitere Informationen über diesen Virus zu erhalten: W32.Sobig.A@mm.enc

Wobei es scheint als wenn die tmp datei immer zunimmt, also als nächstes müsste er den wurm in cc149 finden.

Ich habe schon alles versucht dieses ding los zu werden weil alleine die Warnmeldungen lassen einen ja schon nicht mehr arbeiten, da frage ich mich was schlimmer ist.

Mit besten Grüßen
Holger
__________________
Scherzbold.de deutschlands größte Scherz und Fun Seite

Alt 28.01.2003, 10:35   #14
LonesomWolf
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



Vielleicht solltest Du dann "Herrn Norton" mal auf die Sprüge helfen.
Such doch einfach mal selber nach folgenden Registry Einträgen:

Es werden die Kopien WINMGM32.EXE und SNTMLS.DAT im Windowsordner generiert und
folgende Schlüssel in der Registrierung erstellt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = C:\WINDOWS\winmgm32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = C:\WINDOWS\winmgm32.exe

[ 28. Januar 2003, 11:36: Beitrag editiert von: LonesomWolf ]

Alt 28.01.2003, 11:13   #15
scherzbold.de
 
W32.Sobig.A@mm - Beitrag

W32.Sobig.A@mm



na ich bin ja mal gespannt ob das helfen könnte.
Nur wenn das nen wurm ist wieso wird der dann nicht erkennt, und zwar weder von norton noch von dem angeblichen suchprogramm hier weiter oben im treat
__________________
Scherzbold.de deutschlands größte Scherz und Fun Seite

Antwort

Themen zu W32.Sobig.A@mm
anhang, beitrag, dinge, editiert, eigenschaften, email, erfahrung, express, firma, heute, ip-adresse, januar, konnte, langsam, mail, microsoft, outlook, outlook express, schaf, sofort, software, verursacher



Ähnliche Themen: W32.Sobig.A@mm


  1. W32.Sobig.F@mm
    Plagegeister aller Art und deren Bekämpfung - 03.03.2004 (1)
  2. Bitte dringend Hilfe! (Klez.h; Sobig.a; Hybris.b)
    Plagegeister aller Art und deren Bekämpfung - 06.12.2003 (16)
  3. Sobig.F und DDoS
    Plagegeister aller Art und deren Bekämpfung - 26.09.2003 (0)
  4. Dieser bescheuerte Sobig.F wurm....
    Plagegeister aller Art und deren Bekämpfung - 05.09.2003 (68)
  5. Sobig updated sich
    Plagegeister aller Art und deren Bekämpfung - 25.08.2003 (6)
  6. I-Worm.sobig.gen
    Plagegeister aller Art und deren Bekämpfung - 11.07.2003 (15)
  7. Würmer ohne Ende.... (Sobig, Tanatos.b)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2003 (41)
  8. W32.Sobig.B@mm mit AntiVir löschen!?
    Plagegeister aller Art und deren Bekämpfung - 05.06.2003 (4)
  9. W32.Sobig.A@mm.enc
    Plagegeister aller Art und deren Bekämpfung - 27.04.2003 (4)
  10. W32.Sobig.A@mm und Norton Antivirus bzw. Outlook
    Archiv - 27.01.2003 (2)

Zum Thema W32.Sobig.A@mm - Hi - ich bekam heute eine Mail, deren Anhang "sample.pif" der NAV sofort isolierte. Schaute nach - es war der W32.Sobig.A@mm Virus. In den Eigenschaften der Mail konnte man, die - W32.Sobig.A@mm...
Archiv
Du betrachtest: W32.Sobig.A@mm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.