|
Plagegeister aller Art und deren Bekämpfung: I-Worm.SwenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.09.2003, 00:28 | #1 |
| I-Worm.Swen Hallo Rene, da bin ich wieder, habe alles soweit ausgeführt wie du beschrieben hast, bitfender scant noch aber hat auch schon folgendes gefunden: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat275.tmp=>[Subject: undeliverable mail][Date: Sat, 20 Sep 2003 12:57:12 -0600]=>(MIME part)=>(message body) suspect: Exploit.Iframe.Vulnerability C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat275.tmp=>[Subject: undeliverable mail][Date: Sat, 20 Sep 2003 12:57:12 -0600]=>(MIME part)=>aljsh.exe infected: Win32.Swen.A@mm C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat914.tmp=>[Subject: New Net Patch][Date: Sat, 20 Sep 2003 12:45:50 -0600]=>(MIME part)=>Patch.exe infected: Win32.Swen.A@mm C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat917.tmp=>[Subject: ][Date: Sat, 20 Sep 2003 12:45:10 -0600]=>(MIME part)=>upgrade24.exe infected: Win32.Swen.A@mm Was soll ich jetzt tun? Die angezeigten tmp löschen? Hier kommt noch eins hinterher: C:\Programme\The Bat!\MAIL\XXX\Trash\MESSAGES.TBB=>[Subject: New Net Patch][Date: Sat, 20 Sep 2003 12:45:50 -0600]=>(MIME part)=>Patch.exe infected: Win32.Swen.A@mm [ 21. September 2003, 01:53: Beitrag editiert von: seahorse ]
__________________ cu<br />seahorse |
21.09.2003, 00:54 | #2 |
Moderator, a.D. | I-Worm.Swen Normalerweise kann alles, was "tmp" oder "temp" heißt, gelöscht werden. Kenn mich mit Win2000 nicht, würde mich aber wundern, wenn's dort anders wäre.
__________________Und für das, was hinterher kam: Einfach mal bei TheBat den Trash leeren könnte helfen. Kenn mich allerdings auch mit TheBat nicht aus. Bei Mozilla würd ich den Ordner dann noch komprimieren, gibts das bei der Fledermaus auch? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
21.09.2003, 02:10 | #3 |
| I-Worm.Swen Hallo!
__________________</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Leider habe ich mir den Wurm eingefangen</font>[/QUOTE]Nein, keine Sorge, das hast du nicht. Ganz deutlich: der Wurm befindet sich nicht aktiv auf deinem System, sondern allenfalls im Mailarchiv bzw. einem temporären Verzeichnis. Das hat aber mit einer Wurminfektion nichts zu tun! </font><blockquote>Zitat:</font><hr />Glaubt mir, ich versuche seit Stunden, dieses Ding loszuwerden</font>[/QUOTE]Wäre gar nicht nötig gewesen (siehe oben). </font><blockquote>Zitat:</font><hr />Soll ich all diese tmp Dateien löschen? Gruß</font>[/QUOTE]Lösche alle Wurmmails in "TheBat", leere zudem den Papierkorb (Mailprogramm) und die temporären Verzeichnisse. Edit: Das Problem ist mit diesem hier recht gut vergleichbar. Auch damals lag keine Infektion vor. [ 21. September 2003, 03:18: Beitrag editiert von: mmk ] |
21.09.2003, 11:28 | #4 |
| I-Worm.Swen Hallo zusammen, einige von euch werden nicht begeistert sein, aber ich habe zum o.g. Wurm einen neuen Thread aufgemacht, weil der andere schon so lang war. Leider habe ich mir den Wurm eingefangen ~obwohl TheBad entsprechende Mails in Quarantäne legte und sie von mir nicht geöffnet wurden. Vom Mailserver habe ich sie gelöscht. Ich bin meinen PC mit Stinger.exe durch ~ der zeigt nichts an. Das Remove-Tool von hier hatte ich auch erfolglos eingesetzt. Die infizierten Dateien erhöhen sich stetig, jetzt habe ich über 40. Die meisten davon in Win2000 unter C:/Dokumente...Lokale..../Temo.../bat54c.tmp Glaubt mir, ich versuche seit Stunden, dieses Ding loszuwerden, hab im Forum gewühlt (nur mit rein englischen Seiten kann ich nichts anfangen). Wer kann mir bitte weiter helfen? Soll ich all diese tmp Dateien löschen? Gruß seahorse
__________________ cu<br />seahorse |
21.09.2003, 11:43 | #5 |
| I-Worm.Swen hi seahorse </font><blockquote>Zitat:</font><hr /> Die meisten davon in Win2000 unter C:/Dokumente...Lokale..../Temo.../bat54c.tmp </font>[/QUOTE]...ich vermute, du hast dich vertippt,und der Pfad ist ../Temporary Internet Files/bat54c.tmp. Mache bitte folgendes: 1. Abgesicherter Modus+Admin-Login 2. Syst.Steuerung/Internetoptionen/Temporäre I-Net Dateien, dann Cookies & Dateien Löschen. 3. Regedit oder mit JV16/RegCleaner starten , Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches \Compress Old Files Löschen. 4. Datenträgerbereinigung od. Ausführen/cleanmgr eingeben + Enter; alle LW alle Daten vorgeschlagen sind, löschen. 5. Online-Scan von Trendmicro oder Bitdefender einsetzen, Lokaler AV-Wächter abschalten. |
21.09.2003, 13:11 | #6 |
| I-Worm.Swen Hi Markus, also es hört und hört nicht auf. Immer wieder bekomme ich die Meldung, der Virus sei in .../Temp/bat886.tmp. Alle anderen tmp hatte ich einfach im abg. Modus gelöscht. The Bat wurde komprimiert, alle Papierkörbe geleert, abgesicherter Modus etc. ~das volle programm durch. Und trotzdem. Hast du noch einen Tip?
__________________ --> I-Worm.Swen |
21.09.2003, 19:31 | #7 |
| I-Worm.Swen Es geht weiter...ich habe meine Filter bei TheBat entsprechend angepasst, lösche fleissig Mails vom Server und trotzdem kommen immer noch neue Warnungen. Alle Dateien, die mit batXXX.tmp zu tun haben, lösche ich im abgesicherten Modus... Kann ich sonst noch was tun? Es nervt nämlich ganz schön...!?
__________________ cu<br />seahorse |
27.09.2003, 17:08 | #8 |
| I-Worm.Swen Hallo zusammen, bei mir ändert sich leider nichts, immer noch Warnungen wie diese hier: Virus Altert (Kaspersky): C:\Dokumente und Einstellungen \NAME\Lokale Einstellungen\Temp\bat1B4.tmp virusverdächtiger Code: Exploit.IFrame. FileDownload. Mich nervt das mittlerweile doch sehr!!! Das Patch wurde von mir gleich zu Beginn installiert, ich bin jeden Tag mehrfach im abgesicherten Modus um die tmp Datein zu löschen.... Wenn jemand von euch noch einen Rat hätte, wäre ich sehr dankbar!!! @Admin: leider kam ich unter "seahorse" nicht mehr ins Board, nachdem ich meine Addy geändert hatte. Laufe jetzt unter seahorses und der erste Nick kann gelöscht werden ~ danke |
27.09.2003, 18:00 | #9 |
Moderator, a.D. | I-Worm.Swen </font><blockquote>Zitat:</font><hr />Original erstellt von seahorses: Das Patch wurde von mir gleich zu Beginn installiert,...</font>[/QUOTE]Wie jetzt? Der Patch in der Mail? Das ist der Wurm, die Mail kommt nicht von Microsoft! Ich hoffe mal, Du hast Dich hier nur unglücklich ausgedrückt und diesen Patch nicht installiert! Und zum Problem mit dem Scanner: Kannst Du die betreffenden Verzeichnisse nicht vom Scan ausnehmen? Und wenn Du den schon auf dem Server löschst, dürfte da gar nichts bei Dir auf der Platte sein... Vielleicht solltest Du Deinen Filter überdenken. Nochmal zur Info: Der Wurm kommt häufig im Doppelpack, erst der vermeintliche Patch, dann eine Bounce-Message, die den I-Frame-Exploit beim OE ausnutzen will. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
28.09.2003, 07:34 | #10 |
| I-Worm.Swen Moin, habe ähnliches Prob mit Mozilla. Ist es normal das zB der Junk-Ordner(unter c.\dok...\benutzer\anwendungsdaten\... immer weiter anwächst, also die Größe der Datei anwächst. Auch wenn ich die Mails im Junk-Ordner im Mozzi lösche??? Momentan zeigt der Junk-Ordner im Mozzi zB keine Mails an, weil ich sie alle gelöscht hab. Der Ordner selbst ist aber 1, irgendwas MB groß und KAV findet jede Menge Swen´s. So ist es mit allen Ordnern, die reine Größe steigt mit jeder neuen Mail an, wird aber nicht kleiner wenn ich Mails lösche. Das hat zu folge, daß KAV, immerwieder wieder (besonders) über den Junkordner stolpert und Viren in Mails meldet, die ich schon längst gelöscht habe. Das nervt! Easy
__________________ Nice greetings<br />and never forget to<br />"TAKE IT EASY, BABY!!!" |
28.09.2003, 08:04 | #11 |
| I-Worm.Swen </font><blockquote>Zitat:</font><hr />Original erstellt von seahorses: Das Patch wurde von mir gleich zu Beginn installiert,</font>[/QUOTE]Welcher Patch? |
28.09.2003, 08:06 | #12 |
| I-Worm.Swen </font><blockquote>Zitat:</font><hr />Original erstellt von Easy: Ist es normal das zB der Junk-Ordner(unter c.\dok...\benutzer\anwendungsdaten\... immer weiter anwächst, also die Größe der Datei anwächst.</font>[/QUOTE]Hallo! Markiere den Ordner mit einfachem Linksklick, gehe dann in das Menü "Datei", um dort "Ordner komprimieren" auszuwählen. Die Maildatenbanken solltest du übrigens über den KAV-Expertenmodus vom Hintergrundscan ausnehmen. |
28.09.2003, 08:20 | #13 |
| I-Worm.Swen </font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Markiere den Ordner mit einfachem Linksklick, gehe dann in das Menü "Datei", um dort "Ordner komprimieren" auszuwählen. </font>[/QUOTE]Aber sollte denn nicht auch die Datei leer sein, wenn ich die Mails lösche??? Ich dachte da an einen Fehler auf Seiten Mozilla´s? </font><blockquote>Zitat:</font><hr /> Die Maildatenbanken solltest du übrigens über den KAV-Expertenmodus vom Hintergrundscan ausnehmen. </font>[/QUOTE]Aber dann werden Mails gar nicht mehr kontrolliert und Virenmails werden ohne weitere Meldungen auf´n Rechner gelassen, nicht wahr??? (Auch wenn ohne weiteres zutun meinerseits normalerweise nichts passieren kann) Easy
__________________ Nice greetings<br />and never forget to<br />"TAKE IT EASY, BABY!!!" |
28.09.2003, 09:23 | #14 |
| I-Worm.Swen </font><blockquote>Zitat:</font><hr />Original erstellt von Easy: Aber sollte denn nicht auch die Datei leer sein, wenn ich die Mails lösche??? Ich dachte da an einen Fehler auf Seiten Mozilla´s?</font>[/QUOTE]It's not a bug. It's a feature Man sollte in regelmäßigen Abständen einfach bei deaktiviertem Browser die betroffene Ordner-Datei und die korrespondierende msf-Datei löschen und die Ordner-Datei neuanlegen. Bei Junk ist das also die Datei JUNK (ohne Endung), gilt aber ebenso für INBOX usw.. Die jeweiligen msf-Dateien legt dann Mozilla beim nächsten Neustart automatisch wieder an. </font><blockquote>Zitat:</font><hr />Aber dann werden Mails gar nicht mehr kontrolliert und Virenmails werden ohne weitere Meldungen auf´n Rechner gelassen, nicht wahr???</font>[/QUOTE]Nö. Die werden auch weiterhin vom KAV-Monitor erkannt, und zwar spätestens in dem Moment, wo du eine der Mails markierst, um sie zu öffnen. |
28.09.2003, 12:21 | #15 |
| I-Worm.Swen </font><blockquote>Zitat:</font><hr />Original erstellt von IRON: It's not a bug. It's a feature Man sollte in regelmäßigen Abständen einfach bei deaktiviertem Browser die betroffene Ordner-Datei und die korrespondierende msf-Datei löschen und die Ordner-Datei neuanlegen. Bei Junk ist das also die Datei JUNK (ohne Endung), gilt aber ebenso für INBOX usw.. Die jeweiligen msf-Dateien legt dann Mozilla beim nächsten Neustart automatisch wieder an.</font>[/QUOTE]Tolles Feature Beim Junk-Ordner ist das ja noch ok, aber ich kann doch net alle Naselang meine anderen Inbox-Ordner löschen, da liegen schließlich alle Mails drin, die ich auch noch beghalten will. Ok, man könnte als Aufbewahrungsordner evtl nen anderen Ordner erstellen, denn sonst würde KAV ja bei jedem Ordner in dem jemals eine Virenmail gelandet ist, immer wieder Alarm schlagen. Schließlich kann es passieren, daß auch in nem normalen Inboxordner eine Virenmail landet. Also müßte man den Inboxordner jedes MAl löschen, wenn dort mal ne Virenmail gelandet ist. </font><blockquote>Zitat:</font><hr /> Nö. Die werden auch weiterhin vom KAV-Monitor erkannt, und zwar spätestens in dem Moment, wo du eine der Mails markierst, um sie zu öffnen. </font>[/QUOTE]Aber nur, wenn man Textmailformate scannen aktiviert läßt, ansonsten kannst Du machen was Du willst, kannst sogar den ANhang auf HD speichern, erst wenn Du den gespeicherten Anhang im Explorer oder Arbeitsplatz markierst, meldet sich KAV. Und wiederum bei aktiviertem Textmailformaten, stolpert KAV immer über zB den Junkordner , wenn dort jemals Viren drin waren, daß läßt sich dann nur mit dem löschen des Ordners nach Vireneingang verhindern. Find ich umständlich, bei NAV ist ging es doch auch problemlos,daß die Anhänge ohne weiteres neutralisiert wurden und zwar ohne, daß nochmal jemals über den Junkordner, oder welchen auch immer, gestolpert wurde. Was ist bei KAV da so anders??? Easy
__________________ Nice greetings<br />and never forget to<br />"TAKE IT EASY, BABY!!!" |
Themen zu I-Worm.Swen |
angezeigte, ausgeführt, bat, beitrag, dokumente, editiert, einstellungen, folge, folgendes, gefunde, infected, lokale, löschen, mail, message, patch, programme, scan, scant, september, temp, the bat, trash, upgrade, win |