Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: I-Worm.Swen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.09.2003, 00:28   #1
seahorse
 
I-Worm.Swen - Beitrag

I-Worm.Swen



Hallo Rene,

da bin ich wieder, habe alles soweit ausgeführt wie du beschrieben hast, bitfender scant noch aber hat auch schon folgendes gefunden:

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat275.tmp=>[Subject: undeliverable mail][Date: Sat, 20 Sep 2003 12:57:12 -0600]=>(MIME part)=>(message body) suspect: Exploit.Iframe.Vulnerability

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat275.tmp=>[Subject: undeliverable mail][Date: Sat, 20 Sep 2003 12:57:12 -0600]=>(MIME part)=>aljsh.exe infected: Win32.Swen.A@mm

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat914.tmp=>[Subject: New Net Patch][Date: Sat, 20 Sep 2003 12:45:50 -0600]=>(MIME part)=>Patch.exe infected: Win32.Swen.A@mm

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat917.tmp=>[Subject: ][Date: Sat, 20 Sep 2003 12:45:10 -0600]=>(MIME part)=>upgrade24.exe infected: Win32.Swen.A@mm

Was soll ich jetzt tun? Die angezeigten tmp löschen?

Hier kommt noch eins hinterher:

C:\Programme\The Bat!\MAIL\XXX\Trash\MESSAGES.TBB=>[Subject: New Net Patch][Date: Sat, 20 Sep 2003 12:45:50 -0600]=>(MIME part)=>Patch.exe infected: Win32.Swen.A@mm

[ 21. September 2003, 01:53: Beitrag editiert von: seahorse ]
__________________
cu<br />seahorse

Alt 21.09.2003, 00:54   #2
Yopie
Moderator, a.D.
 
I-Worm.Swen - Beitrag

I-Worm.Swen



Normalerweise kann alles, was "tmp" oder "temp" heißt, gelöscht werden. Kenn mich mit Win2000 nicht, würde mich aber wundern, wenn's dort anders wäre.

Und für das, was hinterher kam: Einfach mal bei TheBat den Trash leeren könnte helfen. Kenn mich allerdings auch mit TheBat nicht aus. Bei Mozilla würd ich den Ordner dann noch komprimieren, gibts das bei der Fledermaus auch?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie
__________________


Alt 21.09.2003, 02:10   #3
mmk
 
I-Worm.Swen - Lächeln

I-Worm.Swen



Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse:
Leider habe ich mir den Wurm eingefangen</font>[/QUOTE]Nein, keine Sorge, das hast du nicht. Ganz deutlich: der Wurm befindet sich nicht aktiv auf deinem System, sondern allenfalls im Mailarchiv bzw. einem temporären Verzeichnis. Das hat aber mit einer Wurminfektion nichts zu tun!

</font><blockquote>Zitat:</font><hr />Glaubt mir, ich versuche seit Stunden, dieses Ding loszuwerden</font>[/QUOTE]Wäre gar nicht nötig gewesen (siehe oben).

</font><blockquote>Zitat:</font><hr />Soll ich all diese tmp Dateien löschen?
Gruß</font>[/QUOTE]Lösche alle Wurmmails in "TheBat", leere zudem den Papierkorb (Mailprogramm) und die temporären Verzeichnisse.

Edit: Das Problem ist mit diesem hier recht gut vergleichbar. Auch damals lag keine Infektion vor.

[ 21. September 2003, 03:18: Beitrag editiert von: mmk ]
__________________

Alt 21.09.2003, 11:28   #4
seahorse
 
I-Worm.Swen - Beitrag

I-Worm.Swen



Hallo zusammen,

einige von euch werden nicht begeistert sein, aber ich habe zum o.g. Wurm einen neuen Thread aufgemacht, weil der andere schon so lang war.
Leider habe ich mir den Wurm eingefangen ~obwohl TheBad entsprechende Mails in Quarantäne legte und sie von mir nicht geöffnet wurden. Vom Mailserver habe ich sie gelöscht.
Ich bin meinen PC mit Stinger.exe durch ~ der zeigt nichts an.
Das Remove-Tool von hier hatte ich auch erfolglos eingesetzt. Die infizierten Dateien erhöhen sich stetig, jetzt habe ich über 40.
Die meisten davon in Win2000 unter C:/Dokumente...Lokale..../Temo.../bat54c.tmp

Glaubt mir, ich versuche seit Stunden, dieses Ding loszuwerden, hab im Forum gewühlt (nur mit rein englischen Seiten kann ich nichts anfangen).

Wer kann mir bitte weiter helfen?
Soll ich all diese tmp Dateien löschen?
Gruß
seahorse
__________________
cu<br />seahorse

Alt 21.09.2003, 11:43   #5
Rene-gad
 
I-Worm.Swen - Beitrag

I-Worm.Swen



hi seahorse
</font><blockquote>Zitat:</font><hr />
Die meisten davon in Win2000 unter C:/Dokumente...Lokale..../Temo.../bat54c.tmp
</font>[/QUOTE]...ich vermute, du hast dich vertippt,und der Pfad ist ../Temporary Internet Files/bat54c.tmp.
Mache bitte folgendes:
1. Abgesicherter Modus+Admin-Login
2. Syst.Steuerung/Internetoptionen/Temporäre I-Net Dateien, dann Cookies & Dateien Löschen.
3. Regedit oder mit JV16/RegCleaner starten , Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches
\Compress Old Files Löschen.
4. Datenträgerbereinigung od. Ausführen/cleanmgr eingeben + Enter; alle LW alle Daten vorgeschlagen sind, löschen.
5. Online-Scan von Trendmicro oder Bitdefender einsetzen, Lokaler AV-Wächter abschalten.


Alt 21.09.2003, 13:11   #6
seahorse
 
I-Worm.Swen - Icon19

I-Worm.Swen



Hi Markus,

also es hört und hört nicht auf. Immer wieder bekomme ich die Meldung, der Virus sei in .../Temp/bat886.tmp.
Alle anderen tmp hatte ich einfach im abg. Modus gelöscht.

The Bat wurde komprimiert, alle Papierkörbe geleert, abgesicherter Modus etc. ~das volle programm durch. Und trotzdem.
Hast du noch einen Tip?
__________________
--> I-Worm.Swen

Alt 21.09.2003, 19:31   #7
seahorse
 
I-Worm.Swen - Beitrag

I-Worm.Swen



Es geht weiter...ich habe meine Filter bei TheBat entsprechend angepasst, lösche fleissig Mails vom Server und trotzdem kommen immer noch neue Warnungen.
Alle Dateien, die mit batXXX.tmp zu tun haben, lösche ich im abgesicherten Modus...
Kann ich sonst noch was tun? Es nervt nämlich ganz schön...!?
__________________
cu<br />seahorse

Alt 27.09.2003, 17:08   #8
seahorses
 
I-Worm.Swen - Beitrag

I-Worm.Swen



Hallo zusammen,

bei mir ändert sich leider nichts, immer noch Warnungen wie diese hier:
Virus Altert (Kaspersky): C:\Dokumente und Einstellungen \NAME\Lokale Einstellungen\Temp\bat1B4.tmp
virusverdächtiger Code: Exploit.IFrame. FileDownload.

Mich nervt das mittlerweile doch sehr!!! Das Patch wurde von mir gleich zu Beginn installiert, ich bin jeden Tag mehrfach im abgesicherten Modus um die tmp Datein zu löschen....

Wenn jemand von euch noch einen Rat hätte, wäre ich sehr dankbar!!!

@Admin: leider kam ich unter "seahorse" nicht mehr ins Board, nachdem ich meine Addy geändert hatte.
Laufe jetzt unter seahorses und der erste Nick kann gelöscht werden ~ danke

Alt 27.09.2003, 18:00   #9
Yopie
Moderator, a.D.
 
I-Worm.Swen - Beitrag

I-Worm.Swen



</font><blockquote>Zitat:</font><hr />Original erstellt von seahorses:
Das Patch wurde von mir gleich zu Beginn installiert,...</font>[/QUOTE]Wie jetzt? Der Patch in der Mail? Das ist der Wurm, die Mail kommt nicht von Microsoft! Ich hoffe mal, Du hast Dich hier nur unglücklich ausgedrückt und diesen Patch nicht installiert!

Und zum Problem mit dem Scanner: Kannst Du die betreffenden Verzeichnisse nicht vom Scan ausnehmen?
Und wenn Du den schon auf dem Server löschst, dürfte da gar nichts bei Dir auf der Platte sein... Vielleicht solltest Du Deinen Filter überdenken.

Nochmal zur Info: Der Wurm kommt häufig im Doppelpack, erst der vermeintliche Patch, dann eine Bounce-Message, die den I-Frame-Exploit beim OE ausnutzen will.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 28.09.2003, 07:34   #10
Easy
 
I-Worm.Swen - Beitrag

I-Worm.Swen



Moin,

habe ähnliches Prob mit Mozilla.

Ist es normal das zB der Junk-Ordner(unter c.\dok...\benutzer\anwendungsdaten\... immer weiter anwächst, also die Größe der Datei anwächst.
Auch wenn ich die Mails im Junk-Ordner im Mozzi lösche???
Momentan zeigt der Junk-Ordner im Mozzi zB keine Mails an, weil ich sie alle gelöscht hab.
Der Ordner selbst ist aber 1, irgendwas MB groß
und KAV findet jede Menge Swen´s.
So ist es mit allen Ordnern, die reine Größe steigt mit jeder neuen Mail an, wird aber nicht kleiner wenn ich Mails lösche.

Das hat zu folge, daß KAV, immerwieder wieder (besonders) über den Junkordner stolpert und Viren in Mails meldet, die ich schon längst gelöscht habe. Das nervt!

Easy
__________________
Nice greetings<br />and never forget to<br />"TAKE IT EASY, BABY!!!"

Alt 28.09.2003, 08:04   #11
mmk
 
I-Worm.Swen - Frage

I-Worm.Swen



</font><blockquote>Zitat:</font><hr />Original erstellt von seahorses:
Das Patch wurde von mir gleich zu Beginn installiert,</font>[/QUOTE]Welcher Patch?

Alt 28.09.2003, 08:06   #12
mmk
 
I-Worm.Swen - Idee

I-Worm.Swen



</font><blockquote>Zitat:</font><hr />Original erstellt von Easy:
Ist es normal das zB der Junk-Ordner(unter c.\dok...\benutzer\anwendungsdaten\... immer weiter anwächst, also die Größe der Datei anwächst.</font>[/QUOTE]Hallo!

Markiere den Ordner mit einfachem Linksklick, gehe dann in das Menü "Datei", um dort "Ordner komprimieren" auszuwählen.

Die Maildatenbanken solltest du übrigens über den KAV-Expertenmodus vom Hintergrundscan ausnehmen.

Alt 28.09.2003, 08:20   #13
Easy
 
I-Worm.Swen - Beitrag

I-Worm.Swen



</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:


Markiere den Ordner mit einfachem Linksklick, gehe dann in das Menü "Datei", um dort "Ordner komprimieren" auszuwählen.
</font>[/QUOTE]Aber sollte denn nicht auch die Datei leer sein, wenn ich die Mails lösche???
Ich dachte da an einen Fehler auf Seiten Mozilla´s?

</font><blockquote>Zitat:</font><hr />
Die Maildatenbanken solltest du übrigens über den KAV-Expertenmodus vom Hintergrundscan ausnehmen.
</font>[/QUOTE]Aber dann werden Mails gar nicht mehr kontrolliert und Virenmails werden ohne weitere Meldungen auf´n Rechner gelassen, nicht wahr??? (Auch wenn ohne weiteres zutun meinerseits normalerweise nichts passieren kann)

Easy
__________________
Nice greetings<br />and never forget to<br />"TAKE IT EASY, BABY!!!"

Alt 28.09.2003, 09:23   #14
IRON
 
I-Worm.Swen - Beitrag

I-Worm.Swen



</font><blockquote>Zitat:</font><hr />Original erstellt von Easy:
Aber sollte denn nicht auch die Datei leer sein, wenn ich die Mails lösche???
Ich dachte da an einen Fehler auf Seiten Mozilla´s?
</font>[/QUOTE]It's not a bug. It's a feature
Man sollte in regelmäßigen Abständen einfach bei deaktiviertem Browser die betroffene Ordner-Datei und die korrespondierende msf-Datei löschen und die Ordner-Datei neuanlegen. Bei Junk ist das also die Datei JUNK (ohne Endung), gilt aber ebenso für INBOX usw.. Die jeweiligen msf-Dateien legt dann Mozilla beim nächsten Neustart automatisch wieder an.
</font><blockquote>Zitat:</font><hr />Aber dann werden Mails gar nicht mehr kontrolliert und Virenmails werden ohne weitere Meldungen auf´n Rechner gelassen, nicht wahr???</font>[/QUOTE]Nö. Die werden auch weiterhin vom KAV-Monitor erkannt, und zwar spätestens in dem Moment, wo du eine der Mails markierst, um sie zu öffnen.

Alt 28.09.2003, 12:21   #15
Easy
 
I-Worm.Swen - Beitrag

I-Worm.Swen



</font><blockquote>Zitat:</font><hr />Original erstellt von IRON:

It's not a bug. It's a feature
Man sollte in regelmäßigen Abständen einfach bei deaktiviertem Browser die betroffene Ordner-Datei und die korrespondierende msf-Datei löschen und die Ordner-Datei neuanlegen. Bei Junk ist das also die Datei JUNK (ohne Endung), gilt aber ebenso für INBOX usw.. Die jeweiligen msf-Dateien legt dann Mozilla beim nächsten Neustart automatisch wieder an.</font>[/QUOTE]Tolles Feature
Beim Junk-Ordner ist das ja noch ok, aber ich kann doch net alle Naselang meine anderen Inbox-Ordner löschen, da liegen schließlich alle Mails drin, die ich auch noch beghalten will. Ok, man könnte als Aufbewahrungsordner evtl nen anderen Ordner erstellen, denn sonst würde KAV ja bei jedem Ordner in dem jemals eine Virenmail gelandet ist, immer wieder Alarm schlagen. Schließlich kann es passieren, daß auch in nem normalen Inboxordner eine Virenmail landet.
Also müßte man den Inboxordner jedes MAl löschen, wenn dort mal ne Virenmail gelandet ist.

</font><blockquote>Zitat:</font><hr />
Nö. Die werden auch weiterhin vom KAV-Monitor erkannt, und zwar spätestens in dem Moment, wo du eine der Mails markierst, um sie zu öffnen. </font>[/QUOTE]Aber nur, wenn man Textmailformate scannen aktiviert läßt, ansonsten kannst Du machen was Du willst, kannst sogar den ANhang auf HD speichern, erst wenn Du den gespeicherten Anhang im Explorer oder Arbeitsplatz markierst, meldet sich KAV.
Und wiederum bei aktiviertem Textmailformaten, stolpert KAV immer über zB den Junkordner , wenn dort jemals Viren drin waren, daß läßt sich dann nur mit dem löschen des Ordners nach Vireneingang verhindern.
Find ich umständlich, bei NAV ist ging es doch auch problemlos,daß die Anhänge ohne weiteres neutralisiert wurden und zwar ohne, daß nochmal jemals über den Junkordner, oder welchen auch immer, gestolpert wurde.
Was ist bei KAV da so anders???

Easy
__________________
Nice greetings<br />and never forget to<br />"TAKE IT EASY, BABY!!!"

Antwort

Themen zu I-Worm.Swen
angezeigte, ausgeführt, bat, beitrag, dokumente, editiert, einstellungen, folge, folgendes, gefunde, infected, lokale, löschen, mail, message, patch, programme, scan, scant, september, temp, the bat, trash, upgrade, win




Ähnliche Themen: I-Worm.Swen


  1. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  2. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  3. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  4. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  5. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  6. WORM/Autorun.tca und WORM/TRL.A
    Log-Analyse und Auswertung - 04.12.2008 (0)
  7. Wurmbefall Worm ICRBot 54784.12 oder W32/WHIPSER-B WORM
    Log-Analyse und Auswertung - 22.06.2008 (7)
  8. worm vs. worm beschimpfungen
    Diskussionsforum - 26.03.2008 (2)
  9. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  10. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  11. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  12. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  13. Wurm Swen: Gefahr für Windows Mobile?
    Plagegeister aller Art und deren Bekämpfung - 25.01.2004 (0)
  14. W32.Swen.A@mm - Schon gehabt?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2003 (5)
  15. Swen Runde 2?
    Plagegeister aller Art und deren Bekämpfung - 08.10.2003 (3)
  16. neuer Massen(?)-Wurm mit dem Namen Swen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2003 (33)
  17. W32/Slanper.worm und W32/Warpi.worm.gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2003 (6)

Zum Thema I-Worm.Swen - Hallo Rene, da bin ich wieder, habe alles soweit ausgeführt wie du beschrieben hast, bitfender scant noch aber hat auch schon folgendes gefunden: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\bat275.tmp=&gt;[Subject: undeliverable mail][Date: Sat, - I-Worm.Swen...
Archiv
Du betrachtest: I-Worm.Swen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.