Hallo Leute,

ich habe nach nem scan 2 Viren entdeckt.

W32 Jeefo
Wurm/ sober.C1

Ich habe schon das System paar mal neu gestartet und immer wieder ein Virenscan durchgeführt, aber es sind immer wieder ein paar neue infizierte Dateien zu finden.Diese infizieren alle EXE Dateien.Nun weiß ich nicht wie ich die Dinger finden und vernichten kann. Für den Sober hab ich schon das Removal tool für Win32.SoberA-C@mm heruntergeladen und führe es gerade aus. Ist das eventuel das falsche? Danke schon mal für die hilfe.

Hallo Keule,

willkommen an Board.

Fuer den Sober-Wurm empfehle ich Dir einen Blick hierher: Virenwarnungen
Hier findest Du auch Gegenmittel, um diesen Wurm wieder von Deiner Festplatte wegzukriegen. (Infos über Sober.c und Sober C-Mails) und dann empfehle ich Dir einen onlinescan zu machen mit einem dieser Programme: hier

Welche Virenschutzware hast Du denn? Hast Du sie aktualisiert?

Guten Erfolg.

[ 16. Januar 2004, 11:56: Beitrag editiert von: Shadowdance ]

Mit dem Infektor JEEFO/PARITE haben die meisten AV-Programme Probleme.
http://www.bitdefender.com/bd/site/v..._id=1&v_id=137
Unten auf der seite ist ein Desinfektions-Tool verlinkt.
Vorher die Systemwiederherstellung deaktivieren.

Falls die kompl. Entfernung damit auch nicht gelingt, freunde dich schon mal mit der Radikallösung an: Plattmachen.

Um möglicher Unklarheit vorzubeugen:
Jeefo und Parite sind zwei unterschiedliche Bezeichnungen der AV-Hersteller für den gleichen Schädling.

Hallo sPaCeLoRd.

ich habe den W32 Jeefo gerade mal gesucht und beispielsweise im Virenticker vom 04.06.2003 gefunden. Es handelt sich also um einen laengst bekannten Wurm, der von jedem geupdateten Antivirenschutz-Programm entfernt werden kann.

Folglich muessten die OnlineScan-Tools dieser Malware ein Ende bereiten koennen. Ich glaube nicht, dass dieser Wurm Anlass bietet, eine Festplatte platt zu machen?

Was erstmal berichtigt werden muß:
Jeefo und Parite ist nicht der gleiche Schädling, sondern nur sehr ähnlich bzgl. der Schadroutine.

Ansonsten ist es aber so:
Jeefo ist kein Wurm, sondern ein bösartiger Infektor, der alle ausführbaren Dateien auf dem System infizieren kann.
Frag mal User, die schonmal Opfer einer Jeefo-Infektion wurden, wie das so ist mit der einfachen Entfernung.
Desinfektionsversuche sollten möglichst schnell, nachdem der Infektor aktiv geworden ist, erfolgen, da der Zeitfaktor eine Rolle spielt.
D.h. wenn Jeefo über längere Zeit aktiv war, kannst du nicht mal einen Scanner oder ein Desinfektions-Tool starten, weil System zerschossen.

http://www.sophos.de/virusinfo/analyses/w32jeefoa.html
http://securityresponse.symantec.com...w32.jeefo.html

Wenn nun eine gängige AV-Software mit der Deinfektion klar kommt: Gut.

Falls allerdings nicht: Tool anwenden.
http://www.sophos.com/support/disinfection/jeefoa.html

</font><blockquote>Zitat:</font><hr />Jeefo ist kein Wurm, sondern ein bösartiger Infektor, der alle ausführbaren Dateien auf dem System infizieren kann.</font>[/QUOTE]"ein bösartiger Infektor" also, ein Wurm mit Virus - und eventuell Trojanereigenschaften? Einigen wir uns auf den gaengigen Begriff "malware"? Aber wie dem auch sei, Deine Links hatte ich auch gefunden, ich hoffe mal, dass Keule diese Malware entfernen kann.

Keule koennte sich natuerlich auch eine Testversion KAV runterladen und damit sein System scannen. Die befallene Datei dann isolieren und mittels onlinescan KAV entfernen.

</font><blockquote>Zitat:</font><hr /> Die befallene Datei dann isolieren und mittels onlinescan KAV entfernen. </font>[/QUOTE]Sei mir nicht böse, aber lies dir bitte nochmal die Beschreibungen durch.

@ sPaCeLoRd,

schreibst Du im WiW-Forum? Nur mal nachfragt, interessehalber ...

Hallo erst mal danke für den support.

Ich habe erst kürzlich so eine mail erhalten http://www.trojaner-info.de/news/soberc_mails.shtml. Juten Tach... bzw ich sei ein Raubkopierer. Ausserdem habe ich noch ne Mail erhalten wo drin stand " Wenn Du meinst mich beleidigen zu müssen, nur weil ich Dir
ein paar Liebes- Mails geschrieben habe, dann tut es mir Leid.
Hier haste deine blöden zynischen Antworten wieder!
Auf nimmer Wiedersehen .....

Dateianhang: haha_sehr_witzig.bat

Das kuriose ist das die Mail Adresse von meiner Schwester war.


Mittlerweile habe ich diesen wurm eventuell rausgeschmissen, muß es sicherheitshalber noch mal überprüfen, aber was passiert mit W32 Jeefo? Zuerst hatte ich noch Norton Antivirus 2001, der hat Dateien isoliert, aber was nun? Löschen? Ich habe jetzt AVP.

[ 16. Januar 2004, 18:47: Beitrag editiert von: Keule ]

@ Shadowdance
Nein, Chip und gelegentlich Spotlight.
Tut mir leid, wenn das, was ich schrieb, belehrend oder kleinkariert oder...was weiß ich... rüberkam.
Aber man sollte versuchen, den Fragesteller nicht weiter zu verwirren, also...

@ Keule

Sober.C
Du hast also den Mailwurm Sober.C mit Absenderadressse deiner Schwester erhalten.
Das ist erstmal nichts besonderes, denn Sober.C ist weit verbreitet und fälscht Absenderadressen.
http://www.bsi.de/av/vb/soberc.htm
Die entscheidende Frage ist, ob du den Mailanhang geöffnet hast, oder nicht.
Falls ja, war (oder ist) dein System infiziert.
Falls nein: Keine Sober-Infektion durch diese Mail.
Überprüfen kanst du das mit jeder aktuellen AV-Software oder einem Removal-Tool (daß du ja wohl schon angewendet hast).

Jeefo:
Wie schon geschrieben, ist die Frage, wieviele (und welche) Dateien schon von Jeefo infiziert wurden.
Wenn das schon viele waren und auch Systemdateien dabei waren, und diese auch noch teilweise(?) von Norton isoliert wurden, sieht's nicht gut aus.
Solte klar sein, was passiert, wenn Dateien isoliert und gelöscht werden, die Einfluß auf die Lauffähigkeit des Systems haben.
Zunächst dieses Resolve-Tool anwenden, dann weitersehen:
http://www.sophos.com/support/disinfection/jeefoa.html
Herunterladen -&gt; Öffnen -&gt; "Go" klicken

Ich habe jetzt noch ein paar scans gemacht und dabei wurden keine Viren mehr gefunden
Die isolierten dateien hab ich gelöscht. Es waren alles Exe dateien von Programmen, welche man wieder neu installieren kann.