Hallo
ich hatte den Wurm Steph auf meinem PC (WinXP). Habe den Autostarteintrag und alle Dateien gelöscht die mir AntiVir PE gemeldet hat.
(Habe heute die Virensoftware geupdatet und dann gleich den Wurm gefunden.)
Der dürfte so ungefähr 1-2 Wochen unbemerkt bei mir mitgelaufen sein. (Als Datei "Directxset.exe" im Sytem32 Ordner.)
Weiß jemand bescheid was der so auf einem System vielleicht anstellt oder verändert hat? Habe bei Google und auch hier zu dem Wurm nichts gefunden was der so macht.
Kann mir jemand helfen?

Danke
ratt

Hallo,
ich habe zwei Möglichkeiten gefunden.
Entweder handelt es sich um SirCam (sirc32.) oder eine BadTrans-Variante.
Den Verweis auf BadTrans halte ich für plausibler.
zu SirCam: www.bsi.de/av/vb/sircam.htm
zu BadTransB: www.bsi.de/av/vb/badtransb.htm .
Du solltest aber mal probeweise dein AntiVir-Monitor deaktivieren und die Trial-Version AVK12 von GData oder KAV von Kaspersky über dein System laufen lassen, um eine vernünftige Meldung zu bekommen.

Edit/ Kann auch ein Macro-Virus sein: http://vil.nai.com/vil/content/v_9612.htm /Edit
nochmal Edit/ ist aber ziemlich sicher Badtrans. Hier nochmal ein Link: http://www.jakobsoftware.de/Avg/vir_badtrans.htm /Edit

Gruß
Der Hirsch

[ 05. März 2003, 03:32: Beitrag editiert von: Der Hirsch ]

Hallo,
danke Hirsch für deine Mühe, aber irgendwie passen die Würmer in deinen Links nicht so auf meinen Würm.
Noch ein paar Infos: Ich habe ihn mir über Kazaa eingefangen. Der Wurm hat den "Windows\System32" Ordner für Kazaa freigegeben und dort den Ordner Setup32 erstellt. Darin waren auch schon 27 versch. Exe Dateien, alle mit der größe von 369kb (alles Worm/Steph). Ebenso eine Textdatei Namens reathisworld.txt und darin stand:"Steph.With nice brown eyes .. 4 ever".
Die eigentliche Wurm Exe hieß "Directxset.exe" im Sytem32 Ordner und er war auch im Autostart in der Registry eingetragen.
Nun ist er ja entfernt (hoffe ich). Wollte nur wissen was der so anstellt, aber wahrscheinlich ist er eher harmlos oder noch sehr unbekannt wie dieser link beweist.
http://www.free-av.de/cgi-bin/ubb/ul...&f=12&t=001550
Habe aber vorsichtshalber mal alle Passwörter bei mir geändert.
Jedenfalls nochmal Danke!

ratt

wenn man mcafee[1] und panda[2] richtig interpretiert, dann ist das hauptziel von steph die selbstverbreitung.

die chance, mit steph infiziert zu werden, ist extrem gering (es ist ein zweitrangiger p2p-worm ).

viel interessanter ist aber, wann du das letzte mal deine av-software upgedatet hast, den avg z.b. hat die signatur für den wurm steph (es gibt auch noch einen uralt-macrovirus namens steph) seit september drinnen, und avg ist nicht gerade wegen guter scanleistungen bekannt...

...und wenn du regelmässig updatest, dann solltest du angesichts dessen, dass andere av's schon seit september einen schutz anbieten, nachdenklich werden!

du solltest dir einen vernünftigen av-schutz besorgen, und dieser ist nicht kostenlos (falls dir jetzt norton av einfällt, dann beachte bitte, das ich das wort _vernünftig_ verwendet habe *g*)

als empfehlung wird dir jeder kaspersky antivirus (kav)[3] nennen (kaspersky hat eine sehr gute scanleistung in den bereichen viren, würmer _und_ trojaner), oder eine kombination von nod32[4] mit einem trojanerscanner (nod32 ist noch besser als kaspersky, deckt aber den bereich trojaner nicht genügend ab, darum ein extra trojanerscanner).

lade dir die testversionen runter und probier diese aus (beide haben eine beschränkte laufzeit, wie das so bei testversionen halt üblich ist *g*).

wichtig hierbei ist, dass nur 1 virenscanner aktiv sein sollte (also alles von free-av deaktivieren).

sollte dir trotz meiner plädierungen die norton-produktreihe vorschweben, dann lies bitte diskussionen wie diesen durch (und vor allem die links zu scheinsicherheit!):
http://www.trojaner-board.de/forum/u...;f=17;t=000576

für weitere pro's und kontra's benutze einfach die suchmaschine, die stichwörter nav und kav werden dir weiterhelfen...

[img]graemlins/teufel3.gif[/img]

[1] http://vil.nai.com/vil/content/v_100098.htm
[2] http://www.pandasoftware.com/virus_i...?idvirus=38436
[3] http://www.datsec.de/
[4] http://www.nod32.de/

[ 06. März 2003, 03:45: Beitrag editiert von: n_dot_force ]

Hallo ratt!
Kann es sein, dass es sich um den Virus "W97M.Steph.A" handelt? Denn der wird
wirklich auf den meisten Seiten als "harmlos" bezeichnet. Ich glaube, dass Schlimmste ist - wenn man sich einen Virus einfängt, dass es ein unbekannter ist. Ich denke, du kannst beruhigt sein, wenn man im Internet nicht soviel dazu findet, wird er auch harmlos (gewesen) sein.

hel [img]graemlins/daumenhoch.gif[/img]

Hallo,
@hel
es gibt wahrscheinlich einen Steph und einen Steph.A.,weiß nicht genau welchen ich hatte. Aber beide sind glaub ich eher harmlos.

@n_dot_force
danke für deine Auskunft. Vielleicht kauf ich mir einen Virenscanner. Der Antivir ist wohl nicht immer auf dem laufendem. Habe mitte Feb. erst geupdatet und da hat er nichts gefunden. Anfang März wieder geupdatet und da hat er dann gleich den Wurm gemeldet. Wie du gesagt hast war Steph bei anderen Virenscanner schon seit Sept. drinnen.(macht mich schon nachdenklich).

cu
ratt