Trojaner-Board - Virus Win32.Polip.A oder P2P-Worm.Win32.Polip.A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus Win32.Polip.A oder P2P-Worm.Win32.Polip.A (https://www.trojaner-board.de/29036-virus-win32-polip-a-p2p-worm-win32-polip-a.html)

Virus Win32.Polip.A oder P2P-Worm.Win32.Polip.A

Hallo leute, seit ein paar tagen hab ich den Virus ''Win32.Polip.A'' auf meinem rechner. Ich hab alles mögliche versucht um es los zu werden: Zwei mal Neuinstalliert, mindestens 20x virenscanner durchlaufen lassen(Kaspersky Anti-Virus)... ich weiß nimmer weiter, wäre seht net wenn ihr mir helfen könntet.

mfg Omid

@TheBigG
angeblich könnte Dir das helfen.
Wenn nein, bitte hier lesen:

Zitat:

Polymorpher Virus fordert die Antivirus-Hersteller heraus

Vor etlichen Jahren waren Viren, die sich bei jeder neuen Infektion selbst veränderten, Alltagsgeschäft für Virenforscher. Inzwischen bestimmen andere Malware-Arten die Tagesordnung. Mit "W32/Polip" ist in der letzten Woche ein neuer Vertreter der Klasse so genannter polymorpher Viren aufgetaucht. Das Testlabor AV-Test (hxxp://www.av-test.de) hat getestet, wie moderne Antivirus-Produkte damit zurecht kommen.

Der Virus ist zugleich auch ein P2P-Wurm, er breitet sich über die Freigaben Gnutella-kompatibler Filesharing-Software wie Bearshare oder Gnucleus aus. W32/Polip infiziert ausführbare Dateien mit den Endungen ".exe" und ".scr" im Windows- und im Programme-Verzeichnis sowie in deren Unterverzeichnissen. Einige der infizierten Dateien sind dann irreparabel beschädigt. Er versteckt sich Arbeitsspeicher, indem er seinen Programm-Code in andere laufende Prozesse injiziert. Außerdem schaltet er vorhandene Sicherheits-Software aus, etwa Virenscanner oder Desktop Firewalls. Es wurden allerdings bislang nur recht wenige Exemplare in freier Wildbahn gesichtet.

Das Problem bei polymorphen Viren ist, dass sie beim Infizieren einer Datei nicht einfach immer denselben Code anhängen, sondern diesen Code ständig verändern. So verwendet W32/Polip zu diesem Zweck eine relativ komplexe Verschlüsselungsroutine. Nur mit ausgeklügelten statischen Signaturen können Virenscanner da etwas ausrichten. Das Nachbilden der Entschlüsselungsroutine ist mutmaßlich zuverlässiger, führt jedoch zu längeren Scan-Zeiten.

Die Virenforscher benötigten meist mehrere Tage, bis sie ihren Produkten eine halbwegs zuverlässige Erkennung mit diesem Virus infizierter Dateien beigebracht hatten. Der russische Hersteller Dr. Web konnte bereits am 21. April mit einer recht guten Erkennungsleistung aufwarten. Grisoft (AVG) und Trend Micro hingegen stellten erst am 26. beziehungsweise 27. April ein Update bereit, mit dem die meisten der infizierten Dateien erkannt werden. Microsoft-Produkte und die Open-Source-Lösung Clam AV finden nach wie vor keine einzige Polip-Infektion.

Nur wenige Scanner erkannten alle knapp 500 infizierten Dateien des Testfelds. Jeder Wert unter 100 Prozent deutet auf Schwächen bei der Erkennung hin - auch 99,8 Prozent. In der Praxis bedeutet dies, dass infizierte Dateien auf der Festplatte verbleiben können, die eine weitere Ausbreitung und Neuinfektion ermöglichen. Eine zuverlässige Reparatur der Dateien ist kaum möglich. Daher sollten infizierte Systeme besser komplett neu aufgesetzt werden.

sorry dass ich das thema noch einmal aufgreife:

gestern habe ich mich durch einen dummen zufall mit polip.A infiziert. Ich habe von einem Freund die Installtions exe von Media Monkey Gold 3.1 bekommen. als ich sie ausführen wollte kamen sofort mehrere Virenmeldungen bei Antivir. Ich verweigerte den Zugriff. Ich recherchierte danach über 2-3 der angezeigten Viren im Internet und fand heraus, dass es bei Mediamonkey nicht ungewöhnlich ist, dass bei Antivir Fehlalarme auftreten. Also führte ich die exe datei noch einmal aus und ignorierte alle meldungen. Dummerweise war die Datei wirklich infiziert, nämlich wie oben beschrieben mit Polipos.A.

Der Virus hat sich mittlerweile schon über beide Partitionen meiner internen Festplatte verbreitet, meine Externe blieb zum GLück verschont, da ich sie früh genug vom Computer trennte.

Durch meine Recherchen bin ich auf 2 Lösungswege gestossen:

1. System bereinigen mit Dr. Web CureIt!
-Alle Dateien aus der Antivir Quarantäne entfernen
-AntiVir ausschalten
-Dr.Web CureIt Scan und Desinfektion ausführen
-Neustarten
-Nochmal scannen

2. PC neu aufsetzen

Da allerdings alle Informationen, die ich zum Thema finden konnte, aus 2005 oder 2006 sind, würde ich gerne mal Fragen ob es vielleicht mittlerweile noch eine andere Möglichkeit gibt, den lästigen Plagegeist loszuwerden, bzw was ihr mir aus heutiger sicht empfehlen würdet, zu tun.
Achja ich habe vorhin noch ein paar Daten gesichert. Ausschliesslich jpg, doc, txt und rar Dateien. Der Virus befällt ja nur exe und com Dateien. Kann ich also sicher sein, dass diese gesicherten Daten virenfrei sind?

Ich benutze WinXP Home Edition auf dem aktuellen Stand.

Meine Recherche Seiten: Win32.Polipos - Removal - HijackThis.de Support Board
w32/regenig - Viren und andere Sicherheitsrisiken - Avira Support Forum

Ich hoffe ihr könnt mich bei dem Problem etwas beraten, ich danke euch jedenfalls jetzt schon,

Es grüsst

Der Shanki