Kennt jemand den Virus W32/Jeefo-A

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.08.2003, 13:36
...neu hier

Beiträge: 4
#1 Gestern habe ich mit erschrecken feststellen müssen, daß mein Rechner mit diesem besagten Virus infiziert ist. WIe lange, das weis ich leider nicht. Läßt sich nicht mehr nach vollziehen.

Interessant ist nur, wie er es auf mein System geschafft hat.
Ich habe schon seit etlichen Monaten den SAV (Sophos Anti Virus) laufen und er hat gute Dienste geleistet. Anfang Juli habe ich das letzte mal auf die damalige Version 3.71 aktualisiert und dann laufend die IDE-Files installiert. Laut Sophos war die Virenerkennung für den W32/Jeefo-A seit dieser Version integriert. Für die älteren Versionen gab es das IDE-File. Demnachch auch diese IDE-File nicht installiert.
Tatsache ist aber, daß die SAV Version 3.71 bei mir diesen Virus nicht erkannt hat und dieser sich auf meinem System breit gemacht hat. Mehrere Hundert EXE-Files (Systemprogramme und andere) sind infiziert!

Ich konnte bis heute keine genaueren Informationen über diesen Virus finden. Ich weiß weder wie er sich ausbreitet (auf andere Rechner - auf meinem Rechner kann ich es selber schön nach vollziehen und das ist auch bei Sophos so erläutert), noch was er für Schaden anrichtet.

Von Sophos habe ich auch noch keine brauchbare Information bekommen, außer den Verweiß auf die Option "Programme desinfizieren" und die Sophos-Homepage für Informationen.
Er läßt sich aber nicht desinfizieren sondern muß angeblich gelöscht werden.
Bei der Menge an EXE-Files, wie bei mir, kommt es aber mit Sicherheit einfacher die Festplatte zu formatieren und ein komplett neues System zu installieren.

Hat jemand von euch Erfahrungen mit diesem Virus gemacht?

Gruß Marco
Seitenanfang Seitenende
20.08.2003, 15:08
Moderator

Beiträge: 7805
#2 Naja, die Sache mit dem Formatieren, akso das System neu aufzusetzen, ist nicht die schlechteste. Aber wenn du es mit Reinigen versuchen moechtest, kannst du es mit einem Onlinescan von Trend, RAV oder Bitdefender versuchen: http://www.rokop-security.de/main/onlinescan.php (VOrher aber den Malwaretask beenden!)

Ein paar Virenbeschreibungen dazu:
http://securityresponse.symantec.com/avcenter/venc/data/w32.jeefo.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_JEEFO.A
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.08.2003, 06:57
...neu hier

Themenstarter

Beiträge: 4
#3 Ich habe gestern eine Reinigung versucht und ich muß sagen, daß es ganz gut mit dem BitDefender geklappt hat.
Bei 4 Dateien hat sich zwar der Explorer verabschiedet (einfach beendet). Diese Verzeichniss habe ich dann beim nächsten Start erstmal ausgelassen. Als alle Fetsplatten durch waren, habe ich die neueste SAV Version und die IDEs für die Vorgängerversion (das werde ich jetzt erstmal immer so machen) installiert und einen Scan laufen lassen. Der hat dann die besagten 4 Dateien auch gefunden. Diese Programme habe ich jetzt einfach gelöscht, da es keine essentiellen Dateien waren.
Achja, den Malwaretask habe ich vor dem BitDefender-Scan mit 'kill9x' bendet und die Einträge aus der Registry genommen.
Jetzt ist mein Rechner wieder clean und die ehemals infizierten Programme funktionieren, soweit ich es jetzt schon überblicken kann, immer noch.

Danke für die Tipps!

Gruß Marco
Seitenanfang Seitenende
23.08.2003, 21:32
...neu hier

Themenstarter

Beiträge: 4
#4 Jetzt muß ich mich nochmal melden.

Leider hat es doch einige Probleme gegeben, die erst jetzt aufgetaucht sind.
Einige EXE-Dateien sind doch defekt, nach der Desinfizierung.
Es hat ausschließlich gepackte Installations-Dateien betroffen, also solche, die mittels Installations Assistent sich selbst entpacken.
Die können nicht mehr ausgeführt werden. Entweder es passiert überhaupt nichts, oder es kommen Fehlermeldungen, daß es sich nicht um gültige win32 Anwendungen handelt.

Mit bereits installieten und entpackten EXE-Dateien gibt es bei mir keine Probleme.
Seitenanfang Seitenende
24.08.2003, 22:46
...neu hier

Beiträge: 1
#5 Mich hat der Virus ebenfalls erwischt habe auch nach infos gesucht was dieser virus anrichtet doch nichts gefunden, ich bin froh auf dieses forum gestoßen zu sein. Ich will den Virus unbedingt los haben da ich öfters auf lans gehe und angst habe andere teilnehmer zu infizieren. Vielen dank für den oberen tipp raman
Seitenanfang Seitenende
05.09.2003, 15:33
Member

Beiträge: 213
Seitenanfang Seitenende
15.10.2003, 17:05
...neu hier

Beiträge: 2
#7 servus
ich hab den virus auch auf meinem pc gehabt und bin dann auf die Seite http://www.sophos.com/support/disinfection/jeefoa.html gelangt. dort kann man sich ein Tool runterladen das diesen virus entfernt. Name: JEEFOGUI. Einfach runterladen und ausführen.
Seitenanfang Seitenende
13.11.2003, 20:04
...neu hier

Beiträge: 2
#8 Hallo,

ich kam heute nach einem Meeting wieder an den Rechner...und nix ging.
Habe dann gesehen, dass (fast) alle .exe Datein gelöscht waren. Aber zusätzlich auch ganze Ordner, in die die Programme installieren.
Da mein Browser ja komischerweise noch ging bin ich beim Stöbern auf diese Seite gekommen.
Das oben genannte Tool hat ( http://www.sophos.com/support/disinfection/jeefoa.html ) KEINE Infektion gefunden!

Auch ich habe Norton Antivirus laufen und habe heute morgen ein Live Update gemacht. (Diese .exe ist natürlich auch weg.)

Ausserdem spinnen jetzt auch andere Dinge, die vom Betriebssystem bereitgestellt werden.(Bei mir XP).
Da die Suche auch nicht mehr geht, ist es gar nicht so einfach die Festplatten nach auffälligen Dateien zu durchforsten.

Ich werde mein System nun definitiv plattmachen und neu installieren.
Die vorgeschlagene Strategie von Symantec kann ja nicht die gelöschten Ordner wieder aus dem Hut zaubern.

Wenn jemand weiss, was ich mir da eingefangen habe...?

Gruß
Seitenanfang Seitenende
13.11.2003, 23:32
Moderator
Avatar joschi

Beiträge: 6466
#9

Zitat

Ich werde nochmal ein Tut schreiben,
wie ich es hin bekommen habe, und es hier veröffentlichen.

Mh, es gibt ca 45.000 bekannte Viren. Der kleine Unterschied zwischen deinem Problem der Beschreibung von Jeefo: Jeefo infiziert Dateien, löscht aber keine.
Möglich ist natürlich, dass ein Virus Dateien löscht und sich zu guter Letzt selbst.
Möglich ist auch, dass Norton-AV das Virus einfach "kennt" !?

War dein Rechner in deiner Abwesenheit gesichert (sofern das nötig ist, kenne deine Umgebung nicht)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.11.2003, 11:48
...neu hier

Beiträge: 2
#10 Hallo,

ich glaube mittlerweile auch, dass es ein anderer Virus war.
Die für w32.jeefo typischen Dateien waren auch nicht zu finden.

Gesichert war der Rechner nicht, aber Manipulation ist auszuschliessen.

Schade nur, dass Norton Antivirus überhaupt nicht angeschlagen hat.
Also, ich mache mir jetzt mal ein paar schöne Stunden und mache eine wunderschöne Neuinstallation. ;-)
Jedenfalls alle Daten kann ich in Ruhe retten.

Wäre aber sehr interessant zu Wissen, was es im Endeffekt war...

Vielen Dank jedenfalls

Gruß
Seitenanfang Seitenende
06.01.2004, 15:03
...neu hier

Beiträge: 1
#11 Hallo An Alle

Habe auch den virus w32 Jeefo

Hat sich bei mir auch in viele exe dsatein reingeschrieben desweiteren hat er sich einen ordner angelegt den ich nicht löschen kann enthalten sind c.a 2gigabyte exe datein.

wenn ich ihn löschen will sagt mein rechner das eine andere person darauf zu greift was nicht möglich ist da es nur eine person am rechner gibt kann mir jemand weiter helfe???
Seitenanfang Seitenende
10.01.2004, 21:29
...neu hier

Beiträge: 1
#12 hallo

ich habe / hatte auch den jeefo drauf.
ich hatte volgende merkmale :
- mehrmalige svhost.exe im taskmaneger
- beim ausschalten dieser hat sich mein rechner nach einigen minutenn gefreezt
- nach neustarts wurde dann die zeit immer kürzer bis schlieslich windows nicht mehr gestartet werden konnte.

ich bin jetzt nach dem 2 neuinstall von windows und bis jetzt hab ich keine anzeichen mehr von dem virus.

das tool "jeefogui" hat mir zwar geholfen, aber wohl nicht richig alle datein bereinigt. wenn einer was besseres hat, und hier ins forum trifft, bitte so schnell wie möglich posten!

mfg filip
Seitenanfang Seitenende
13.01.2004, 22:04
...neu hier

Beiträge: 1
#13 Hallo!
Ich hab mir den Virus leider auch eingefangen und Norton ist es trotz Updates nicht möglich alle Dateien zu entfernen!

Svchost.exe IST EINE KOPIE DES VIRUS>>> LÖSCHEN!!!

Ein paar Dateien können gelöscht werden, aber auf eigene Verantwortung!

Falls jemand ne Idee hat, wie man ihn außer mit den Tool von Sophos wegkriegt, schön posten!

Mfg, Zaza
Seitenanfang Seitenende
13.01.2004, 23:23
Member

Beiträge: 133
#14 Wo steht den deine entarnte svchost.exe: im windows system 32 Ordner oder im Windowsordner ?
Nicht das du fälschlich die Systemdatei löscht!

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
14.01.2004, 15:19
...neu hier

Themenstarter

Beiträge: 4
#15 Ich habe eine ganz lustige Methode gefunden, wie man einzelne befallene Dateien reinigen kann!
Dies funktioniert aber nur zuverlässig auf einem WIN98 System, da hier das System keine svhost im Taskmanager hat. Bei XP etc. kann man den Malwaretask nur schwer bis garnicht erkennen und gezielt beenden.

Nun aber zu meine Methode:

1. mit dem Utility 'kill9x' den Malwaretask beenden
2. nun die infitierte Datei ausführen
3. sofort den 'kill9x' erneut starten, damit die Taskliste aktualisiert wird, und den neuen Malwaretask beenden.
4. Registry-Einträge des Viruses löschen
5. svhost.exe löschen

Das war's!

Zur Erklärung:
Der Virus entpackt beim aufrufen einer infizierten Datei die original Datei und schreibt diese im Ursprungszustand wieder auf die Festplatte unter dem original Namen. Sich selbst schreibt er als svhost.exe auf die Festplatte und macht die Registry-Einträge.
Wenn man nun den Virus-Task gleich beendet, dann kann er keine Dateien neu infizieren. Und die ehemalige Wirtsdatei ist sauber und funktionstüchtig. Wenn man nun noch verhindert, daß beim nächsten Booten, der Virus automatisch geladen wird (svhost.exe löschen!), dann kann man so sein System vom Virus befreien.

Gruß Marco
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: