Ich habe einen Sp.exe Trojan.Win32.Spooner.c

#0
11.01.2004, 17:33
Member

Beiträge: 16
#1 Hallo alle zusammen!!!


Ich bitte euch um hilfe es geht um denn Sp.exe Trojan.Win32.Spooner.c kann mir mal bitte einer sagen wie ich denn weg bekomme und wo ich ihn finden kann???
Es währe nett wenn einige Leute hier etwas zu rein Posten könnten.

Mit freundlichen grüssen

descalin
__________
Take it Easy!!!
Dieser Beitrag wurde am 11.01.2004 um 18:21 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
11.01.2004, 18:01
Member

Beiträge: 54
#2 Lade Dir mal den passenden Cleaner herunter:

http://www.rokop-security.de/main/download.php?op=getit&lid=55
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
11.01.2004, 18:24
Member

Themenstarter

Beiträge: 16
#3 Ok ich danke dir Rokop das du mir diesen Link gegeben hast mal sehen ob das Prog etwas hilft wenn es nicht der fall sein sollte melde ich mich nochmals.

Mit freundlichen Grüssen
descalin



Das mit deinem Prog also unter deinem link da meinte er wo ich das gestartet habe das er keinen Spooner finden kann also heist es das er weg ist.Aber da kommt immer wieder ein neues pob zu immer wenn ich meinen Internet Explorer auf mache zeigt mein Kaspersky AntiVir an das der Sp.exe Win32.Spooner.c wieder da ist wo durch kommt das immer wieder????
Bitte um repost.


Mit freundlichen Grüssen
descalin
__________
Take it Easy!!!
Dieser Beitrag wurde am 11.01.2004 um 19:00 Uhr von descalin editiert.
Seitenanfang Seitenende
19.01.2004, 20:33
...neu hier

Beiträge: 4
#4 Hi, ich habe ein Problem: 2 Dateien enthalten den „Trojan.Win32.Spooner-Virus“, was mein Viren-Scanner (Kaspersky) erkannt hat. Die Spoonweg.Exe-Datei kann der Viren-Scanner leider nicht desinfizieren und ich kann die Dateien auch leider nicht löschen. Kann jemand helfen?? Außerdem: weiß jemand, was dieses Virus anrichtet?? Herzlichen Dank!!!

Nachfolgend die infizierten, nicht löschbaren Dateien:

c:\_RESTORE\TEMP\A0061569.CPY
c:\_RESTORE\TEMP\SP.0

Simonis
Seitenanfang Seitenende
19.01.2004, 20:54
Member
Avatar Dafra

Beiträge: 1122
#5 Wahrscheinlich musst du im Task manager den Prozess beenden.
Seitenanfang Seitenende
19.01.2004, 20:59
Member

Beiträge: 45
#6 @simonis
"Die Spoonweg.Exe-Datei kann der Viren-Scanner leider nicht desinfizieren"

wie mein tool desinfizieren ???
das sieht eher so aus wie wenn spoonweg.exe mit einem anderem file gejoint wurde...

woher hast du den die spoonweg.exe ?
gib mir mal die url...dann haben wir das schnell ;)

gruss coder
Dieser Beitrag wurde am 19.01.2004 um 21:01 Uhr von coder editiert.
Seitenanfang Seitenende
19.01.2004, 22:31
Moderator

Beiträge: 7805
#7 @simonis

Das dein AV-Programm diese Dateien nicht loeschen kann, liegt daran, das sie im Systemwiederherstellungsverzeichniss liegt. Dateien die sich dort befinden, sind inaktiv und in dem zustand harmlos. Um sie zu loeschen, musst du den Dosmodus nutzen oder du deaktivierst die Systemwiederherstellung, startest neu und aktivierst sie wieder. Siehe hier: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.01.2004, 21:23
...neu hier

Beiträge: 4
#8 Hallo Dafra, Coder und vor allem Raman,

vielen Dank für eure messages: Der Spooner ist weg!

An Coder: um die Konfusion aufzulösen: ich habe mich in meiner ursprünglichen Nachricht verschrieben: es hätte lauten müssen: "den Spooner-Virus" (statt die "Spoonweg-Exe-Datei) kann mein Scanner leider nicht desinfizieren" - ich hoffe, dass ich dich nicht allzu sehr verwirrt habe!

An Raman:
Deine message war super nützlich: habe das Virus über den Symantec-Tipp eliminiert. Nochmals zur Vergewisserung: "Deaktivieren Sie die Option "Systemwiederherstellung deaktivieren"" bedeutet doch, dass zum Schluss an diesem Hinweis kein (!?) Haken mehr im weißen Kästchen stehen darf, oder.


Außerdem, Raman-Checker, hättest du noch einen Vorschlag, wie ich meinen Sound des PCs wieder aktivieren kann. Die (externen) Lautsprecher sind es nicht, die Buchsen sind auch ok. Gibt es ein paar schnelle Möglichkeiten, was ich zur Aktivierung des Sounds machen könnte (könnte an der Sound-Card liegen, was dann?))

Tausend Dank, Simonis!
Seitenanfang Seitenende
21.01.2004, 21:32
Moderator

Beiträge: 7805
#9 Ja, denke aber daran die Systemwiederherstellng wieder zu aktivieren, sprich mach den "Haken" wieder dran. Mit der Soundkarte kann das mehrere Proleme haben. Ueber Treiber oder Einstellungen( "Ton aus" unter Lautstaerke angehakt), Buchse Defekt Lautsprecher defekt. Funktioniert der "Sound" gar nicht mehr oder nur bei ein paar Anwendungen nicht ( CD-Wiedergabe bringt Musilk?). Sowas ist schwer auszumachen, wenn man nicht selber davor sitzt. Wenn du den Fehler genauer beschreiben, bzw etwas eingrenzen kannst, versuche mal via google der Sache auf den Grund zu gehen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.01.2004, 07:24
Member

Beiträge: 45
#10 @simonis

danke für die antwort ;)
egal egal egal, wurd eh zeit das ich da einen crc check einbaue, hab halt nicht gedacht das es soviel leute mit dem problem gibt.
seit dem 4ten haben nun 4500 leute das tool von meinem server geladen *staun*

hast schon versucht die soundkarte aus den geräten zu löschen und neu installiert ?

gruss coder
Seitenanfang Seitenende
22.01.2004, 13:47
Member

Beiträge: 1095
#11 @raman oder @rokop

Eine Kollegin hat sich auch die sp.exe eingefangen. Surfen war unmöglich danach. Hab den Prozess gekillt und mit Hijack alles geclean.

Das komische ist, wir haben den Virenscanner von GData der sich stündlich updated. Der findet den Virus nicht. Liegt es daran das "nur" ein Hijacker ist und kein Virus.

So das beste zum Schluß. Wir haben zufällig bei der Recherche für das östliche Europa eine Webseite gefunden, die beschreibt den Virus. Dieser verbreitet sich über *.wor und *.tab Dateien. Dies sind Files für MapInfo. Dies ist eine Geographische Software zur digitalen Kartenerstellung. Diese Software enthält außerdem eine eigene Scriptsprache(MapBasic) . Darüber scheint sich der "Virus" auszubreiten.
Leider habe ich den Link nicht mehr. Wäre eh Russisch gewesen. Wollt ihr die sp.exe Datei haben. Ich schick Sie euch gerne
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
22.01.2004, 14:17
Moderator

Beiträge: 7805
#12 Es gibt/gab da mal einen Virus, der das gemacht hat, aber das Risiko sich darueber zu infizieren ist sehr gering, da man selber diese Software installiert haben muss. Die SP(ooner).exe Dateien verbreiten sich wohl wie alle/ die meissten CWS-Variaten, naemlich ueber einen Bug in MS Java Virtual Machine. Eine neuere Version davon wird einem via www.windowsupdate.com angeboten.

In Bezug auf GDATA ist zu sagen, das man nur einmal woechentlich neue Updates bekommt, sofern man nicht fuer den Premium Support bezahlt. Auch kommt es darauf an, mit welcher Engine gescannt wird. Mit der von Kaspersky oder von RAV bzw. Bitdefender. Da Gdata exact die selben Signaturen wie Kaspersky nutzt, wuerde es mich wundern, wenn der Spooner nicht gefunden wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.01.2004, 15:09
Member

Beiträge: 1095
#13 @raman

Wir haben die Client-Server Version gekauft. Damit kann man stündlich nach neuen Updates schauen. (Macht der server alles automatisch.). Bis jetzt war ich superzufrieden. Auf dem unserem Mailserver hat er auch schonmal das Starten einer q.exe verhindert. (Nehme mal an das das eine Variante von Sp(ooner) war.)

Das er die sp.exe aber nicht gehindert hat und vorallem überhaupt nicht findet, erschüttert nun mein Vertrauen arg.
Nun ja, Gott sei dank keine Katastrophe passiert.

Willste die Datei haben??
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
22.01.2004, 15:41
Moderator

Beiträge: 7805
#14 Schicke die Datei mal an virus@protecus.de nur um zu sehen, ob es eine neue Variante ist. Euere Windowsrechner habt ihr aber inzwischen alle aktualisiert, bzw Java deaktiviert?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.01.2004, 16:05
Member

Beiträge: 1095
#15 Mail kommt
sp.exe.vir
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende