Win32.Polipos - Removal

[SigiZ]

Habe zufällig Eure Diskussion entdeckt. Die Entdeckung mit der pft??.tmp Datei stammt von mir. Der Wurm legt darin eine saubere Kopie der Original Datei an, die er dann ausführt und nach Beenden des Programms wieder löscht. Habe die Info an Doctor Web gepostet, der auch prompt mehr infizierte Dateien angefordert und innerhalb von 2 Tagen eine Desinfektionsroutine entwickelt hat. Eine Woche lang bin ich sämtlichen Antivirenprogramm Herstellern auf die Nerven gegangen und habe gewarnt. Es it erschütternd, wie ignorant reagiert wurde. Zu guter letzt habe ich mich an die CT gewendet. Den Rest kennt ihr, steht jetzt überall in den Medien.

Ein Tipp:
Wenn ihr desinfizieren wollt, schaltet solange die Antivirenprogramme ab. Sonst heisst es ständig: klick mich klick mich, weil jeder den virus entdeckt haben will. so kann man nicht arbeiten.

Einen Speicherprozess kann man nicht löschen. Der wird durch die Winlogon.scr (auch eine exe) bei Anmeldung bei Windows ausgeführt. Hier wird nur der Wurm aktiviert. CureIT in jedem Falle 2 mal ausführen. Einmal beim Starten der Quickscan, danach manuell die Festplatten anwählen, komplett abscannen lassen und alles desinfizieren. kann gut und gern 20 minuten und länger dauern (pro platte).

Der Thread, den Ihr oben erwähnt habt, befindet sich im Avira Forum hier:

http://forum.antivir-pe.de/thread.php?threadid=6749

habe mir da schon die finger wundgepostet.

also viel spaß und erfolg bei der virenjagd!

[Ruby]

-w-O-w- ....

DAS liest sich ja spannend @ SigiZ - ein Abendkrimi,
herzlichen Dank für den Link.

Bei euch war ich nicht. Ich habs woanders gelesen, nicht fragen, ich hab an dem Tag nur alle Foren abgegrast, in der ganzen Welt, auf der Suche nach diesem Virus. Ich hatte mir eingebildet, dass ich alle URLs gespeichert hätte, hab ich aber nicht. Auf jeden Fall spannend. Vielen Dank auch für deine sehr detaillierte Information

[Sven]

Hallo,
mein Rechner wurde auch von diesen Virus Win32.Polipos infiziert. Bemerkbar wurde er auf meinem Rechner dadurch, das unten rechts auf dem Bildschirm der Taskleisteninfobereich wie wild immer auf und zu ging. Bei offenen Programmen gab es erhebliche Störungen. Sie wurden selbstständig und machten was sie wollten, so zum Beispiel das Programm von Windows XP das zur Bildanzeige dient. Die Bilder wechselten von selbst usw. Heruntergefahren ist mein Rechner nicht von allein. Als Virenprogramm hab ich avast! 4.7 Home Edition auf dem Rechner, das mir den Virus aber erst garnicht angezeigt hatte. Erst nach ein paar Tagen nach einem Update wurde der Virus Win32.Polipos auf meinem Rechner gefunden. So richtig entfernen ging aber nicht mit dem Virenprogramm. Dann bin ich hier im Netz zum Glück auf das Programm Dr.Web Scanner gestoßen. Der Virus wurde sofort gefunden und ich habe alle EXE-Dateien desinfizieren lassen. Meine 4 Festplatten waren alle infiziert. Der Scan aller Platten hat über 10 Stunden gedauert (da viele Daten vorhanden). Soweit sogut, nach mehrmaligen Neustart und nochmaligen Checken mit Dr.Web wurden auch keine infizierte Dateien mehr gefunden. Welche Aufgabe hat eigentlich die Datei nvsvx.exe? Das war eine laufende Anwendung die ebenfalls 'verseucht' war und von Dr.Web erst nach Neustart des Rechners desinfiziert werden konnte! Was noch geändert wurde ist dieses Programm winlogon.exe oder wie es heißt. Beim Windows-Start hab ich jetzt nicht mehr das Standardfenster zum anmelden sondern nen schwarzen Bildschirm mit einem kleinen Windowsfenster zur Anmeldung. Kann man das irgendwie ändern bzw. Rückgängig machen?

Gruss Sven D.

[SigiZ]

Hi Sven,

die Datei ist wohl Teil der Nvidia Grafikartentreiber. Der Startbildschirm, den Du beschreibst ist der, den man erhält, wenn man in den Systemeigenschaften->Erweitert->Systemleistung den Button - Für optimale Leistung anpassen - auswählt. Möglicherweise ist Dein Grafiksystem durch die Infektion etwas aus dem Tritt gekommen. Versuch es erst mal mit dem Herumspielen hier an dieser Stelle. Wenn das nichts hilft, installiere den Grafikkartentreiber neu und versuch es noch mal mit den Buttons. Hilft das alles nichts, installiere ausserdem Servicepack 2 neu.... Würde ich aber zuletzt machen, sonst muss man wieder so viele Updates laden

[Mimo]

nach 3 Tagen herumgeärgere mit Win32.polipos ist er endlich entfernt worden.

Ich folgendermassen vorgegangen:
- Systemwiederherstellung abgeschaltet (das war ein Hinweis aus einem russischen Forum, ich weiss nicht ob das wirklich nötig ist, bei ging es aber erst nachdem ich das gemacht habe)

- Free AV (http://www.free-av.de/) abgeschaltet. Das startet schon in der Bootphase von Windows und gab eine reihe von Warnungen raus. Diese musste ich ignorieren. Also die betroffene Datei nicht sperren lassen, da sonst CureIt von Dr. Web diese Dateien nicht desinfizieren kann. Das war der Fehler, den ich davor gemacht hat. Es ist auch nicht leicht einen Virus erstmal so zu belassen. Aber nur so geht es.
- CureIt laufen lassen. Über alle Festplatten.

Nochmal vielen Dank an Ruby
-Mimo-

[Ruby]

Das freut mich aber @ Mimo

Gratuliere, wieder ein System gerettet....

[Sven]

@SigiZ
Danke für den Tip aber mein Rechner hat heute den Geist aufgegeben. Scheinbar hatte sich da doch etwas 'eingenistet' Hatte versucht den PC heute Nachmittag zu starten, da kam aber nur ein blauer Bildschirm mit einer Fehleradresse und das der Rechner neugestartet werden soll weil event. ein Virus vorhanden ist. Ich hab dann in den sauren Apfel gebissen und mit meiner Recovery-CD die zum Rechner gehört das System wiederhergestellt. Nach dem Neustart kam dann wieder der selbe blaue Bildschirm Momentan bin ich jetzt mit meinem Laptop und ollen Modem hier im Netz und weiss nicht weiter was ich machen soll... Hatte gedacht mit Dr.Web Scanner hat alles geklappt aber alles ist nach hinten losgegangen. Ich werde mir jetzt erstmal eine neue Festplatte kaufen, das System neu aufspielen und mich dann ganz ganz vorsichtig an die alten beiden Festplatten ranwagen, die dort verseucht im Rechner drin sind.

[Ruby]

Hallo Sven

es gibt aber nicht nur den Win32.Polipos Virus.

Vielleicht kannst du deine alte Platte mit dem eScan nach dieser Anleitung von Karl83 untersuchen lassen.
Es wäre spannend zu erfahren, was drauf ist.

[Sven]

Nabend Ruby

schon klar das es nicht nur den Win32.Polipos Virus gibt, das ist mir schon klar. Die Sache ist die, das ich in letzter Zeit auch Probleme mit der Hardware meines Rechners hatte, event. liegt es auch daran. Hatte mir vor ein paar Wochen eine neue Grafikkarte (Nvidia Geforce 6800 GS) gekauft. Das Problem dabei ist, das die Grafikkarte eine eigene separate Stomversorgungsquelle braucht, das heisst solch einen Stecker mit 12 und 5 Volt intern im Rechner. Da mein Sony Vaio Rechner intern aber nicht für solche Erweiterungen ausgelegt ist, musste ich ein anderes verzweigendes Kabel verwenden, das ich zum Glück als alter Computerfreak mal selbst zusammen gebastelt hatte (PC-Besitzer seit 1993, zu DDR-Zeiten schon einen Computer besass ) benutzte. Leider gab es in letzter Zeit schon öfter Störungen an meinem Rechner der jetzt ca. 5 Jahre alt ist (gekauft 2001). Sicher haben viele Faktoren hier eine Rolle gespielt, erstens der Virus Win32.Polipos, die neue Grafikkarte mit event. überlasteten Netzteil, das selbstgebastelte Stromversorungskabel usw. Ein weiteres Problem ist die neue Festplatte die ich heute gekauft habe, ist eine Seagate mit 240 GB. Gekostet hat sie mir ca. 90 Euro. Nach Einbau und versuchten aufspielen des Betriebssystems kam nach erneuten hochfahren des Rechners wieder die selbe Fehlermeldung. Das es an einen Virus liegt, glaube ich momentan nicht mehr. Hier noch kurz die Fehlermeldung die Windows XP kurz nach dem BIOS-Start auf blauen Hintergrund anzeigt...

Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.

Wenn Sie diese Fehlermeldung zum ersten Mal angezeigt bekommen, sollten Sie den Computer neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen Sie folgenden Schritten folgen:

Überprüfen Sie den Computer auf Viren. Entfernen Sie alle neu installierten Festplatten bzw. Festplattencontroller. Stellen Sie sicher, das die Festplatte richtig konfiguriert und beendet ist. Führen Sie CHKDSK /F aus, um festzustellen, ob die Festplatte beschädigt ist, und starten Sie anschliessend den Computer erneut.

Technische Information:

*** STOP: 0x0000007B (0xF8950640,0xC0000034,0x00000000,0x00000000)

Die Sache ist die, das mir das Problem schon mit den alten Festplatten im Rechner angezeigt wurde, sicher liegt es nicht am Virus, es sei denn er wurde ins BIOS verewigt, wenn es sowas geben sollte. Wie gesagt hab ich die alten 'verseuchten' Festplatten entfernt und hab die neue mit 240 GB eingebaut, Partitioniert und nach dem aufspielen des Windows XP-Betriebssystems kam die selbe Fehlermeldung.

Mein nächster Schritt ist nun, das ich mir einen neuen Rechner kaufen werde, da der alte hier wie gesagt schon 5 Jahre alt ist (Sony Vaio 1,7 GHz mit 512 MB RAM).

Vielleicht gibts hier ja doch jemanden im Forum der mir zu dieser eigenartigen Fehlermeldung einen Tip geben kann.

Gruss
Sven D.

[SigiZ]

Hi Sven,

gehe mit Dir conform, dass das eigentlich weniger für diesen Virus spricht. Der macht sich nicht über den Bootsektor her, geht auch nicht ins BIOS. Denke eher, da ist jetzt nur einfach einiges zusammengekommen...

Schau mal HIER

http://www.trojaner-board.de/archive...hp/t-1254.html

Da hatte einer das gleiche Problem wie Du und einen ganz guten Ansatz.

Falls Du beim Lesen über "chkdsk /f" stolperst (glaube ich zwar nicht, denn Du bist ja schon fast so lange wie ich dabei ) - geht mit der Reparaturkonsole in der Eingabeaufforderung. Du weißt das sicher, ich erwähne es bloß.

Viel Erfolg, hoffe dass Du um die Anschaffung eines "Neuen" herumkommst.


Gruß