Wer kennt den Trojaner?

Hallo,

ich habe heute nach einer Sängerin über Google gesucht auf deutschen Seiten. Ich weis nicht mehr genau wie die Seite hieß, die ich öffnete, war jedenfalls total unverdächtig.

Auf einmal ein Fenster daß ich ein Sexprogramm aktiviere mit Kosten verbunden. Ich wollte gleich „abwürgen“ aber ich kam aus der Geschichte nicht raus und habe den PC per Schalter ausgemacht. Wieder hochgefahren und gleich Avira drüber laufen lassen und Meldung:

gefunden ein Trojaner

TR/Crypt.NSPM.GEN

Kennt den Jemand?

Grüße an Euch und Danke

Hallo Ilona

gefunden ein Trojaner

TR/Crypt.NSPM.GEN

Wo genau (Pfad und Name der betroffenen Datei) wurde das Ding gefunden?

Kennt den Jemand?

Gemäss den Angaben von Avira selber, ist das, Zitat:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.
http://www.avira.com/de/threats/section/fulldetails/…

Lass die betreffende Datei doch mal bei http://www.virustotal.com prüfen. Da wird sie mit rund 15 Virenscannern geprüft. Vielleicht gibt das weitere Anhaltspunkte, um was es sich handeln könnte.

CU
Peter

Hi Ilona

ich habe heute nach einer Sängerin über Google gesucht auf
deutschen Seiten. Ich weis nicht mehr genau wie die Seite
hieß, die ich öffnete, war jedenfalls total unverdächtig.

jaja, das sagen sie alle ^^

Auf einmal ein Fenster daß ich ein Sexprogramm aktiviere mit
Kosten verbunden. Ich wollte gleich „abwürgen“ aber ich kam
aus der Geschichte nicht raus und habe den PC per Schalter
ausgemacht. Wieder hochgefahren und gleich Avira drüber laufen
lassen und Meldung:

gefunden ein Trojaner

TR/Crypt.NSPM.GEN

_Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt._
Zitat von Avira
Ist also eigentlich gar kein ‚richtiger‘ Trojaner.

Löschen und gut ist’s.

Gruss
ExNicki

Zitat von Avira
Ist also eigentlich gar kein ‚richtiger‘ Trojaner.

Löschen und gut ist’s.

Es ist recht offenkundig, dass bei Avira die Beschreibung des Trojaners massiv verrutscht ist und stattdessen eine Beschreibung der Erkennungsroutine für diesen Trojaner abgelegt wurde.

Und dieser Trojaner hat es durchaus in sich: Von anderen Scannern wird er als Win32/Viking erkannt, dessen wesentliche Aufgabe das Nachladen und Ausführen diverser weiterer Schadprogramme ist. Und wenn das bereits geschehen ist, sind alle anderen Maßnahmen ausser der Neuinstallation des Rechners reine Augenwischerei.

Gruss
Schorsch

Hi Schorsch

Zitat von Avira
Ist also eigentlich gar kein ‚richtiger‘ Trojaner.

Löschen und gut ist’s.

Es ist recht offenkundig, dass bei Avira die Beschreibung des
Trojaners massiv verrutscht ist und stattdessen eine
Beschreibung der Erkennungsroutine für diesen Trojaner
abgelegt wurde.

Offenkundig für dich vllt, ich hab’s nicht bemerkt (

Und dieser Trojaner hat es durchaus in sich: Von anderen
Scannern wird er als Win32/Viking erkannt, dessen wesentliche
Aufgabe das Nachladen und Ausführen diverser weiterer
Schadprogramme ist. Und wenn das bereits geschehen ist, sind
alle anderen Maßnahmen ausser der Neuinstallation des Rechners
reine Augenwischerei.

wenn es sich um den TrojanerWin32/Viking handelt, stimme ich dir zu. Dann ist format c: angesagt

Danke für die Richtigstellung

Gruss
ExNicki

Hallo an alle und erst einmal ganz dollen Dank für Eure Antworten.

Avira hat den Trojaner gefunden auf:

C:\WINNT\system32\up32.pif

Datei wurde gelöscht. Ich hoffe das er komplett wech ist.Ich habe keine „Macken“ irgendwie feststellen können beim Programmaufruf.

Liebe Grüße
Ilona

Hallo ExNicki,

jaja, das sagen sie alle ^^

muß ich doch ein bißchen Schmunzeln, ich bin 56 J. und sicher noch nicht jenseits von Gut und Böse, aber ganz sicher jenseits von Animation übers Internet.

Lieben Gruß
Ilona

Hallo Ilona

Avira hat den Trojaner gefunden auf:

C:\WINNT\system32\up32.pif

Autsch. Das ‚System32‘-Verzeichnis deutet darauf hin, dass der Trojaner (in den anderen Antworten wurde ja schon mehr darüber mitgeteilt…) aktiv ist/war. Was die Angaben unter http://www.internet-magazin.de/internet/cm/virenecke… bestätigen. Zitat:

_W32/Rbot-ARI ist ein Wurm und ein IRC-Backdoortrojaner für die Windows-Plattform.

W32/Rbot-ARI läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Wenn er erstmals gestartet wird, kopiert sich W32/Rbot-ARI nach up32.pif._

Datei wurde gelöscht. Ich hoffe das er komplett wech ist.

Das darf/muss bezweifelt werden. Da das Ding dem Urheber Zugriff auf Deinen PC ermöglicht, Daten aus dem Internet nachlädt (evt. vom Urheber bereitgestellte weitere Sachen, um Dein System zu missbrauchen…) und so weiter, ist Dein System nach wie vor nicht mehr vertrauenswürdig.

Ich habe keine „Macken“ irgendwie feststellen können beim
Programmaufruf.

Heutzutage sind all die Trojaner etc. darauf ausgelegt, möglichst nicht aufzufallen. Von daher ist es irrelevant, dass Dir keine ‚Macken‘ auffallen. Du weisst trotzdem nicht mit Sicherheit, was mit Deinem System im Moment so alles angestellt wird.

Wie bereits in den anderen Antworten geraten, musst Du Dein System umgehend vom Netz (Internet) trennen, flach machen und neu aufsetzen. Da der Trojaner offenbar (vgl. verlinkte Seite) Tastenfolgen speichern kann, ist es zudem dringend anzuraten, allfällige Passwörter für Foren, Internet-Banking etc. umgehend zu ändern, damit Du die Gefahr verringerst, dass mit den abgelauschten Passwörtern Unfug getrieben wird…

Da die Urheber solcher Trojaner heutzutage der organisierten Kriminalität (Mafia und ähnliches) zuzurechnen sind, ist das sehr ernst zu nehmen. Kontrolliere in nächster Zeit sehr genau, was ggf. Deiner Kreditkarte und Deinen Bankkonten belastet wird…

CU
Peter