Win32/Ozdok Trojaner Angriff

revell · 24.04.2008, 09:15

Hallo Alle,

Seit einigen Tagen schreit mein NOD32 in der Firma regelmässig mit einer Virus Warnung. Die Datei [Link entfernt] enthält den Trojaner Win32/Ozdok. Ich kann die Bedrohung mit NOD32 zwar blockieren, aber wenig später kommt die Meldung wieder.
Der Rechner hängt mit einer fixen IP Adresse ständig am Netz. Gibt es eine Möglichkeit die IP Adresse von der der Virus kommt zu blocken? Oder sonst irgendetwas das ich tun könnte/sollte?

Vielen Dank & lg,
revell

zigeina · 24.04.2008, 10:23

einen link mit einer verseuchten datei zu posten ist ein klarer verstoss gegen alle möglichen ettiketten,

wieso willst du dir eine exe datei runterladen????
und schau in einem whois nach wem die ip adresse zugeordnet ist, und beschwer dich beim domain admin

zigeina · 24.04.2008, 13:09

Zitat:

Zitat von revell

Hallo Alle,

Seit einigen Tagen schreit mein NOD32 in der Firma regelmässig mit einer Virus Warnung. Die Datei [Link entfernt] enthält den Trojaner Win32/Ozdok. Ich kann die Bedrohung mit NOD32 zwar blockieren, aber wenig später kommt die Meldung wieder.
Der Rechner hängt mit einer fixen IP Adresse ständig am Netz. Gibt es eine Möglichkeit die IP Adresse von der der Virus kommt zu blocken? Oder sonst irgendetwas das ich tun könnte/sollte?

Vielen Dank & lg,
revell

wieso will dein rechner diese adresse aufrufen?

LouCypher · 24.04.2008, 13:11

habts keinen admin, vielleicht würd er sich über die info freuen.

revell · 24.04.2008, 13:32

@LouCypher:
Admin haben wir leider keinen.

@zigeina:
Ich will gar nix runterladen. Die Datei versucht von selbst sich mit meinem Rechner zu verbinden.
Warum es gegen was auch immer verstösst eine rul zu einer verseuchten Datei zu posten versteh ich zwar nicht, (war eh gekennzeichnet) aber bitte...

Da der Link entfernt wurde nochmals zum besseren Verständnis: Das Muster war folgendes: http://xxx.xxx.xxx.xxx/notepad.exe

DaMatt · 24.04.2008, 14:47

Wohl eher umgekehrt, dein Rechner (bzw. ein unerwünschtes Programm) versucht die Datei nachzuladen. Hier ist Handlungsbedarf gegeben. Du könntest natürlich verschiedenste Dinge tun, um die Anfrage an diesen Adressbereich ins leere laufen zu lasse bzw. zu blockieren, aber das wäre keine Lösung.

Hier sollte ein Fachmann den PC untersuchen und das Programm unschädlich machen. Du könntest auch mal den PC mit der kostenlosen AVIRA-Antivirus-BootCD auf Schädlinge untersuchen.

Es verstösst deshalb gegen jegliche Etikette, da auch hier in diesem Forum sicher auch unbedarfte Personen anwesend sind, die ohne grosses Nachdenken klicken und ausführen. Das spricht nicht besonders für diese Personen, wirft aber schlussendlich ein schlechtes Licht auf dieses Forum was unnötig ist und auch viele Forumsbesucher nicht wollen. Ein Beispiel wie in deinem Post hätte gereicht um den Link zu veranschaulichen.

Karl · 24.04.2008, 14:52

Hijackthis....http://www.chip.de/downloads/HijackThis_13011934.html
macht jeden Trojaner den Garaus.

Christoph · 24.04.2008, 21:40

Hallo revell,
wie Karl schon schreibt, oder hier noch eine Liste anderer Progis:
http://www.safer-networking.org/de/spybotsd/index.html
http://www.lavasoft.de/products/ad-a...e_personal.php
http://www.javacoolsoftware.com/
http://www.spywareinfo.com/~merijn/downloads.html
http://www.merijn.org/downloads.html
http://vil.nai.com/vil/stinger/
http://www.emsisoft.de/de/software/free/
http://www.hitmanpro.de

Aktualisierung der div. Erkennungsfiles nicht vergessen!
Bei HiJack This eine Logfileauswertung machen lassen!

revell · 25.04.2008, 10:58

Ok, vielen Dank.
Was den Link angeht hab ich das nicht so gesehen, gebe euch aber recht. Sorry, war nicht beabsichtigt...

zigeina · 26.04.2008, 13:14

ein guter artikel über bot netze ist in heise.de
http://www.heise.de/security/Hydra-d.../artikel/94211

auf der zweiten seite ist ein kurzer hinweis, daß der bot über http/get abfragen software nachlädt
kommt uns das nicht bekannt vor?

24.04.2008, 09:15	#1
revell Inventar Registriert seit: 20.04.2000 Beiträge: 1.616	Win32/Ozdok Trojaner Angriff Hallo Alle, Seit einigen Tagen schreit mein NOD32 in der Firma regelmässig mit einer Virus Warnung. Die Datei [Link entfernt] enthält den Trojaner Win32/Ozdok. Ich kann die Bedrohung mit NOD32 zwar blockieren, aber wenig später kommt die Meldung wieder. Der Rechner hängt mit einer fixen IP Adresse ständig am Netz. Gibt es eine Möglichkeit die IP Adresse von der der Virus kommt zu blocken? Oder sonst irgendetwas das ich tun könnte/sollte? Vielen Dank & lg, revell ____________________________________ IF käse = löcher mehr käse = mehr löcher mehr löcher = weniger käse THEN weniger käse = mehr käse Signatur verwirrt...

24.04.2008, 10:23	#2
zigeina *****troll Registriert seit: 24.03.2003 Ort: wien Alter: 66 Beiträge: 1.701	Finger weg einen link mit einer verseuchten datei zu posten ist ein klarer verstoss gegen alle möglichen ettiketten, wieso willst du dir eine exe datei runterladen???? und schau in einem whois nach wem die ip adresse zugeordnet ist, und beschwer dich beim domain admin ____________________________________ .................................. dieser hilfreiche beitrag kostet nichts, außer ein paar bier .................................. Tante Jolesch: „Was ein Mann schöner is wie ein Aff, is ein Luxus!“. Geändert von zigeina (24.04.2008 um 10:28 Uhr).

24.04.2008, 13:11	#4
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	habts keinen admin, vielleicht würd er sich über die info freuen. ____________________________________ Greetings LouCypher

24.04.2008, 13:32	#5
revell Inventar Registriert seit: 20.04.2000 Beiträge: 1.616	@LouCypher: Admin haben wir leider keinen. @zigeina: Ich will gar nix runterladen. Die Datei versucht von selbst sich mit meinem Rechner zu verbinden. Warum es gegen was auch immer verstösst eine rul zu einer verseuchten Datei zu posten versteh ich zwar nicht, (war eh gekennzeichnet) aber bitte... Da der Link entfernt wurde nochmals zum besseren Verständnis: Das Muster war folgendes: http://xxx.xxx.xxx.xxx/notepad.exe ____________________________________ IF käse = löcher mehr käse = mehr löcher mehr löcher = weniger käse THEN weniger käse = mehr käse Signatur verwirrt...

24.04.2008, 14:47	#6
DaMatt Veteran Registriert seit: 09.03.2004 Ort: Gsiberg Ciddy Alter: 48 Beiträge: 427 Mein Computer	Wohl eher umgekehrt, dein Rechner (bzw. ein unerwünschtes Programm) versucht die Datei nachzuladen. Hier ist Handlungsbedarf gegeben. Du könntest natürlich verschiedenste Dinge tun, um die Anfrage an diesen Adressbereich ins leere laufen zu lasse bzw. zu blockieren, aber das wäre keine Lösung. Hier sollte ein Fachmann den PC untersuchen und das Programm unschädlich machen. Du könntest auch mal den PC mit der kostenlosen AVIRA-Antivirus-BootCD auf Schädlinge untersuchen. Es verstösst deshalb gegen jegliche Etikette, da auch hier in diesem Forum sicher auch unbedarfte Personen anwesend sind, die ohne grosses Nachdenken klicken und ausführen. Das spricht nicht besonders für diese Personen, wirft aber schlussendlich ein schlechtes Licht auf dieses Forum was unnötig ist und auch viele Forumsbesucher nicht wollen. Ein Beispiel wie in deinem Post hätte gereicht um den Link zu veranschaulichen. ____________________________________ Leiter der Kommission zur Förderung von Tugend und der Verhinderung des Lasters

24.04.2008, 14:52	#7
Karl Stammgast Registriert seit: 13.09.1999 Ort: 2601 Mar.Theresia Sdlg. Beiträge: 11.093 Mein Computer	Hijackthis....http://www.chip.de/downloads/HijackThis_13011934.html macht jeden Trojaner den Garaus. ____________________________________ M.f.G. Karl

24.04.2008, 21:40	#8
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Hallo revell, wie Karl schon schreibt, oder hier noch eine Liste anderer Progis: http://www.safer-networking.org/de/spybotsd/index.html http://www.lavasoft.de/products/ad-a...e_personal.php http://www.javacoolsoftware.com/ http://www.spywareinfo.com/~merijn/downloads.html http://www.merijn.org/downloads.html http://vil.nai.com/vil/stinger/ http://www.emsisoft.de/de/software/free/ http://www.hitmanpro.de Aktualisierung der div. Erkennungsfiles nicht vergessen! Bei HiJack This eine Logfileauswertung machen lassen! ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)

25.04.2008, 10:58	#9
revell Inventar Registriert seit: 20.04.2000 Beiträge: 1.616	Ok, vielen Dank. Was den Link angeht hab ich das nicht so gesehen, gebe euch aber recht. Sorry, war nicht beabsichtigt... ____________________________________ IF käse = löcher mehr käse = mehr löcher mehr löcher = weniger käse THEN weniger käse = mehr käse Signatur verwirrt...

26.04.2008, 13:14	#10
zigeina *****troll Registriert seit: 24.03.2003 Ort: wien Alter: 66 Beiträge: 1.701	ein guter artikel über bot netze ist in heise.de http://www.heise.de/security/Hydra-d.../artikel/94211 auf der zweiten seite ist ein kurzer hinweis, daß der bot über http/get abfragen software nachlädt kommt uns das nicht bekannt vor? ____________________________________ .................................. dieser hilfreiche beitrag kostet nichts, außer ein paar bier .................................. Tante Jolesch: „Was ein Mann schöner is wie ein Aff, is ein Luxus!“.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)