[blauersalon]

Hallo zusammen,
Habe heute nen Wurm mit AntiVir entdeckt. Den Wurm habe ich schonmal vor 1 Jahr oder so auf dem Computer gehabt. Da half nur Neuinstallation. Das ist ein Wurm den kann man löschen, aber er kommt wieder. Er nennt sich A0000... .exe. Der Wert verändert sich dabei immer. z.B habe ich heute beim Scan die werte: A0037156.exe bis A0037162.exe. Also erneuert er sich und schreitet dabei immer ne Zahl weiter vorraus. Wie entferne ich den jetzt OHNE eine Neuinstallation? Ich habe mal gegooglet aber irgentwie nichts gefunden.

MfG
blauersalon

[Heto]

Zitat (blauersalon: 30.03.2009, 16:45)

Da half nur Neuinstallation

Wie du schon richtig geschrieben hast, hilft nur eine Neuinstallation.

mfg heto

[blauersalon]

Zitat (Heto: 30.03.2009, 17:17)

Wie du schon richtig geschrieben hast, hilft nur eine Neuinstallation.

mfg heto

Na super. Trotzdem danke dann muss ich heute Abend mal wieder loslegen.

[Heto]

Zitat (blauersalon: 30.03.2009, 17:35)

Na super. Trotzdem danke dann muss ich heute Abend mal wieder loslegen.

np, hast wenigstens eine Freizeitbeschäftigung.

mfg heto

[catfishman]

AntiVir ist nicht gerade das Maß aller Dinge. Ich hätte mal mit einen Programm ("so7", oder so) zu tun, welches Prozesse erzeugte, die AntiVir bekämpfen konnte. Jedoch die "Mutter" konnte es nicht auffinden. Die lag nämlich in einem verstecken Systemordner (Papierkorb) und infizierte auf der Stelle USB-Platten, Sticks etc., die bei aktiviertem Autostart eingestöpselt wurden. Über einen solchen Stick wurde das System verseucht. G-Data konnte den erledigen.

Gelöst habe ich es in dem ich die betreffenden Platten anschloss, das System per Live-CD bootete und die Dateien von Hand entfernt habe. (Jede Partition kann ihren eigenen Papierkorb haben.) Notfalls den ganzen Ordner löschen.

catfishman

Dieser Beitrag wurde von catfishman bearbeitet: 30. März 2009 - 18:41

[Phil18]

wenn du auf nummer sicher gehen willst formatieren oder erst garnix einfagen

[nomzamo]

Zitat (catfishman: 30.03.2009, 19:28)

AntiVir ist nicht gerade das Maß aller Dinge. Ich hätte mal mit einen Programm ("so7", oder so) zu tun, welches Prozesse erzeugte, die AntiVir bekämpfen konnte. Jedoch die "Mutter" konnte es nicht auffinden. Die lag nämlich in einem verstecken Systemordner (Papierkorb) und infizierte auf der Stelle USB-Platten, Sticks etc., die bei aktiviertem Autostart eingestöpselt wurden. Über einen solchen Stick wurde das System verseucht. G-Data konnte den erledigen.

Gelöst habe ich es in dem ich die betreffenden Platten anschloss, das System per Live-CD bootete und die Dateien von Hand entfernt habe. (Jede Partition kann ihren eigenen Papierkorb haben.) Notfalls den ganzen Ordner löschen.

catfishman

nur so am Rande: Auch wenn man einige Dateien löscht stellt das nicht sicher, dass nicht andere Systemkomponenten/Dateien kompromittiert sind. Wirklich sicher ist man nur, wenn man das System platt macht und neu aufsetzt.

[Phil18]

sag ich doch sonst is hinterher der steam oder wow acc doch noch wech

[blauersalon]

Zitat (Phil18: 03.04.2009, 08:14)

sag ich doch sonst is hinterher der steam oder wow acc doch noch wech

Danke für eure Hilfe. System ist längst Platt gemacht.
Zu dem was ich zitiert habe:
Du müsstest doch eigentlich wissen, dass ich keinen wow Account habe.

Hat mich nur interessiert ob es nicht ne möglichkeit gibt diesen Wurm zu entfernen ohne neu aufsetzen aber okay ist jetzt alles wieder neu drauf.

[caracas]

Zitat (The Grim Reaper: 30.04.2009, 09:47)

Wie du schon selber geschrieben hast, erneuert er sich immer wieder. Du hast iwo auf dem Rechner ne exe gehabt, die den Wurm immerwieder bei jedem Systemneustart wiederhergestellt hat - die zu finden ist sehr umständlich. Dann kopiiert sich dieser Mist auchnoch in den System Volume Folder, auf welchen man selber keinen Zugriff hat.

....gerade darum halte ich es für wichtig, ne Linux Live-CD oder ne Live-Win7-Pre-CD zu haben. Damit habe ich, wie oben schon gesagt, auch uneingeschränkten Zugriff auf die System-Information-Verzeichnisse und kann dort löschen etc....

[DON666]

An sich ist der Rat schon angebracht, die Kiste neu aufzusetzen bei sowas. Mit ein wenig Erfahrung kann man solch Virus/Wurm/Trojaner aber durchaus loswerden, denn auch die "Mutter" muss ja zwangsweise beim Systemstart auf irgendeine Art und Weise mitgestartet werden, und wenn man die Namen der "legalen" Prozesse kennt, die automatisch starten, hat man i. d. R. den Übeltäter schnell gefunden, u. U. halt unter Zuhilfename von Autoruns, Process Explorer und natürlich HiJackthis. Sobald man diesen Eintrag bzw. diese Einträge eliminiert hat, ist Ruhe. Wenn man danach noch ein sfc /scannow und einen entsprechenden Scan von einer Live-CD laufen läßt, hat man sogar gute Chancen, dass die Kiste sauber ist, aber zu 100% würde ich mich da auch nicht drauf verlassen wollen, ob da nicht doch noch irgendwo die eine oder andere manipulierte DLL im System stecken könnte...