Viren/Trojaner Hab' mir den W32.Sircam.Worm eingefangen

[MaTaDoR]

Ja guten Abend erst mal bzw. guten Morgen!
Ich hoffe das ich hier vill. Hilfe finde!
Zuerst einmal ich bin absoluter Computer Laie...hab also kaum ne Ahnung von dem was ich mache^^

Ja also ich fang ma ganz von vorne an....

Ich hatte schon seit einiger Zeit das Problem das mein Taskmanager sich nicht mehr öffnen lies!
Fehlermeldung war:"Der Taskmanager wurde durch den Administrator deaktiviert"
Einige Zeit lang war mir dies egal...wobei ich mir schon denken konnte das irgendwas ja an der sache nicht koscher sein kann/konnte!
Also riet mir ein Kumpel einen Virenscan durch zu führen bei dem ich auch den ein oder anderen Virus gefunden und gelöscht habe!
Jedoch war mein Problem mit dem Taskmanager immernoch vorhanden!
Wiederum führte ich Rücksprache mit einem Bekannten der mir sagte das es sein kann das ein Virus die ?Funktion? "Taskmanager" deaktiviert haben könnte und ich solle mal unter "Systemsteuerung->Verwaltung" die "Dienste" und die "Lokalen Sicherheitsrichtlinien" überprüfen!
Gesagt getan fing ich an mich durch das Gewirre von mir völlig fremden Befehlen zu lesen!
Da ich nach einiger Zeit einfach nicht weiter kam hab ich dann mal nach der Fehlermeldung gegoogelt und habe dort auch eine mehr oder weniger Hilfreiche Andwort gefunden!
Und zwar sollte man unter:
HKEY_CLASSES_ROOT\exefile\shell\open\command
den Wert C:\Windows\system32\crrscr32.exe "%1" %* bzw. C:\Windows\system32\servlet32.exe "%1" %* löschen!
Danach sollte der Taskmanager wieder funktionieren!
Ok da man einem Laien viel erzählen kann habe ich dies natürlich auch getan und siehe da, der Taskmanager funktioniert tatsächlich wieder!
Juhuu geschafft dachte ich mir beendete den Maneger und wollte Firefox über den Icon in der Taskleiste öffnen um ein bischen rum zu surfen!
Da traf mich dann der Blitz!
Eine neu Fehlermeldung machte sich nun auf meinem Desktop breit!
Und zwar:
"Für diesen Vorgang ist keine Anwendung der angegebenen Datei zugeordnet!Erstellen sie eine Zuordnung in dem sie unter "Systemsteuerung" auf Ordneroptionen klicken"
Aaaahjaa okeeyy...das hab ich dann auch getan wobei ich mir hier nicht zu helfen wusste!
Also habe ich wieder danach gegoogelt, und bin auf erschreckendes gestoßen!
Hierbei handelt es sich anscheindend um den Virus "W32.Sircam.Worm@mm" oder wie auch immer, der alle Anwendungen in Form von .exe lahmlegt!
Bei meiner Suche nach Lösungen bin ich auch auf diese Seite hier gestoßen wo dieser Virus ja schon mehrfach angesprochen wurde und auch Lösungen dazu gepostet wurden!
Hab mich also registriert um mir nen genaueren Überblick zu verschaffen!
unter anderem wurde erklärt das die regedit.exe Datei im Windows Ordner in regedit.com umbenannt werden soll und aus selbigem Post die Anhangdateien dort ein zu fügen wären!
Ich habe also diesen Anhang herunter geladen und die regedit.exe umbenannt, doch als ich die herunter geladene Datei die als .rar Datei gepackt ist, entpacken wollte musste ich feststellen das auch winrar sich nicht mehr öffnen lies!
Somit war mein Erfolg gleich 0!

Nun meine Frage was soll ich tun?
Habe mich noch weiter durch die Tiefen des I-nets gelesen aber bin jedesmal auf Seiten gestoßen auf den rar Dateien angeboten werden die mir ja nichts helfen!
Weis nun wirklich nicht mehr was ich tuen soll....wie schon erwähnt bin ich ne absolute Computer 0!
Wäre nett wenn mir hier mal jemand einen Tipp geben könnte wie ich weiter verfahren soll!
LG und Dank im Vorraus

 

[skiller9]

Hier einmal eine Hilfe wie du den Virus entfernen kannst von der Symantec Seite, leider nur auf englisch. Ich hoffe du verstehst es einigermaßen da ich es wahrscheinlich falsch übersetzen würde.

Spoiler

Discovered: July 20, 2001
Updated: August 24, 2005 12:00:00 AM
Type: Removal Information

The W32.Sircam.Worm@mm Fix tool deletes the files infected with the W32.Sircam.Worm@mm worm and removes the changes that were made to a computer by this virus.

To obtain and run the tool:
Go to http://www.sarc.com/avcenter/FixSirc.com
Download the Fixsirc.com file to a convenient location, such as your download folder or the Windows desktop. If you are on a network, the removal tool should be applied on all computers, including the server.
To check the authenticity of the digital signature, refer the section The digital signature.
Close all programs before running the tool, including any antivirus scanners such as NAV Auto-Protect.

CAUTION: Do not skip this step (but also see the note that follows this caution). You must disable Auto-Protect before you run the tool. For instructions, see the document How to enable and disable Norton AntiVirus Auto-Protect.

NOTE: There is one exception to the requirement that you must disable Auto-Protect: If NAV has detected and quarantined the virus and NAV is no longer running due to the registry change that was made by the worm, you will not be able to disable Auto-Protect as it will not be running. However, you must make sure that NAV Auto-Protect is disabled by attempting to disable it as previously described.

If you are on a network, or have a full time connection to the Internet, disconnect the computer from the network and the Internet. Disable or password protect file sharing before reconnecting computers to the network or to the internet. Because this worm spreads by using shared folders on networked computers, to ensure that the worm does not reinfect the computer after it has been removed, Symantec suggests sharing with read-only access or using password protection. For instructions on how to do this, see your Windows documentation or the document How to configure shared Windows folders for maximum network protection.

CAUTION: Do not skip this step. You must disconnect from the network before running the tool.

If you are running Windows Me or XP, then disable System Restore. Please refer to the section System Restore option in Windows Me/XP for additional details.

NOTE: If you are running Windows Me/XP, we strongly recommend that you do not skip this step.

Double-click the Fixsirc.com file to start the removal tool.

NOTE: If you downloaded the tool to a floppy disk, and want to run it from the floppy, see the section How to run the tool from a floppy disk at the end of this document for special instructions.

NOTE: If you are using Windows Me, and the System Restore remains enabled, you will see a warning message. You can choose to run the removal tool with the System Restore option enabled (not recommended) or exit the removal tool.

Click Start to begin the process, and then allow the tool to run.
If you are using Windows Me/XP, then reenable System Restore.
Reenable Auto-Protect

NOTE:
If you see a message that the tool must re run in Safe mode, restart the computer in Safe mode and run the tool again. Please follow this instruction to ensure that the virus does not reinfect the computer. To restart in Safe mode, see the document How to restart Windows 9x or Windows Me in Safe Mode
The removal procedure might be unsuccessful in case of enabled System Restore under Windows'ME because Windows prevents System Restore from being modified by outside programs. Because of this, any worm removal attempts made by the removal tool might fail.
When the procedure is finished, the removal tool may detect that you are using Windows'ME and the System Restore remains disabled. In this case, you will see the reminder message to reenable this option.
If you need to run the tool in login scripts or batch files with no messages displayed, then use the following command line syntax for the "Silent" mode:
Fixsirc.com /s

When the tool has finished running, you will see a message indicating whether the computer was infected by the W32.Sircam.Worm@mm worm. In the case of a removal of the worm, the program displays the following results:
The total number of the scanned files.
The number of deleted files.
The number of registry keys that were fixed.

What the tool does
The W32.Sircam.Worm@mm removal tool does the following:
It scans and deletes files infected with the W32.Sircam.Worm@mm worm.

The tool removes the following registry key:

HKEY_LOCAL_MACHINE\Software\SirCam

In the registry key

HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunServices

it deletes the following value:

Driver32

In the registry key

HKEY_CLASSES_ROOTexefile\shell\open\command

the tool modifies the [Default] value by setting it to:

"%1" %*

The tool removes the line "@win \recycled\sirc32.exe" from the C:\Autoexec.bat file.
The tool restores Rundll32.exe file, renamed by the worm.

The digital signature
FixSirc.com is digitally signed. Symantec recommends that you only use copies of FixSirc.com that have been downloaded directly from the SARC download site. To check the authenticity of the digital signature, follow these steps:
Go to http://www.wmsoftware.com/free.htm
Download and save the chktrust.exe file to the same folder where you saved FixSirc.com, for example, C:\Downloads
Click Start, point to Programs, and click MS-DOS Prompt.
Change to the folder where FixSirc.com and Chktrust.exe are stored, and then type:

chktrust -i FixSirc.com

For example, if you saved the file to the C:\Downloads folder:

cdcd downloads
chktrust -i FixSirc.com

Press Enter after typing each command.

If the digital signature is valid, you will see the following:

Do you want to install and run "FixSirc.com" signed on 7/31/2001 9:36 AM and distributed by Symantec Corporation.

NOTES:
The date and time that are displayed in this dialog will be adjusted to your time zone if your computer is not set to the Pacific time zone.
If you are using Daylight Saving time, the time that is displayed will be exactly one hour earlier.
If this dialog does not appear, do not use your copy of fixsirc.com. It is not from Symantec.

Click Yes to close the dialog box.
Type exit and then press Enter. This will close the MS-DOS session.

System Restore option in Windows Me/XP
Windows Me and Windows XP users should temporarily turn off System Restore. This feature, which is enabled by default, is used by Windows Me/XP to restore files on your computer in case they become damaged. When a computer is infected with a virus, worm, or Trojan, it is possible that the virus, worm, or Trojan could be backed up by System Restore. By default, Windows prevents System Restore from being modified by outside programs. As a result, there is the possibility that you could accidentally restore an infected file, or that on-line scanners would detect the threat in that location. For instructions on how to turn off System Restore, read your Windows documentation or one of the following articles:
How to disable or enable Windows Me System Restore.
How to disable or enable Windows XP System Restore.
For additional information, and an alternative to disabling Windows Me System Restore, see the Microsoft Knowledge Base article Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, Article ID: Q263455.

How to run the tool from a floppy disk
Insert the floppy disk that contains the Fixsirc.com file in the floppy disk drive.
Click Start and then click Run.
Type the following and then click OK:

a:\fixsirc.com

NOTES:
There are no spaces in the command a:\fixsirc.com
If you are using Windows Me, and the System Restore remains enabled, you will see a warning message. You can choose to run the removal tool with the System Restore option enabled or exit the removal tool.

Click Start to begin the process, and then allow the tool to run.
If you are using Windows Me, then reenable System Restore.

Hier das Removal Tool

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixSirc.com

 

[Franz]

Hmm,

Hier noch eine Fassung in dt.:
W32/Sircam - Sophos Sicherheitsanalyse,
hier gibt es eine kleine Batch-Datei, die den Wurm entfernen kann.

Es gibt auch noch das Tool 'Stinger', ein Virenprogramm, das nicht installiert werden muß.
Sollte aber weder das Symantec-Tool, noch die Sophos-Seite, noch Stinger, weiterhelfen,
wirst du um eine Komplettinstallation, incl. Formatierung der Festplatte nicht herumkommen.

 

[Brummelchen]

Somit war mein Erfolg gleich 0!

Nun meine Frage was soll ich tun?

Original geschrieben von Franz

wirst du um eine Komplettinstallation, incl. Formatierung der Festplatte nicht herumkommen.

*unterschreib*
Lieber früher statt später mit sowas anfangen, alles andere scheint ja jetzt schon aussichtslos.

 

[MaTaDoR]

Hallo Leute!
Also zu aller erst bedanke ich mich für eure schnelle Hilfe!
Hab das Problem nun in den Griff bekommen!
Hatte mir eine solche Batch datei herunter geladen und versucht diesen Virus zu löschen!
Jedoch konnte nichts gefunden werden und das Problem mit den .exe Anwendungen war immernoch vorhanden!
Habe also meinen PC zich mal neu gestarten bis ich auf eine (naja für mich als Laien) geniale Idee kam!
Hatta zuvor gelesen das die regedit.exe in regedit.com umbenannt werden solle...
habe dies also auch ma getan!
Dabei entstand die Fehlermeldung das die Datei möglicherweise unbrauchbar werden würde!
Da ich den Eindruck hatte das ich sowieso nicht mehr viel kaputt machen konnte habe ich dies also ausgeführt!
Hab den PC danach neu gestartet, und siehe da, die regedit.exe wurde beim Neustart neu geschrieben!
Somit hatte ich also eine regedit.com und eine regedit.exe datei in meinem Windows Ordner!
Ich öffnete also die regedit.exe und schaltete alle Werte wieder auf Standard und siehe da alles läuft wieder einwandfrei!
Im Nachhinein habe ich dann im Abgesicherten Modus einen Virenscann durchgeführt der aber glücklicherweise Negativ ausfiehl!
Ich denke bzw. hoffe also das ich mein Problem somit gelöst habe, da ja anscheinend wieder alles funktioniert!
Nun aber wieder eine Frage an die Fachmänner von hier....
Meint ihr ich soll alles so belassen oder trozdem alles formatieren und neu aufspielen?
Ich mein es funktioniert zwar alles aber ganz sicher bin ich mir meiner Sache nicht!
Was meint ihr dazu??
Danke nochmal für eure Hilfe!
LG

Achso ja ich wünsche euch allen noch schöne Feiertage!

 

[Brummelchen]

trozdem alles formatieren

Irgendwie komisch, dass man sowas immer noch betonen muss, dass man um so eine
Aktion nie drumrumkommt bei Viren und Würmern.
Ihr schaut wie'n Schwein ins Uhrwerk und meint, ihr wäret trotzdem Hans Held Superstar.
(plural, weil es mehrere Komiker von eurer Sorte gibt)

Ausserdem vermute ich, dass du keinerlei Antivirensoftware benutzt, trotzdem aber ohne
Vorsicht jeden Scheiss ausprobierst, ohne zu wissen, was da überhaupt passiert.
Du solltest daher grundsätzlich an deinem Sicherheitskonzept arbeiten, weil Brain 1.0
wohl schon richtig versagt/vergeigt hat.

 

[MaTaDoR]

.........

@ Brummelchen

Richtig geraten ich bin Hans Held Superstar!!!!

Du hast auch die Weisheit mit Löffeln gefressen oder?:stupid
Es kann nunmal nicht jeder ein Computerfachmann sein!
Und ja ich probiere (wie du es ausdrückst) jeden "Scheiss" aus um meine Probleme selbst in den Griff zu bekommen!
Learning bei Doing nennt sich solche Vorgehensweise!
Gerade weil ich mit Vorsicht an die Sache ran gehe wende ich mich an Forenseiten wie diese um mir Fachmännischen Rat ein zu holen!
Du solltest dir ein Beispiel an "skiller9" und "Franz" nehmen die mir hier versucht haben weiter zu helfen und mir Möglichkeiten genannt haben mein Problem zu lösen!(!!danke Jungs!!)

Mir platzt der Kragen wenn ich solch unqualifizierte Aussagen bzw. ganze Post's lese(von dir 2 an der Zahl)!
Es ist einfach zerebrale Diareux zu behaupten das ich keine Antivirensoftware benutzen würde!
Selbst verständlich ist mein Pc mit einer Firewall und der neuesten Version von Kaspersky geschützt!
Ich mein' Laie mag ich sein, aber dumm garantiert nicht!!!!(Man sollte nicht immer von sich auf andere schließen!)
Also wenn du das nächste mal was erzählen willst, überleg dir vorher was du schreibst!(getreu dem Motto:Erst denken dann schreiben!)
Denn was du hier bietest, hat in keinster Weise etwas mit Fachmännischer oder qualifizierter Auskunft zu tun!
Wenn ich oder auch sonst irgendjemand anderes hier, sich hier zu welchen Themen auch immer, eine Hilfestellung einholen möchte, erwartet man auch Hilfe und keine unnötigen und dummen Kommentare wie die deinigen!:grr
Also behalt' sowas in Zukunft besser für dich, denn:
1.) Wirft es kein gutes Licht auf die Seite
und
2.) Lässt es dich auch nicht als Fachmann erscheinen
----------------------------------------------------------------

So genug aufgeregt!
Ich bedanke mich nochmalst bei denen die mir geholfen haben
und hoffe das sich mancheiner diesen Post mal zu Herzen nimmt und ich mir meinen Bluthochdruck bei eventuellen weiteren Fragen sparen kann!

Also bis dann...macht's gut und noch schöne Feiertage!:noel

LG

 

[Brummelchen]

Genau auf so einen saudummen Spruch hab ich nur gewartet.
Die kannst du dir dahinstecken, wo die Sonne nie hinscheint.
Ich sag dir auch warum:
Solange eure Rechner nicht sauber sind, sondern nur bereinigt, ist die Gefahr,
dass es ein Zombie-Rechner ist, recht hoch.

Zombis sind Rechner, die sich unauffällig verhalten, bis sie extern angetriggert
genau das ausführen, wofür sie infiziert wurden.

Solange deine Kiste also nicht sauber ist, bist du eine potentielle Gefahr für das
übrige Netzwerk, sei es LAN oder auch WAN.
Und da kannst du dir dein "learning bei doing" sonst wo hinschmieren. Du hast
nicht mal hinterfragt, warum generell Formatieren hingeschrieben wird.

In meiner ersten Antwort hatte ich nicht umsonst genau jene Lösung nochmal
extra betont - wenn sowas ignoriert wird, habt ihr mit entsprechenden Reaktionen
zu rechnen und die sind nunmal unangenehmm und recht hart - obs dir passt oder nicht.

Daher: Eine Infektion mit Malware durch Reparieren zu bereinigen ist schlichtweg die dümmste Lösung.
Mehr als 99% aller infizierter Systeme sind entweder kurz danach wieder befallen
oder schlichtweg im Arsch. Und das ist keine Erfahrung, das ist Tatsache!
Du solltest einfach die entsprechenden Foren durchlesen, dann wirst du feststellen,
dass dem immer so ist. Denn letztlich ist es der Mensch, der es vergeigt, nicht die
Maschine. Wie du dein Konzept gestaltest, bleibt dir überlassen, es gibt mehrere
Wege, die nach Rom führen. Aber so, wie es sich jetzt gestaltet, ist das alles andere
als gut.

Irgendwann, wenn du den Prozess mehrmals durch hast durch immer dieselben Fehler,
oder auch bei anderen jenes Muster erkennst, wirst du feststellen, dass wir keinen
Stuss schreiben, sondern die beste Lösung. Es bringt nämlich nichts, Stunden für
Nichts zu vergeuden, solange das Konzept Mist ist.

Zu "Konzept" bitte die Suchfunktion bemühen, das wurde mMn mehrfach hier ausgeführt.

#Nachtrag, weil's grad woanders auch so kam:

Antivirenprogramme können keine Dateien reparieren, dafür sind die nie geschrieben worden.

 

[QuHno]

Hierbei handelt es sich anscheindend um den Virus "W32.Sircam.Worm@mm" oder wie auch immer, der alle Anwendungen in Form von .exe lahmlegt!

Der normale Sircam @mm macht das nicht. Es gibt allerdings eine Variante, die bei unsachgemäßen Entfernungsversuchen als eine Art Selbstschutz diverse Dateien im System löscht. Wenn das der Fall ist, hilft auch kein löschen von Registry Schlüsseln, da die Systemdateien weg sind.

EXE Dateien lahm legen hört sich für mich nach einer anderen Familie wie z.B. der SDBOT Familie an. Diese ist vom Verhalten her eher der Backdoor-Trojaner als der Wurm-Familie zuzurechnen und, je nach variante, sauschwer bis garnicht zu entfernen. Die Lücken die diese Art Malware ins System reißt, sind selbst von gut geschulten und erfahrenen Systemspezialisten kaum bis gar nicht zu schließen.

Die Sircam-Familie ist seit Jahren in den Erkennungslisten jeder halbwegs tauglichen Antivirensoftware enthalten und hätte erst garnicht mit der E-Mail auf das System gelangen dürfen. Des weiteren sollte niemand auf Attachments klicken, die doppelte Datei-Endungen haben. Wer jedoch die doppelten Endungen erst gar nicht sieht, hat kein Sicherheitskonzept, sich nie wirklich mit dem Betriebssystem und seinen Anwendungen beschäftigt und somit auch keine Chance, seinen Computer wirklich zu "reinigen".

Und wer uns nicht glaubt, dass es am besten ist, die komplette festplatte zu formatieren, glaubt vielleicht einer der Quellen (unter anderem Microsoft selbst), die auf dieser Seite zitiert und verlinkt sind.