Hilfe,Virus!!

DarkSister

nicht mehr wegzudenken
Unser Rechner ist Virusverseucht!!!:(
Der Virenscanner hat den "Loveletter-Virus" gefunden,in beiden systemen (wir haben Win ME und XP drauf)..nachdem der Virenscanner seine Arbeit verrichtet hat(er hat einige dateien repariert und einige,die wohl irreperabel waren gelöscht),läuft das System jezt so halbwegs..aber es befinden sich immer noch verseuchte dateuíen auf dem Rechner,mit denen der Virenscann nix gemacht hat..

Nun mein Hauptproblem...der Virenscanner hat etliche Bilder von der Platte gelöscht..kannich die irgendwie wiederbekommen,oder sind die einfüralle mal verloren ?
Ausserdem habe ich jede Menge MP3 auf der Platte,die der Virenscann als infiziert gemeldet hat,aber nicht gelöscht hat...muss ich die jetzt alle löschen,bevor ich das System neu mache???Oder kann ich die irgendwie retten und auf CD bruzzeln ??

Ich hoffe,das nicht meine Daten alle verloren sind und das mir jemand helfen kann..
 

Nipple

assimiliert
Hi Darksister,
hier mal ein paar Infos zu Loveletter:
Virus Characteristics
*Note: Ensure that the extensions .VBS, .HTM are included when scanning.*
As this detection covers many variants, you may experience symptoms other than those described below.
This is a VBScript worm with virus qualities. This worm will arrive in an email message with this format:
Subject "ILOVEYOU"
Message "kindly check the attached LOVELETTER coming from me."
Attachment "LOVE-LETTER-FOR-YOU.TXT.vbs"
(note that other threats use similar filenames, such as W95/MTX.gen@M which uses the filename LOVE-LETTER-FOR-YOU.TXT.pif):
If the user runs the attachment the worm runs using the Windows Scripting Host program. This is not normally present on Windows 95 or Windows NT unless Internet Explorer 5 is installed.
When the worm is first run it drops copies of itself and writes an .HTM file in the following places :
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.HTM
It also adds the registry keys :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32DLL=WINDOWS\Win32DLL.vbs
in order to run the worm at system startup.
This worm searches all drives connected to the host system and replaces the following files:
*.JPG
*.JPEG
with copies of itself and it adds the extension .VBS to the original filename. So PICT.JPG would be replaced with PICT.JPG.VBS and this would contain the worm.
The worm also overwrites the following files:
*.VBS
*.VBE
*.JS
*.JSE
*.CSS
*.WSH
*.SCT
*.HTA
with copies of itself and renames the files to *.VBS.
This virus locates instances of the following file types:
*.MP3
*.MP2
and if found, makes them hidden and copies itself as these filenames except with .VBS extension. For instance, if file exists as "2PAC.MP3", this now becomes a hidden file and the virus is copied as "2PAC.MP3.VBS".
The worm creates a file 'LOVE-LETTER-FOR-YOU.HTM' which contains the worm and this is then sent to the IRC channels if the mIRC client is installed. This is accomplished by the worm replacing the file SCRIPT.INI.
After a short delay the worm uses Microsoft Outlook to send copies of itself to all entries in the address book. The mails will be of the same format as the original mail.
This worm also has another trick up it's sleeve in that it tries to download and install an executable file called WIN-BUGSFIX.EXE from the Internet. This exe file is a password stealing program that will email any cached passwords to the mail address MAILME@SUPER.NET.PH
In order to facilitate this download the worm sets the start-up page of Microsoft Internet Explorer to point to the web-page containing the password stealing trojan.
The email sent by this program is as follows :
-------------copy of email sent-----------
From: [victim machine name]@[victim IP address]
To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]
RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------
The password stealing trojan is also installed via the following registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
to autorun at system startup. After it has been run the password stealing trojan copies itself to WINDOWS\SYSTEM\WinFAT32.EXE and replaces the registry key with
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
WinFAT32=WinFAT32.EXE
Top of Page
Symptoms
Existence of files mentioned above, replacement of files as mentioned above. Email propagation as described above. IRC file distribution as mentioned above.
Top of Page
Method Of Infection
This virus will run if Windows Scripting Host is installed. Running the email attachment received either accidentally or intentionally will install to the local system, and also to all available drives, send via email message as an attachment and also via IRC if installed.
Top of Page
Removal Instructions
All Users:
Script,Batch,Macro and non memory-resident:
Use specified engine and DAT files for detection and removal.
PE,Trojan,Internet Worm and memory resident:
Use specified engine and DAT files for detection. To remove, boot to MS-DOS mode or use a boot diskette and use the command line scanner:
SCANPM /ADL /CLEAN /ALL
Additional information for Windows ME users:
NOTE: Windows ME utilizes a backup utility that backs up selected files automatically to the C:\_Restore folder. This means that an infected file could be stored there as a backup file, and VirusScan will be unable to delete these files. These instructions explain how to remove the
infected files from the C:\_Restore folder.
Disabling the Restore Utility
1. Right click the My Computer icon on the Desktop.
2. Click on the Performance Tab.
3. Click on the File System button.
4. Click on the Troubleshooting Tab.
5. Put a check mark next to "Disable System Restore".
6. Click the Apply button.
7. Click the Close button.
8. Click the Close button again.
9. You will be prompted to restart the computer. Click Yes.
NOTE: The Restore Utility will now be disabled.
10. Restart the computer in Safe Mode.
11. Run a scan with VirusScan to delete all infected files, or browse the file's located in the C:\_Restore folder and remove the file's.
12. After removing the desired files, restart the computer normally.
NOTE: To re-enable the Restore Utility, follow steps 1-9 and on step 5 remove the check mark next to "Disable System Restore". The infected file's are removed and the System Restore is once again active.
AVERT Recommended Updates:
* Office2000 Updates
* Malformed Word Document Could Enable Macro to Run Automatically (Information/Patch)
* scriptlet.typelib/Eyedog vulnerability patch
* Outlook as an email attachment security update
* Exchange 5.5 post SP3 Information Store Patch 5.5.2652.42 - this patch corrects detection issues with GroupShield
For a list of attachments blocked by the Outlook patch and a general FAQ, visit this link.
Additionally, Network Administrators can configure this update using an available tool - visit this link for more information.
It is very common for macro viruses to disable options within Office applications for example in Word, the macro protection warning commonly is disabled. After cleaning macro viruses, ensure that your previously set options are again enabled.

Leider auf englisch, sorry.
 

Nipple

assimiliert
So, hier nun wie er entfernt wird:

Removal Instructions
All Users:
Script,Batch,Macro and non memory-resident:
Use specified engine and DAT files for detection and removal.
PE,Trojan,Internet Worm and memory resident:
Use specified engine and DAT files for detection. To remove, boot to MS-DOS mode or use a boot diskette and use the command line scanner:
SCANPM /ADL /CLEAN /ALL
Additional information for Windows ME users:
NOTE: Windows ME utilizes a backup utility that backs up selected files automatically to the C:\_Restore folder. This means that an infected file could be stored there as a backup file, and VirusScan will be unable to delete these files. These instructions explain how to remove the
infected files from the C:\_Restore folder.
Disabling the Restore Utility
1. Right click the My Computer icon on the Desktop.
2. Click on the Performance Tab.
3. Click on the File System button.
4. Click on the Troubleshooting Tab.
5. Put a check mark next to "Disable System Restore".
6. Click the Apply button.
7. Click the Close button.
8. Click the Close button again.
9. You will be prompted to restart the computer. Click Yes.
NOTE: The Restore Utility will now be disabled.
10. Restart the computer in Safe Mode.
11. Run a scan with VirusScan to delete all infected files, or browse the file's located in the C:\_Restore folder and remove the file's.
12. After removing the desired files, restart the computer normally.
NOTE: To re-enable the Restore Utility, follow steps 1-9 and on step 5 remove the check mark next to "Disable System Restore". The infected file's are removed and the System Restore is once again active.
AVERT Recommended Updates:
* Office2000 Updates
* Malformed Word Document Could Enable Macro to Run Automatically (Information/Patch)
* scriptlet.typelib/Eyedog vulnerability patch
* Outlook as an email attachment security update
* Exchange 5.5 post SP3 Information Store Patch 5.5.2652.42 - this patch corrects detection issues with GroupShield
For a list of attachments blocked by the Outlook patch and a general FAQ, visit this link.
Additionally, Network Administrators can configure this update using an available tool - visit this link for more information.
It is very common for macro viruses to disable options within Office applications for example in Word, the macro protection warning commonly is disabled. After cleaning macro viruses, ensure that your previously set options are again enabled.
 

DarkSister

nicht mehr wegzudenken
Ich danke Dir für deine Mühe,Nipple..leider ist es schon 15 Jahre her das ich aus der schule bin,und meine Englisch-Kentnisse sind seid dem leider ziemlich verblasst und reichen nicht mehr um die Texte hundertprozentig zu verstehen..
es wäre echt klasse,wenn mir jemand das ganze übersetzten könnte !
 

Punkattack

assimiliert
Beseitigung-Anweisungen Alle Benutzer: Script,Batch,Macro und nicht speicherresident: Verwendung spezifizierte Motor, und DAT geht in einer Reihe für Aufdeckung und Beseitigung. PE,Trojan,Internet Worm und Gedächtnis-residente Teil: Verwendung spezifizierte Motor, und DAT geht in einer Reihe für Aufdeckung. Um umzuziehen, treten Sie zu MS-DOS Betriebsart oder benutzen Sie eine Stiefel-Diskette und benutzen Sie die Befehlszeile lexikalische Analysator: SCANPM /ADL /CLEAN /ALL Zusätzliche Informationen für Windows ICH Benutzer: NOTIZ: Windows ICH nutze ein Sicherung-Dienstprogramm, das ausgewählte Akten automatisch zum C unterstützt,:\_Restore Mappe. Dies bedeutet, daß eine entzündete Akte dort als ein Sicherungsdatei gelagert werden könnte, und VirusScan wird unfähig sein, diese Akten zu löschen. Diese Anweisungen erklären, wie die entzündeten Akten vom C zu entfernen sind,:\_Restore Mappe. Lahmlegend das stellen Sie Dienstprogramm 1 wiederher. Richtiges Klicken das Mein Computer-Ikon auf dem Desktop. 2. Klicken Sie den Leistung-Tabulatorsprung an. 3. Klicken Sie die Akte System-Knopf an. 4. Klicken Sie den Störungsbeseitigung-Tabulatorsprung an. 5. Setzen Sie einen Häkchen neben ", legen Sie System lahm, stellen Sie " wiederher. 6. Klicken Sie das wenden Sie Knopf an. 7. Klicken Sie den Nahen Knopf. 8. Klicken Sie den Nahen Knopf wieder. 9. Sie werden veranlaßt werden, den Computer fortzusetzen. Klicken Sie Ja. NOTIZ: Das stellen Sie wiederher, Dienstprogramm wird jetzt lahmgelegt werden. 10. Wiederanlauf der Computer in Sicherer Betriebsart. 11. Starten Sie eine Ultraschallaufnahme mit VirusScan, um alle entzündeten Akten zu löschen, oder blättern Sie, die Akte hat im C gefunden:\_Restore Mappe und entfernt die Akte. 12. Nach dem Entfernen der gewünschten Akten, Wiederanlauf der Computer normal. NOTIZ: Um zu wieder-ermöglichen das stellen Sie Dienstprogramm wiederher, folgen Sie Schritten 1-9 und auf Schritt 5 entfernen Sie den Häkchen neben ", legen Sie System lahm, stellen Sie " wiederher. Die entzündete Akte wird entfernt, und das System stellt wiederher, ist einmal mehr aktiv. Wenden Sie empfehlen Aktualisierungen ab: * Office2000 Updates * Mißgebildetes Wort Dokument könnte Makroelement ermöglichen, Automatisch zu laufen (Information/Patch) * scriptlet.typelib/Eyedog-Verwundbarkeit-Fleck * Aussicht als eine E-mail Zusatzteil Sicherheit Aktualisierung * Austausch 5.5 Pfahl SP3 Information Speicher Fleck 5.5.2652.42-dieser Fleck korrigiert Aufdeckung-Fragen mit GroupShield For, den eine Liste von Zusatzteilen vom Aussicht-Fleck und einem allgemeinen FAQ blockierte, besuchen Sie diese Verbindung. Zusätzlich können Netzverwalter diese Aktualisierung mit Hilfe eines verfügbaren Tool konfigurieren-Besuch diese Verbindung für mehr Informationen. Es ist für Makroelement Viren sehr gewöhnlich, Optionen zum Beispiel innerhalb Büro-Anwendungen in Wort lahmzulegen, der Makroelement, den Schutz-Warnung im allgemeinen lahmgelegt wird. Nach dem Reinigen von Makroelement Viren, stellt sicher, daß Ihren vorher fertigen Optionen wieder ermöglicht wird.

:ROFLMAO:,
warte, bis einer kommt, der englisch kann.
Punk
 

DarkSister

nicht mehr wegzudenken
Hat sich erledigt!!!!

Wir haben gesichert,was noch nicht verseucht war und haben dann die Hau-Ruck-Methode format c angewendet..nu is der rechner wieder sauber,aber leider sind auch etliche daten verloren gegangen...:cry:
 

Nipple

assimiliert
Können wir Dir irgendwie helfen die Daten zurückzubekommen oder bist Du in der glücklichen Lage ein Backup zu haben?

CU Nipple
 
R

raptor

Gast
Welcher Virenscanner löscht denn einfach so Dateien ohne den Anwender vorher zu fragen??
Man könnt' se ja auch isolieren wenn sie nicht reparabel sind...(zumind. in nav)
 

rsjuergen

assimiliert
Meine bisher erste und einzige Begegnung der dritten Art war Melissa, und das ist schon viele Jahre inzwischen her, seitdem (klopf, klopf, klopf) noch nicht wieder. Und das trotz der Tatsache, dass außer mir noch zwei meiner Kinder über Ihre Rechner das Internet nutzen. Ich selber benutze NAV in der aktuellen Version und NIS ebenfalls in der aktuellen Version. Dabei denke ich mal, dass NAV 2002 gegenüber den Vorgängern besser geworden ist, jetzt werden vor dem absenden sogar meine Mails gecheckt.
Allerdings muss ich auch sagen, dass alle relevanten Daten von mir auf Zip gesichert werden. Falls tatsächlich mal was passiert würde ich deshalb lieber das System neu aufsetzen, als immer im Hinterkopf zu haben, es könnte ja sein....
 
Oben