habe virus im windows ordner

Hi!

Ich nehme mal an, Du hast einen Emailanhang aufgemacht. Denn die Symptome passen zu einer der seit gestern im Umlauf befindlichen Sober-Varianten.

Da diese Variante Dateien aus dem Internet herunterladen und diese zur Ausführung bringen kann, kann ich Dir nur zu einer Neuinstallation raten.

und geht es auch ohne neuinstallation?

Hi!

Schon, aber es sprechen nach meiner bescheidenen Meinung genügend Gründe dafür.

Der Wurm ist sehr neu, keiner weiß so genau, was und woher es was herunterlädt und was dieser zusätzliche Code tut. Im schlimmsten Falle ist es eine Backdoor oder fieseres.

Du kanst auch mit diesen Super-Removal-Tools einen Schädling nicht sicher zu 100% entfernen. Kann klappen, muß aber nicht. Mal ganz abgesehen davon, daß die neuen Sober-Varianten die Ausführung dieser Tools verhindern, zumindest von Stinger.

Willst Du es ohne versuchen, mache folgendes:
Systemwiederherstellung abschalten, im abgesicherten Modus starten.
Dann mit den neuesten Updates für Deinen Virenscanner den Rechner untersuchen und alles entfernen, was sich als infiziert outet. Schafft Dein Virenscanner nicht alles, lösche die verbliebenen Dateien per Hand, z.B. die im Ordner winsecurity und den Ordner direkt mit.
Anschließend normal starten und Systemwiederherstellung einschalten.

ich würde sie nicht per virenscanner löschen. lass sie vom virenscanner nur lahmlegen, und schreibe dir genau auf welche er wo findet und wie das biest bezeichnet wird.

dann informiere dich im internet wo sich das viech in die registry einträgt,und was es kann. suche nach dem dateinamen den der virenscanner angegeben hat, und nach der bezeichnung. firmen von unterschiedlichen virenscannern bieten unterschiedlich hilfreiche informationen zum manuellen entfernen an, meisstens wird man recht schnell fündig. jetzt gehts in den abgesicherten modus.

im abgesicherten modus solltest du mit einem registryeditor die einträge die der virus/trojaner erstellt hat löschen oder editieren (wenn er sich als parameter an das ausführen der explorer-exe oder was anderes wichtiges gehängt hat ist löschen nicht so optimal, hier z.b. nur die entsprechenden parameter entfernen)

dann benenne die dateien die zum wurm/trojaner gehören um in textdateien, öffne sie mit dem editor, richte etwas chaos im code an, und lösche sie dann. (also wenn man im texteditor den code vom trojaner/wurm sieht stellen rauslöschen und irgendnen quark eintippen)

jetzt solltest du den rechner neu starten, und nochmal überprüfen ob wirklich alle dateien und registryeinträge immernoch weg sind.

eine neuinstallation, auch mit formatieren der festplatte, wird dir mit 90%iger wahrscheinlichkeit NICHT weiterhelfen, da die registry sowie wichtige dateien auf die sich die registry bezieht bei der neuinstallation von windows sehr oft wiederhergestellt werden.

virenscanner und firewalls sind äusserst hilfreich zum auspüren und lahmlegen von würmern und trojanern, aber beim löschen meisstens nicht besonders gründlich.

MfG

Hallo,

BigDaddy hat wohl mit Vermutung wohl recht, das hier die aktuelle Sober Wurmvariante zugeschlagen hat, es spricht alles dafür.

Info zum Sober-Worm
http://www.bsi.de/av/vb/sober-x.htm
und
http://www.percomp.de/virentry-f.php?index=1355&jump=Sober.Y
 
Mit meisten den Removal Tools kommt man zur Zeit auch noch nicht weit, da sie diese neue Variante von Sober noch nicht erkennen, mit einer Ausnahme wohl:

AV Cleaner “Damage Cleanup“ von Trend Micro
(Spezielles kostenloses Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein!
A. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
B. Pattern, ca. 8 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
 
Was für Virenscanner wurden denn bereits eingesetzt?
Wurden die Viren-Erkennungssignaturen auch aktualisiert, was ich mir bei diesem Fall nicht vorstellen kann, denn alle bekannten großen Antivirushersteller haben seit Dienstag (22.11.05) Vormittag entsprechende Updates zur Verfügung gestellt.

Also,
versuche es mit Vorschlag von BigDaddy oder/und  mit der Cleaner-Tool von Trend Micro.

Und man kann es nicht oft genug sagen, bitte beachte unbedingt die folgende Hinweise!
1. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
2. PC im abgesicherten Modus booten:
3. Aktualisieren der Virusdefinitionsdateien
4. System mit einen aktuellen Virenschutzprogramm scannen.
5. Lösche alle gefundenen befallenen Dateien durch das AV-Programm oder per Hand.
6. PC wieder normal Starten und die Systemwiederherstellung aktivieren.
7. Zur Kontrolle in den nächsten 1-2 Tagen Punkt 3 und 4 wiederholen. 

Und noch ein besonderer Hinweis!
Gegebenenfalls die verseuchte Mail per Hand lösen.
Einige Virenscanner können einige keine Mailarchive von verschiedenen Hersteller nicht scannen bzw. können dies überhaupt nicht, z.B. die Removal Tools.

Die Vorsorge:
Halten Sie Ihre Software durch Updates auf dem neuesten Stand.
Besonders Wichtig sind hier das Betriebssystem, der Antivirusscanner (täglich updaten ist nicht übertrieben), Internet-Browser, Mail und Office-Programme.
Öffnen Sie keine E-Mail oder Attachments, die Sie nicht angefordert haben. Sorgen Sie dafür, dass auch Ihr Mailprogramm die angehängte Datei nicht automatisch öffnet.

PS
Die Removal Tools finde ich in Fällen sehr Hilfreich, aber sie sind in ihren Funktionsumfang sehr eingeschränkt und können daher ein Gutes vollwertiges Antivirusprogramm nicht ersetzen.