Irgendwo ist der Wurm oder so drin

#16 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\detpgmek

*******************

Script file located at: \??\G:\tojngadd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at G:\Avenger

*******************

Beginning to process script file:

Folder G:\XPHOME\zts2.exe deleted successfully.
Folder G:\XPHOME\system32\vcmgcd32.dll deleted successfully.
Folder G:\XPHOME\system32\iifgfgf.dll deleted successfully.
Folder G:\XPHOME\rundll16.exe deleted successfully.
Folder G:\XPHOME\rundl132.dll deleted successfully.
Folder G:\XPHOME\logo1_.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Mir ist auch aufgefallen wennich Strg-Alt-Entf Drücke öffnet sich der Taskmanager nicht mehr, wie kriege ich ihn eigentlich manuell geöffnet???
__________
MfG
Dragon29581

#17 poste dieses log
http://virus-protect.org/zip/combofix.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Erstmal möchte ichmich an dieser Stelle auch mal bei euch bedanken besonders an Sabina für die Klasse Jilfe und das es solche Foren überhaupt gibt.

Ich ziehe den Hut davor, das es Menschen gibt die aus den ganzen Files etwas entziffern können.
__________
MfG
Dragon29581

#19 poste alles komplett, wenn der platz nicht reicht als anhang - siehe unten
__________
MfG Sabina

rund um die PC-Sicherheit

#20 so in etwa den Anhang einfügen???


__________
MfG
Dragon29581

#21 gehe in die Registry
Start - Ausfuehren - regedit

Zitat

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
"Debugger"=

loesche:
"\"G:\\DOKUME~1\\SASCHA~1.REC\\LOKALE~1\\TEMP\\TEMPORäRES VERZEICHNIS 2 FüR PROCESSEXPLORER.ZIP\\PROCEXP.EXE\""

PC neustarten

»»
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Please Unzip files to the default location - G:\SAV32CLI



When the Sophos extraction window opens Click OK, Click Unzip

and OK again then click Close and any key to continue...












Drücken Sie eine beliebige Taste . . .

das steht nun bei mir und was soll ich nun machen

Ich habe jetzt mal Sav32 gestartet, lief ganz normal und plötzlich war das Bild weg, ich weis snicht ob das normal ist oder was da los war bei dem Programm.
__________
MfG
Dragon29581

#23 Drücken Sie eine beliebige Taste . . . - genau das musst du tun
dann folgen weitere Anweisungen, ich habe da auch Bildchen auf meiner Seite, die weiterhelfen....
http://virus-protect.org/artikel/tools/sdfix.html

3 : wird Sophos geladen - dann waehle 6 und scanne + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Jetzt kalppt es, habe es nochmal ausprobiert, hat mir immer bei drücken der Taste gesagt ich soll unzippen, immer iweder, aber jetzt hat sophos geöffnet, Bericht folgt :

nee doch nicht arbeitet alles ab, doch nachdem durchscannen von Sophos endet es und schliest sich ohne irgendeinen Bericht zu öffnen.
__________
MfG
Dragon29581

#25 poste also den report ..............
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Geht nicht jedesmal wenn ich es starte, scannt er alles ab und danns chliesst er sich ohne einen report zu öffnen.
__________
MfG
Dragon29581

#27 schau mal in den ordner vom Sophos, dort muesste eine txt-Datei mit dem scanreport sein
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Diese :

command line option disables scanning of that archive type. For example, to
scan all archive types except zip, use -archive -nzip.

Scanning of InstallShield CAB files is not enabled by default. To enable
scanning of these files use -opt=ISCabinet (NB case-sensitive).


Error codes
-----------

SAV32CLI returns the following error codes:

0 If no errors are encountered and no viruses are found.
1 If the user interrupts the execution by pressing Esc.
2 If some error preventing further execution is discovered.
3 If viruses or virus fragments are discovered.

Extended error codes

A different set of error codes will be returned if SAV32CLI is run with the
-EEC command line option:

0 If no errors are encountered and no viruses are found.
8 If survivable errors have occurred.
16 If password-protected files have been found and not decrypted.
20 If viruses have been found and disinfected.
24 If viruses have been found and not disinfected.
28 If viruses have been found in memory.
32 If there has been an integrity check failure.
36 If unsurvivable errors have occurred.
40 If execution has been interrupted.

oder den :

Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216745 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 07:52:18, System date 20 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: G:\Dokumente und Einstellungen\Sascha.RECHNER\Eigene Dateien\Empfangene dateien\SDFix\SDFix\SDFix\IDE

Password protected file C:\Feuerwehr Essen\Jahresnachweis\Feuerwehr Essen.xls
Password protected file C:\Feuerwehr Essen\Jahresnachweis\Feuerwehr Essen2006.xls
Password protected file C:\Feuerwehr Essen\Jahresnachweis\Feuerwehr Essen2007.xls
Password protected file C:\Feuerwehr Wesel\Feuerwehr Wesel.xls
Password protected file C:\Feuerwehr Wesel\Feuerwehr Wesel2005.xls
Password protected file C:\Feuerwehr Wesel\Feuerwehr Wesel2006.xls
Could not check C:\Feuerwehrlehrunterlagen\BMDF\CD BmDF\PPP IdF\TAKTISCHE_ZEICHEN.PPT (corrupt)
Password protected file C:\Feuerwehrlehrunterlagen\MANV\MANV_Konzept_BFE_4.ppt
Password protected file C:\Jugendfeuerwehr Wesel\Adresslisten\Jugendfeuerwehr.xls
Password protected file C:\Jugendfeuerwehr Wesel\Adresslisten\Jugendfeuerwehr2006.xls
Password protected file C:\Jugendfeuerwehr Wesel\Jahresberichte\JAHRESBERICHT_2005.XLT
Password protected file C:\Jugendfeuerwehr Wesel\Jugengruppenleiter Lehrgang\JGL_ARBEITSHILFEN\POWERPOINT_AUSBILDUNG\FEUERWEHR_DIENSTVORSCHRIFT_.PPS
Password protected file C:\Jugendfeuerwehr Wesel\Jugengruppenleiter Lehrgang\JGL_ARBEITSHILFEN\POWERPOINT_AUSBILDUNG\FEUERWEHR_DIENSTVORSCHRIFT_2.PPS
Password protected file C:\Jugendfeuerwehr Wesel\Jugengruppenleiter Lehrgang\Powerpoint Ausbildung\Feuerwehr Dienstvorschrift 3.pps
Password protected file C:\Jugendfeuerwehr Wesel\Jugengruppenleiter Lehrgang\Powerpoint Ausbildung\Feuerwehr Dienstvorschrift 4.pps
Password protected file C:\Listen\Telekom\2006_07einzelverbindungen_4969360897.pdf
Password protected file C:\Listen\Verm”genspl„ne\Verm”gensplan.xls
Password protected file C:\Listen\Verm”genspl„ne\Verm”gensplan2005.xls
Password protected file C:\Listen\Verm”genspl„ne\Verm”gensplan2006.xls
Password protected file C:\Listen\Verm”genspl„ne\Verm”gensplan2007.xls
Password protected file C:\verlorene Daten\DOC\cluster 152822.DOC
Password protected file C:\verlorene Daten\DOC\cluster 17274.xls
Could not check C:\verlorene Daten\DOC\cluster 1895278.DOC (corrupt)
Could not check C:\verlorene Daten\DOC\cluster 3262640.DOC (corrupt)
Could not check C:\verlorene Daten\DOC\cluster 4611.DOC (corrupt)
Could not check C:\verlorene Daten\DOC\cluster 5091.DOC (corrupt)
Password protected file C:\verlorene Daten\DOC\cluster 947519.DOC
Could not check C:\Vorlagen\Excel\ereignis\vba-programm.xls (corrupt)
Password protected file G:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file G:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file G:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file G:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file G:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file G:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf

5 boot sectors swept.
55585 files swept in 45 minutes and 30 seconds.
34 errors were encountered.
No viruses were discovered.
28 encrypted files were not checked.
Ending Sophos Anti-Virus.

Durch die ganzen Aktion klappenmeine Laufwere nicht mehr :

Ein Treiber(dienst) wurde für dieses Gerät deaktiviert. Möglicherweise kann ein anderer Treiber diese Funktionalität übernehmen. (Code 32)

Klicken Sie auf "Problembehandlung", um die Problembehandlung für dieses Gerät zu starten.

das ist die Fehlermeldung für beide CD Laufwerke

einmal NEC DVD RW ND 3500AG und einmal TSSTcorp DVD-Rom TS-H352A

Bitte helft mir, ich finde keine Treiber dafür und deinstallieren, abbauen und wieder anschliessen alles nicht geklappt.

Was soll ich tun.
__________
MfG
Dragon29581

#29 es kann schon sein, dass der Virus auch Treiber mit befaellt und loescht.
es ist ein Netzwerkwurm, ........ - sehr schwer alles, was veraendert wurde, zu finden und zu reparieren

Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte.

die Aktion hilft nur, wen du es schaffst eine Wiederherstellung vor dem Wurmbefall zu machen (vom Datum her)

berichte ..............
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Ok danke ich werde es versuchen, wie kann ich erfahren wennich eine Wiederherstellung mache ob der Wurm da schon war oder nicht???

Wie prüfe ich es???

Bin auf der Arbeit werde es morgen aufjedenfall ausprobieren, wäre nur schön wen du mir noch sagen könntest woran ich das dann erkennen kann.
__________
MfG
Dragon29581