Trotz akzuellem Betriebssystem, aktivierter Windows-Firewall hat mich obiger Virus/Wurm erwischt !

Das Notebook ist mein Dienstnotebook mit wichtigen Daten drauf. Es startet nur noch im abgesicherten Modus. Antivir ist selbst von dem Teil manipuliert worden. Es verändert alle .exe-Dateien auf dem Rechner. Kaspersky findet das Teil zwar, will die infizeirten Dateien aber alle gleich löschen ! Das sind aber meist auch Systemdateien von Windows. Ich darf die bestehende Inst. nicht verlieren !

Welcher Virenscanner kann die befallenen Dateien wieder herstellen und den Virus vernichten ??

Erstmal: Wenn du das Betriebssystem neu aufsetzt, nachdem du alle wichtigen Daten gesichert hast, sollte es doch keine Probleme geben, oder?

Ich würde dir folgendes Vorschlagen:
FAT32 oder NTFS-Partitionen?

Wenn NTFS, dann besorg dir eine Bootdiskette/CD mit der du in den DOS-Modus kommst und dort auf das Laufwerk zugreifen kannst.
Es gibt auch einige Scanner, die unter DOS Laufen. Soweit ich gelesen habe, funktioniert das auch mit einer Linux-Boot CD (Knoppix? Such mal bei heise.de danach).

Wichtig ist, das du das Betriebssystem auf KEINEN Fall startest, da der Virus sich sonst weiter ausbreiten kann, sollte er über eine solche Routine verfügen.

Alternativ kannst du versuchen, mit einem DOS-Partitiontool eine neue Partitionen zu erstellen, die wichtigen Dateien auf diese Partition zu schieben und Windows dann platt zu machen.

Vielleicht ist es dir auch möglich, die Festplatte auszubauen? Dann bräuchtest du sie lediglich in einen Rechner hängen und von dort aus bearbeiten.
Natürlich solltest du versuchen, keine Dateien auf dieser Festplatte auszuführen, sonst du ein Problem. ;-)

mmm...

http://www.sophos.de/virusinfo/analyses/w32tengaa.html
W32/Tenga-A infiziert ausführbare Windows-Dateien, die er auf allen Laufwerken außer Laufwerk A: findet. W32/Tenga-A kann auch versuchen, Dateien auf Netzwerkressourchen zu infizieren.
W32/Tenga-A versucht, Dateien von einem remoten Server herunterzuladen und zu starten. Zum jetzigen Zeitpunkt wird diese Datei als Troj/Penta-A erkannt.
W32/Tenga-A versucht, den Windows-Dateischutz zu deaktivieren.
W32/Tenga-A versucht, Dateien an zufällig gewählten IP-Adressen über NetBIOS zu infizieren.
W32/Tenga-A versucht außerdem, sich mit einem vorspezifizierten Server zu verbinden und einer Remote-Befehlseingabe zu erhalten, die weitere Befehle von einem remoten Eindringling erhalten kann.

Das Teil scheint über Netzwerks eingedrungen zu sein, das bedeutet, im welchem Netzwerk du dich auch eingeklinkt hast (Firmennetzwerk?!), es gibt dort ein Problem.

Ich hatte damal einen ähnlichen Virus - nannte sich Jeefo. Letztendlich vorlor ich ALLE "executable" Dateien, welche ich dann aus meinem Backup per Hand raussortieren durfte, inkl. aller Archive usw.

Diese Biester schreiben wohl per Zufall an eine Stelle in einer Datei einen schädlichen Code...welche die Datei zerstört und eine Verbreitung ermöglicht.

Reparieren war damals nicht mehr möglich.

Ich hatte den gleichen auch schon. Trotz firewall u virenscanner. Alleridngs hat der AntiVir damit probleme. In vielen Foren wird in bezug auf den Virus zu NOD32 geraten. Ich hab damals mit der BartPE aus der C't gebootet. Der darin vorhandene Scanner (weiß nicht mehr genau den namen) konnte einige Exe reparieren, aber nicht alle. Danach in Win gebootet u NOD32 laufen lassen. Hat nix gefunden. Trotz dem kam in regelmäßigen abständen von NOD32 mal die Meldung dass wieder eine Datei infiziert worden sein. Der Virus lädt sich Code aus dem Netz nach u fängt dann wieder von vorne an. Der ist echt ein harter Brocken, trotz dass er schon so alt ist.
Hier (http://virus-protect.net/virus/stanit.html) ist mal ne beschreibung die mir geholfen hat, aber komplett weg bekommen hab ich den damit nicht.
Immer mal wieder kam vom Scanner die Meldung ... "datei infiziert". Dann war ein schneller reboot empfohlen denn sonst gings weiter.
Andere Partition nützt auch nix, der Virus kann auch darauf zugreifen.

Danke für eure Antworten und Tipps.
Ich werd das Notebook heut zurück an unsere IT-Orga senden, die sollen es neu aufsetzen. Ich wollte es selbst machen, aber sie rücken den Win XP Pro Corporate-Key nicht raus ! ;)

Nun denn, kann ich nur hoffen, dass ich mir das Teil nicht nochmal einfange.

@Lakadamus:

Wir kommen mit unseren Notebooks nicht ins Firmennetzwerk! Von daher muß der sich über ne bestehende Internetverbindung (ISDN-PCMCIA-Karte)eingeschleust haben. Hatte ja nur die Scheiß-SP2-Firewall an. Mit ZoneAlarm auf meinem vorherigen Dienstrechner ist mir sowas nie passiert. Naja...

... aber sie rücken den Win XP Pro Corporate-Key nicht raus ! ;) ...
Spielt doch keine Rolle ... Der Admin muss den eh eingeben u ab dann "weiß" in des Windows. Der Key ist einfach raus zu finden:
Klick mich! (http://www.michaelstevenstech.com/ViewKeyXP.htm)
ganz runte scrollen ... da gibts nen haufen programme die den Key anzeigen :biggrin:

Jo danke,

aber zu spät, Hauspost ist schon weg ! Egal, sollen die sich damit rümärgern !

Gruß Lutter

Mit ZoneAlarm auf meinem vorherigen Dienstrechner ist mir sowas nie passiert. Naja...weder die noch ne andere hätte das verhindert...naja

probiers mal mit den scannern auf der ubcd...

Danke für eure Antworten und Tipps.
Ich werd das Notebook heut zurück an unsere IT-Orga senden, die sollen es neu aufsetzen. Ich wollte es selbst machen, aber sie rücken den Win XP Pro Corporate-Key nicht raus ! ;)
des admins liebster freund mit seinem eigenrumgefrickel

Was meinst du damit ? Das ich das nicht hinkriegen würde, oder was?
...Klugscheißer...

Was meinst du damit ? Das ich das nicht hinkriegen würde, oder was?was? ne neuinstallation? die würde wohl nahezu jeder hinbekommen...

ich weiss ja nicht wies bei euren itlern abläuft und was für automatismen sie nutzen...aber ein unbekannter rechner nutzt auch die dollsten automatismen nicht...

...Klugscheißer...man merkt es ist nicht dein aufgabengebiet...gut so...

oder anderst gefragt..inwiefern werden eure clients zentral gewartet?