hi,
obigen wurm habe ich mir heute eingefangen, als ich die platte zur datensicherung (windows war abgeschossen) an einen fremden rechner hängte.
als ich von dort aus die zu rettenden dateien auf eine andere partition (also auf meiner eigenen platte von c nach d) kopierte, fiel mir schon auf, dass sich da einfach dateien hinzukopierten. das gleiche, als ich zur sicherheit nochmal eine dieser dateien auf den ipod spielte.

so, jetzt war ich doch ein wenig verunsichert und habe tatsächlich mal wieder ein antiviren-programm installiert. luke piept mir jetzt auch schon alle nase lang das ohr voll, dass sich der wurm in irgendeiner selbsterstellten exe. versteckt habe- über alle partitionen hinweg. d.h., der scheißer hat sich aus dem ordner schon über alle partitionen hergemacht. (weiß gott wie das geht, aber ohne mein zutun hat der wurm erst mal im games-ordner eine datei erstellt (die ich dann anklickte^^), zuvor hatte ich jedoch definitiv nichts 'aktiviert', lediglich diesen einen ordner von d zurück ins frisch formatierte c kopiert- aber das genügt ja normalerweiße nicht?!)

was tun? hat das ding einen keylogger? (antivir hat keine informationen)..dann wär schonmal meine mail-account dahin.
(und wenn hier demnächst jemand unter meinem namen unsinniges zeugs schreiben sollte..^^)

das größte anliegen: wie bekomme ich meinen ipod sauber, ohne den pc wieder zu infizieren? da der dort aber nicht aktiv ist, dürfte doch eigentlich nichts passieren, wenn ich den anschließe und einfach lösche, oder?

edit.: HILFE, ich lese gerade, dass der exe. löscht.

Da bleibt nur eine Lösung, wenn du wirklich wieder ein vertrauenswürdiges System haben willst. Alles plattmachen und neu aufsetzen. Anderen Methoden würde ich in diesem Fall nicht vertrauen.

Den Kram auf dem Ipod kannst du einfach fix mit einer Linux-Live-CD löschen. Wobei...kann man auf den Ipod denn ganz normal als USB-Wechseldatenträger zugreifen oder braucht man dazu diese Itunes-Software?

Da bleibt nur eine Lösung, wenn du wirklich wieder ein vertrauenswürdiges System haben willst. Alles plattmachen und neu aufsetzen. Anderen Methoden würde ich in diesem Fall nicht vertrauen.

Den Kram auf dem Ipod kannst du einfach fix mit einer Linux-Live-CD löschen. Wobei...kann man auf den Ipod denn ganz normal als USB-Wechseldatenträger zugreifen oder braucht man dazu diese Itunes-Software?
auf den ipod auch einfach per usb, bzw. wechseldatenträger.

alles formatieren? bei sowas kann man praktisch kein backup machen! das kommt nicht in frage..

antivir ist durch, jetzt läuft noch bitdefender (online-test). dann nochmal antivir. hijackthis hat schon gerade eben keinen verdächtigen prozess mehr gefunden.

das kommt nicht in frage..Tja, in meinen Augen führt da aber nicht viel dran vorbei. Naja, soll ja auch Leute geben, die es nicht stört, wenn der Rechner voller Würmer und Trojaner ist, solange er nur halbwegs funktioniert.

Backups sollte man übrigens nicht erst dann erstellen, wenn es schon längst zu spät ist. ;)

ich bin normalerweiße der letzte, der sich sträubt, das system zu formatieren. das mache ich ohnehin alle paar wochen mal- weil dann für gewöhnlich ein virus auch ungefährlich ist, sofern man die finger von ihm lässt.

nochmal: wie kann es eigentlich sein, oder kann es überhaupt sein, dass der virus nur durch das verschieben/kopieren von d nach c aktiviert wurde?! oder habe ich mich da hoffentlich geirrt..

da gerade während des bitdefernde-onlinetests von antivir eine weitere warnung kam, hier man hijackthis:
(viel spass beim schnüffeln;))
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Hannes\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe



da ist doch gar nichts?!?

Was sagt denn die Warnung?

insane, ich verstehe Dich nicht ganz. Du hast die Daten auf einem infizierten Rechner sichern wollen, richtig? Von wo aus scannst Du denn jetzt die betreffende Platte? Du sagst ja, daß Windows nicht mehr lief. Oder hast Du jetzt Daten von C nach D kopiert und Windows frisch auf C installiert (dann sollte C ja sauber sein)?

Oder scannst Du von irgendeinem anderen, mutmaßlich verseuchten System aus? Das würde ich sofort stoppen, den Rechner ausmachen und von einem ganz sicher sauberen System aus weitermachen. Auf einem infizierten System ist ein Virenscanner ziemlich nutzlos bzw. es ist äußerst riskant, sich darauf zu verlassen.

Zu dem ipod: Habe selber keinen, aber wenn darauf keine aktiven, sondern nur Mediendateien liegen: Was sollen die da schon anrichten?

insane, ich verstehe Dich nicht ganz. Du hast die Daten auf einem infizierten Rechner sichern wollen, richtig? Von wo aus scannst Du denn jetzt die betreffende Platte? Du sagst ja, daß Windows nicht mehr lief. Oder hast Du jetzt Daten von C nach D kopiert und Windows frisch auf C installiert (dann sollte C ja sauber sein)?

Oder scannst Du von irgendeinem anderen, mutmaßlich verseuchten System aus? Das würde ich sofort stoppen, den Rechner ausmachen und von einem ganz sicher sauberen System aus weitermachen. Auf einem infizierten System ist ein Virenscanner ziemlich nutzlos bzw. es ist äußerst riskant, sich darauf zu verlassen.

Zu dem ipod: Habe selber keinen, aber wenn darauf keine aktiven, sondern nur Mediendateien liegen: Was sollen die da schon anrichten?
den ipod habe ich jetzt einfach drangehängt, der trojaner wurde gleich erkannt und gelöscht- hoffentlich bevor er sich über die hd verbreitet hat.

jetzt nochmal von ganz vorne;)
(ich habe wohl etwas unverständlich formuliert; das passiert, wenn ich mich furchtbar aufrege:wink:)
im grunde geht es um eine word-datei, an der ich rund 5 stunden geschrieben habe. die war auf c (eigene dateien), neben der es noch 3 weitere partitionen gibt. so, jetzt wollte ich heute morgen den rechner starten und bekomme die meldung, dass das system abgeschossen wäre. wiederherstellung hat nicht funktioniert-->ich komme nur an meine datei, wenn ich die platte mangels zweiter an einen anderen rechner hänge und von dort aus diese von c nach z.b. d kopiere, um c (system-partition) formatieren zu können.
das tat ich, und dieser rechner war, bzw. ist mit diesem genun.a.101 verseucht. das stellte sich heraus, als ich diese text-datei und noch ein paar andere in einem ordner auf d sicherte (während meine platte in diesem fremden rechner hing). da war es also schon geschehen.

so, datei auf sicherer partition, also wieder ab an meinen rechner, um c zu formatieren und windows neu einzurichten. das getan, kopierte ich die auf d gesicherten dateien zurück in die eigenen datein, sprich c. und dabei muss das virus aus unerfindlichen gründen ausgeführt worden sein- langt da tatsächlich das blose kopieren? ich dachte, der muss wenigstens angeklickt werden?!
die nächsten paar stunden sollte der sich dann über sämtliche partitionen hermachen. antivir findet nichts mehr, bitdefenders und kasperskys (oder so) online-test auch nicht.
jetzt habe ich vor, einfach nochmal zu formatieren, in der hoffnung, dass das virus dann wie jeder normale andere erst per hand wieder ausgeführt werden muss, um böse zu werden- sofern er noch irgendwo schlummert.

das müsste doch funktionieren?

Jetzt versteh ich Dich besser :)

Wie kommst Du darauf, daß der Virus auf Deinem Rechner, mit dem neuen Windows auf C:, ausgeführt worden ist? Du hast die Platte doch an dem verseuchten Rechner gehabt, d.h. der Virus hatte natürlich Gelegenheit, sich überall hin zu kopieren.

Ansonsten kann meines Wissens durch bloßes Kopieren von Dateien kein Virus aktiv werden.

...aber per Knoppix o.ä. kannste doch vorm BS Start aus scannen?

Und daß Warnungen kommen beim OnlineScan während im Hintergrund auf dem System n Guard läuft ist normal - der Guard mag die Signaturen vom OnlineScanner gar ned ;)

Trotzdem.... guck daß Du bevor das BS hochfährt die Schose gescannt bekommst... zur Not vielleicht auch mit dem Avast! --> Bootzeitprüfung... jaja! Geiler Name, ich weiß :D

Greets & good luck
S@uDepp

P.S. .... und kick den jusched ma wech ;)

nachdem die platte infiziert wurde, habe ich doch c formatiert, da das windows zerschossen war. und wenn das system fort ist, gibts kein autostart des trojaners. ergo hat das ding irgendwie nach der neuaufsetzung ausgeführt werden müssen. und ich habe nunmal eine solche automatisch erstellte exe im games-ordner gefunden, nachdem ich lediglich den ordner mit den vom fremden system eingeschleußten infizierten dateien zurück ins 'frische' eigene dateien kopiert habe.
komische sache.

ps.: ich lasse gerade antivir das dritte mal heute abend durchlaufen. es findet nichts mehr. wenn da sowas wie eine mit armadillo gecryptete 'mutterdatei' versteckt wäre, hätte die bis jetzt bestimmt schon wieder einiges 'angestellt'. scheint clean zu sein:)

nachdem die platte infiziert wurde, habe ich doch c formatiert, da das windows zerschossen war. und wenn das system fort ist, gibts kein autostart des trojaners. ergo hat das ding irgendwie nach der neuaufsetzung ausgeführt werden müssen. und ich habe nunmal eine solche automatisch erstellte exe im games-ordner gefunden, nachdem ich lediglich den ordner mit den vom fremden system eingeschleußten infizierten dateien zurück ins 'frische' eigene dateien kopiert habe.

Äh... versteh ich immer noch nicht. Regst Du Dich immer noch auf oder steh ich gerade auf der Leitung? :D Liegt Dein Games-Ordner auf C: und hätte deswegen jungfräulich sein müssen oder warum bist Du Dir sicher, daß die Datei dahin nicht schon beim Anschluß der Platte an den infizierten Rechner gedroppt wurde?

Äh... versteh ich immer noch nicht. Regst Du Dich immer noch auf oder steh ich gerade auf der Leitung? :D Liegt Dein Games-Ordner auf C: und hätte deswegen jungfräulich sein müssen oder warum bist Du Dir sicher, daß die Datei dahin nicht schon beim Anschluß der Platte an den infizierten Rechner gedroppt wurde?
games ist d, ja. aber ich glaube, du hast recht. ich bin davon ausgegangen, dass der trojaner, solange die platte am fremden rechner hing, nur in diesen gesicherten ordner gekommen ist. dann ergibt das alles endlich einen sinn;)
*blöd*

also bleibts hoffentlich dabei: auch das ist kein zauber-virus, das sich bei frisch aufgesetztem system verselbstständigt.

Alles klar :) Drück Dir die Daumen, daß das Teil Dir noch nicht allzuviel kaputtgemacht hat.