Sub 7, Worm Gezda, Worm Israfel...

[MegaTranceMaster]

Hallo ich bin neu hier.
Ich hab ein ganz kleines Problem,... Auf www.Be**sha*e.com, hab ich mir ein Programm gedownloadet. Man muss WhenU Save auch downloaden. Mir ist wohl bekannt, das dies Spyware oder/und Adware ist (ich erkenn da kein unterschied zwischen Spy und Adwere). Hab´s auch erfolgreich löschen können. Jetzt zu meinem eigentlichen Problem:
Den Trojaner Sub7 hab ich gedownloadet (weiß zwar nicht wie, ist aber leider auf meinem Rechner). Es wurden 6 Backdoor Viren installiert und der eigentliche Trojaner, die ich alle nicht wegbekomme. Worm Gezda.03 hab ich auch drauf. Es sind schon 3000 Dateien infiziert (ist ungelogen wäre schön wenn ich gelogen hätt ). Denn Wurm Israfel hab ich auch drauf der aber keine berdohung darstellt. Ich hab mal einige Antiviren Hersteller gefragt was das ein Virus sei. Jeder Hersteller meint per E-mail es sei eine neue Virenart.
Dieses Virus nennt sich Bloodpressure.exe, Bloodpressure.com (übersetzung: Blut Hochdruck). Was ich bei diesem Virus wirklich verstehen kann.
Symptome dieses Virus: Öfters erscheinender Dos fenster, wo was installiert wird, Schwartzer Vollbildscreen wo ein Animierter Totenkopf auftaucht der auf englisch spricht: Dein Pc ist durch mich verseucht, beginne die Daten zu klauen, Passwörter zu spionieren, Boorsektoren werden angegriffen, zuletzt ein format durchgezogen.

Ehrlich gesagt hatte ich noch nie solche "Angst" vor Pc Viren, doch dieser Animierte Totenkopf sieht Total ECHT aus...
Jedes mal wen dieser Totenkopf erscheint, schaltete ich denn Pc sofort aus...

Nix geht mehr: Kein abgesicherter Modus, Grund: er sei beschädigt.
Kein Umbennen von diesem Virus, (jetzt weiß ich er steckt) bring mich keinen Milliardstel millimeter weiter. Hijackthis kann ich auch nicht mehr starten. Downloaden von Musik, Antivirenprogrammen oder irgendauch ein Byte, wird vom Virus nicht gestattet: Da kommt wieder so ein Text, das du keine Downloads ausführen kannst...
E-scan geht auch nicht.
AntiVir findet nix
KasperSky findet nix.
BitDefender findet nix.

UND JETZT KOMMT´S, Eingaaufforedung für Format C wird durch den Administrator nich gestattet...........<- was ist damit gemeint????????????????????????

Kann ich jetzt kein Format durchführen oder wie???

Ich bitte noch um schnelle Hilfe...

Gruß MegaTranceMaster

[Tammy]

hmm....ohne jegliche Logfiles/Unterlagen/Angaben etc. wird das schwierig werden.


LG
Tammy

[MegaTranceMaster]

Ach,....... glaub ich auch....
Ich schau mal nach was ich so im Pc noch alles an etwas neuwertigeren Logfile´s finde...

[MegaTranceMaster]

Ich hab ein Logfile vor der Infiktion von den oben genannten Würmer, Trojaner...
Dafür sieht man diesen Bloodpressure virus..

Logfile of HijackThis v1.99.1
Scan saved at 00:57:33, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WONDOWS\system32\Bloodpressure.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Bloodpressure.com
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AOL 9.0c\waol.exe
C:\Programme\AOL 9.0c\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Stefan Eisele.SE.000\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
04 - HKLM\..\Run: [NO VIRUS] C:]\WINDOWS\Desktop\pressure.com
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\Run: [NO VIRUS] C:\WINDOWS\Desktop\Blood.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE742EDF-9E1F-4646-A487-8FA335857004}: NameServer = 205.188.146.145
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

[Karl]

Hallo MegaTranceMaster,

ein Logfile von vor einem Monat ist mehr als antik. Damit kommen wir überhaupt nicht weiter. Hast Du einen anderen Computer zur Verfügung, auf dem Du Sachen runterladen kannst und dann per CD, USB-Stick usw. auf den befallenen Computer schaffen kannst?

Wenn Du aber wirklich kein Programm, keinen Scanner, einfach nichts mehr auf dem Computer starten kannst (woher weißt Du dann aber, daß schon über 3000 Dateien befallen sind und was alles auf dem Computer ist ???) dann sieht es schon ziemlich schlecht aus.

Da Du aber bloodpressure.exe und blood.exe nun schon einen Monat auf deinem Computer hast, raff ichs nicht so recht, wieso Du nicht schon längst was unternommen hast, damals wäre es kein großes Problem gewesen

Nun auf einmal:

Ich bitte noch um schnelle Hilfe...

Ich vermute mal, daß dir das egal war solange dieses Bearshare dir noch weitere Raubkopien und sonstigen illegalen Kram gebracht hat, jetzt wo das nicht mehr geht kriegst Du Panik.

Formatieren geht aber immer: Computer ausschalten. Windows CD raussuchen. Computer einschalten, Windows CD ins Laufwerk, ins Bios gehen (meistens F2 oder ENTF, eventuell im Boardhandbuch nachschauen), dort die Bootreihenfolge so setzen, daß von CD geladen wird. Nun startet das Installationsprogramm von Windows. Da gibt es einen Punkt wo Du gefragt wirst, wohin installiert werden soll. Dort kannst Du auch die Partitionierung ändern. Alle vorhandenen Partitionen löschen. Danach neue Partition anlegen. Die zukünftige Systempartition zweimal langsam formatieren, erst mit FAT32 dann mit NTFS (oder umgekehrt, falls Du am Ende FAT32 haben willst, besser ist aber NTFS). Eventuell mußt Du nach der ersten Formatierung nochmal ganz neu starten. Nun kannst Du anfangen Windows zu installieren. Die anderen Partitionen kannst Du auch später von der Windows Laufwerksverwaltung aus anlegen und formatieren wenn Du vorher entsprechend Platz auf der Platte frei läßt.

Gruß, Karl

[affa]

sälü virenscammler

organisier dir eine linux boot CD oder ähniches teil, dann sicher mit diesem deine daten auf CD/DVD/USB/Externe HD.

dann gibts in meine augen nix mehr als den pc platten wies in meiner signatur steht.

affa

[MegaTranceMaster]

Hallo,
@Karl... Ahja du meinst ich hätt nix unternommen??? ???
FALSCH, ich hab AntiVir Durchlaufen lassen, Norton Antivirus, Kaspersky....
Keiner hat was gefunden???. Mein Pc meldet mir das der Worm Gedza sich "breitmache" in dem er AntiVir automatisch einschaltet. (Oder ich hab einen Planer eingerichtet der um exakt diese Uhrzeit läuft) ...
Dann die Infektion mit diesem Klump Blooddingsbums. KEINER meiner Antivirensoftware hat auch irgendein hauch von diesem Virus gesein... Ich würde ja gerne auf einen Fehlalarm hinnausschiesen wollen, das sich durch diesen (scheußlichen) Totenkopf deutlich bestätigt, das dies doch ein Virus ist... Mein Antivir guard, hat mir schon gemeldet das die Datei verseucht ist UND, was hab ich gemacht?????????????????????????????? Sie einfach gelöscht mit Tweak Power das ingesamt 90 mal -_- .
Zwecks Bearshare: Wenn es schon solche Programme gibt, dann müssten diese ja auch irgendwie gesperrt sein?!?!?!
Ich lad mir Lieder runter die ich auf CD hab.. Naja eher gesagt die VOLLEN lieder... Auf meinen Techno CD´s, sind ja nicht die ganzen Lieder drauf....
Es gibt ja auch UseNext, Filetopia, Icq, Shaerwarzea <- oder wie man dies schreibt.

Karl das du meinst da ich nix unternehme ist Falsch, ich liefere meinem PC immer die neuwertigsten Updates.

Gruß DJMega

[Karl]

Hört sich danach an, als ob es ein Virus wäre der EXE Dateien infiziert, das gibts nicht mehr so oft. Um dir irgendwie Ratschläge geben zu können, müssen wir einfach mehr Informationen haben. Ein frisches Hijackthis Log ist schon mal sehr gut. Weiterhin schreiben eigentlich alle Scanner Logs, da könntest Du die entsprechenden Teile mit den Funden hier rein kopieren. Wenns 3000 mal derselbe ist, dann bitte nicht alle, nur ein paar

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit vielen Scannern gleichzeitig untersucht werden.

• Jotti
• VirusTotal

Mach das mal mit Bloodpressure.exe, Blood.exe und pressure.com. Eventuelle Resultate dann hier rein kopieren.

Außerdem solltest Du versuchen ein paar der Viren zu sichern, in ein Zip mit Passwort packen und auf CD brennen. Die sollte man den Herstellern von Scannern schicken. Ich bin auch neugierig, würde es sogar bei mir auf dem Rechner ausprobieren.

Auf der einen Seite erzählst Du mir, daß kein Scanner das finden kann. Auf der anderen Seite erzählst Du was Du alles auf deinem Rechner hast:

Es wurden 6 Backdoor Viren installiert ... Worm Gezda.03 hab ich auch drauf. Es sind schon 3000 Dateien infiziert ... Denn Wurm Israfel hab ich auch drauf

Woher weißt Du das denn dann?

Ich verstehe eine ganze Menge von Bits und Bytes, aber das kann ich nicht verstehen. Solange Du uns nicht ein paar Logs liefern kannst, ist keine Hilfe möglich. Da bleibt dir wirklich nur zu formatieren.

Gruß, Karl

[MegaTranceMaster]

Hallo Karl,
Ich weiß du meinst er nur gut,
doch bevor mein System begann zu spinnen, hab ich ja einen Virenscann durchlaufen lassen. Vielleicht hab ich das etwas falsch formuliert, kann ja passieren !
Ich erzähl es dir genau. Mein Laufwerk C (hab nur ein Laufwerk) war komplett mit Viren beladen, da blieb mir nix anderes übrig als zu formatieren. Nach der formation hab ich die nötigsten Sachen installiert (Bearshare ausgeschlossen) um "neu" anzufangen. Als ich wieder Süchtig auf neue Lieder war, konnte ich nicht wiederstehen und hab mir letzendlich doch noch Bearshare installiert. Wie gesagt mir ist bekannt das dass Programm WhenU save, eine Adware infizierte Datei war. Jetzt kommt mir gerade so eine Frage im Kopf geschossen, wie lange braucht ein Virus, oder Adware, bis ich die ersten, meist zu späten symptome bemerke???
Jetzt will ich den Virus Bloodpressure nicht auf Biologische Art mit dem Aids Virus vergleichen, doch könnte es sein, das sich dieser "einistet" und sich später bemerkbar macht!?!?!?!

Zurück zum Leitfaden: Ich ließ den AntivVirenscanner durchlaufen und fand natürlich den Wurm Gedza.03. Er konnte den Virus NICHT löschen. Deshalb die Ausbreitung. Um es noch genauer zu sagen; Hab ich denn AntivVirus Spätere Zeit nochmals durchlaufen lassen. Den Virus/Trojaner/Wurm - wie auch immer - Sub7 hat er erfolgreich löschen können, denn Virus Gedza03. wiederrum nicht. Nach ein paar Tagen bemerkte ich das mein Pc von Minute zu Minute immer langsamer wurde, das heißt, selbes Spiel wie vorhin. AntiVirenprogramm durchlaufen lassen, und schauen ob sich was neues eingeniestet hat. Bei "Jotti" <- wo man die Dateien nach Viren überprüfen kann, hieß die Datei: IstBar = Worm Gedza.01/02/03 usw.... Daher weiß ich wie viele Dateien Infiziert waren, weil mich das nervige geklicke von der Virusmeldung ziehmlich zur weißglut brachte und ich auf diesen Worm alle Meldungen auf Automatisch löschen, was ja nicht ging. Mein Pc machte ein Warnsignal nach dem anderen. ungefähr waren ca. ~2890 Dateien. Ist ja Quasi das gleiche wie 3000 ......................

Etwas später (siehe zwei-drei Tage), kamen mir die Meldung vom Bloodpressure. UND ICH KANN SCHWÖREN; Ich hab bei Jotti schon diese Datei hochgeladen und keiner fand was.:very_angr .

Nun Leider hab ich nicht wirklich ein CD-Brenner, was natürlich für die heutige Zeit richtig empfehlendswert wäre...

Gruß DjMega

[affa]

deaktiver bitte die systemwiederherstellung:

So deaktivieren Sie die Systemwiederherstellung in Windows XP

1. Klicken Sie auf Start.
2. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und dann auf Eigenschaften.
3. Aktivieren Sie auf der Registerkarte Systemwiederherstellung das Kontrollkästchen Systemwiederherstellung deaktivieren oder Systemwiederherstellung auf allen Laufwerken deaktivieren.

1. lade dir den McAfee AVERT Stinger herunter *klick*
und stell ihn so ein das er die infektionen löscht nicht bloss diagnostiziert. (siehe angehängte Pics)
dann lass den Stinger wirken.
2. machste bitte einen OnlineScan bei Panda Software !ACHTUNG! kann ~3std. dauern!
3. machst du einen OnlineScan bei Trend Micro !ACHTUNG! kann ~90min. dauern!
4. postest du bitte die logfiles vom Stinger, Panda und Trend OnlineScan
5. ein neues hijackthis logfile posten


affa