Problem mit dem I-Love-Virus !

Internet Internet Sicherheit
1

Hallo Expertet,

sorry … aber es muß jetzt mal sein … !!

ich hab gestern meinen Rechner (WIN NT 4.0) auf Viren geprüft, da hatte er über 750 Datein gefunden, die mit dem I-Love-You Virus infiziert sind …
Nun kann der NortonAntivirus den Virus löschen bzw. aus den Datein rausfiltern … er Isoliert die nur … mehr nich !!

ich viele Datein, die mit der Endung VBS enden … wie bekomme ich den Virus von der Platte, so das ich die alten (jetzt die infizierten) Datein nicht löschen brauch … (das ist ne große arbeit gewesen, die datein zu erstellen … für Homepageprogrammierung) …

Wie bekomme ich den Virus runter, ohne die Datein zu löschen ??

Gebe es ein Programm, der dies macht, natürlich soll er auch nicht die Datein löschen ???

Ich habe auch so VBS Datein auf dem Rechner, welche gehören auf einen NT Rechner und welche nicht ??? (ich habe ausversehen die Kernel32…vbs gelöscht … nu zeigt er mir immer, wenn ich den Rechner neu boote, ne Fehlermeldung an … wie kann cih das wieder beheben ???)

Bitte helft mir … dankeeeee

Wichtig: Der Virus wurde nicht von einer Mail runtergeladen !!
Übers Netzwerk ist es auch unmöglich …

Wie kann diese datein sonst noch auf dem Rechner gekommen sein ??

Bitte meldet euch … danke (ich werd mich melden)

Achso: Was passiert oder wie lange kann es noch dauern, bis der Virus den Rechner abschießt oder wie auch immer ???

In der Regestry ist auch nichts zu finden … !! (mehr möchte ich dort auch nicht rumfuschen)

Danke Eurer Hilfe …

MFG Maik Jannasch

2

Hallo

Vergiss deine infizierten .vbs Dateien. Sie sind nicht mehr zu gebrauchen, denn der Virus hat den Inhalt dieser Dateien ersetzt mit seinem eigenen Code, dh, jeder Doppelklick auf eine verseuchte Datei löst den Virus wieder aus. Dir bleibt nichts übrig, als die korrumpierten Files zu löschen, deine Daten sind eh schon gelöscht.

Die Fehlermeldung beim Rechnerstart kommt daher, dass der Virus sich in die Registry schreibt, um bei Systemstart immer geladen zu werden. Schau mal unter HKey/LocalMachine/Microsoft/Windows/CurrentVersion/Run oder RunServices, da müsste ein Schlüssel stehen, der beim Systemstart versucht, dieses Kernel32…vbs zu starten und wenn er das Programm nicht findet, weil du es gelöscht hast, dann gibts eben eine Fehlermeldung. Einfach den Schlüssel löschen.

Der Virus kann durchaus auch übers Netzwerk kommen oder du hast einfach eine Abart mit anderem Namen als mail bekommen und hast nicht auf die Dateiendung gesehen, bevor du das Attachment geöffnet hast. Kann auch sein, dass jemand anderer den Virus auf deinem Rechner ausgeführt hat, entweder direkt oder übers Netzwerk oder über ein Trojaner übers Internet - da gibts viele Möglichkeiten.

Gruss
Xavier

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

3

Hallo Xavier,

danke deiner Antwort …

Ich habe unter den Schlüsselcode nichts gefunden, aber ich habe nach der Kernel32.vbs gesucht, die habe ich unter den Schlüssenwerten gefunden und auch gelöscht:

  1. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs

  2. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\KnownDLLs

Und jeweils ist die URL.DLL eingetragen … was macht die DLL ??
(bei mir startet jedesmal ein kleines Fenster von den InternetExplorer (Seite nicht finden können), wenn ich den Rechner starte) … woran kann das liegen … in der normalen Autostart Ordner ist nichts angegeben, daß er das kleine Fenster starten soll … !!!

wie kann ich DLL´s lesen … kann ich auch DLL´s auch beliebig umändern … ??

Naja, da mit dem Virus … also soll ich alle Datein, die mit der Endung *.vbs* sind löschen … ?? (Bilder und auch DLL´s)

Und wenn ich alle VBS Datein gelöscht habe, ist dann der Virus von der Platte ???

Wenn cih alle VBS Datein gelöscht habe, ist da noch wo anders auf dem Rechner von dem Virus, wonach ich noch suchen muß … !
die Love-Letter.htm oder html habe ioch schon aus dem Verzeichnis WinNT\Sytem32 und System … !

Mmmmh … mehr fällt mir dazu auch nichst mehr ein, wenn du noch Vorschläge hast oder sonstiges … sage es mir bitte !!

Also … dank deiner Hilfe … !!!

MFG Maik Jannasch

4

Hallo Xavier,

danke deiner Antwort …

Ich habe unter den Schlüsselcode nichts gefunden, aber ich habe nach der Kernel32.vbs gesucht, die habe ich unter den Schlüssenwerten gefunden und auch gelöscht:

  1. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs

  2. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\KnownDLLs

Und jeweils ist die URL.DLL eingetragen … was macht die DLL ??
(bei mir startet jedesmal ein kleines Fenster von den InternetExplorer (Seite nicht finden können), wenn ich den Rechner starte) … woran kann das liegen … in der normalen Autostart Ordner ist nichts angegeben, daß er das kleine Fenster starten soll … !!!

wie kann ich DLL´s lesen … kann ich auch DLL´s auch beliebig umändern … ??

Naja, da mit dem Virus … also soll ich alle Datein, die mit der Endung *.vbs* sind löschen … ?? (Bilder und auch DLL´s)

Und wenn ich alle VBS Datein gelöscht habe, ist dann der Virus von der Platte ???

Wenn cih alle VBS Datein gelöscht habe, ist da noch wo anders auf dem Rechner von dem Virus, wonach ich noch suchen muß … !
die Love-Letter.htm oder html habe ioch schon aus dem Verzeichnis WinNT\Sytem32 und System … !

Mmmmh … mehr fällt mir dazu auch nichst mehr ein, wenn du noch Vorschläge hast oder sonstiges … sage es mir bitte !!

Also … dank deiner Hilfe … !!!

MFG Maik Jannasch

5

Hi
DLLs kannst du nicht lesen, du kannst dir höchstens neue schreiben, aber dafür müsstest du programmieren können.

Nicht alle .vbs Dateien müssen virusbefallen sein, aber dlls oder Bilder oder Soundfiles mit der Endung .vbs kannst oder besser solltest du löschen. I Love You hat nämlich all diese Dateien gelöscht und dann alle neu erstellt, nur eben halt mit seinem bösen Code, dh, deine Daten sind eh schon weg.

Gruss
Xavier

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]