Viren lassen sich nicht entfernen

midnightfever_956b44 · 26. September 2003 um 16:53

Hallo,

ich habe mir (ich weiss auch nicht wie) einige Viren eingefangen und habe, wie mir empfohlen wurde, AntiVir Guard installiert.
Dieser hat auch einige Viren erkannt, die ich dann löschen konnte.

Einige Viren lassen sich wohl nicht entfernen.
Ich bekam folgende Meldung:
In einem oder mehreren Archiven wurden Viren bzw. unerwünschte Programme gefunden. Infizierte Dateien in Archiven werden nicht gelöscht oder repariert. Was heisst das ? Was kann ich tun ?

Ich hatte nie Probleme mit Viren, erst seit gestern bricht das alles über mich herein. Bis dahin hatte ich einen Router benutzt
(SMC Barricade), dieser ist kaputt gegangen, nun hänge ich direkt am DSL-Modem. Ist das der Grund für diese Attacke ? Soll ich so schnell wie möglich wieder einen Router dazwischen setzen ?
Bis dahin nutze ich die Testversion von ZoneAlarm Pro.

Anbei der Report, demnach war mein Rechner wohl ziemlich verseucht, oder ?

C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\1.N-W5M97HU6N2VA5.jpi_cache\file\1.0
Dummy.class-559440ae-5a0a5d46.class
Ist das Trojanische Pferd TR/Forten.Java.2

WURDE GELÖSCHT!
VerifierBug.class-30c093c4-4c24c493.class
Ist das Trojanische Pferd TR/Java.ByteVerify

WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\1.N-W5M97HU6N2VA5.jpi_cache\jar\1.0
nude.zip-a0f7513-11ef9f21.zip
ArchiveType: ZIP
–> NudeBox.class
Ist das Trojanische Pferd TR/ClassLoader.E
–> VerifierBug.class
Ist das Trojanische Pferd TR/Forten.Java.4
–> jarutil.zip
Ist das Trojanische Pferd TR/Drywat
nude.zip-a0f7513-6ec05816.zip
ArchiveType: ZIP
–> NudeBox.class
Ist das Trojanische Pferd TR/ClassLoader.E
–> VerifierBug.class
Ist das Trojanische Pferd TR/Forten.Java.4
–> jarutil.zip
Ist das Trojanische Pferd TR/Drywat
C:\System Volume Information_restore{B8FC4193-B2A0-46FE-B47A-FF09138736FB}\RP52
A0053587.exe
Enthält Signatur des Wurmes Worm/Lovsan.B

WURDE GELÖSCHT!
WARNUNG! Ungültige Startadresse!

Ende des Suchlaufs: 26.09.2003 15:50
Benötigte Zeit: 43:02 min

2816 Verzeichnisse wurden durchsucht
62067 Dateien wurden geprüft
3 Warnungen wurden ausgegeben
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Viren bzw. unerwünschte Programme wurden gefunden

steffi_11c8e2 · 26. September 2003 um 17:04

Moin

ich habe mir (ich weiss auch nicht wie) einige Viren
eingefangen und habe, wie mir empfohlen wurde, AntiVir Guard
installiert.
Dieser hat auch einige Viren erkannt, die ich dann löschen
konnte.

ich würde dann evtl ein bisschen Geld investieren und zb. Norton Antivirus kaufen. Preis liegt nur noch bei ca 39 Euro.
aber das ist ansichtssache.

In einem oder mehreren Archiven wurden Viren bzw. unerwünschte
Programme gefunden. Infizierte Dateien in Archiven werden
nicht gelöscht oder repariert. Was heisst das ? Was kann ich
tun ?

in deinem Log-File steht, dass die pagefile.sys betroffen sein soll. diese datei kann man nicht löschen, da diese Datei vom Betriebssystem (windows) benötigt wird.

Ich hatte nie Probleme mit Viren, erst seit gestern bricht das
alles über mich herein. Bis dahin hatte ich einen Router
benutzt
(SMC Barricade), dieser ist kaputt gegangen, nun hänge ich
direkt am DSL-Modem. Ist das der Grund für diese Attacke ?
Soll ich so schnell wie möglich wieder einen Router dazwischen
setzen ? bis dahin nutze ich die Testversion von ZoneAlarm Pro.

kann sein, dass der Router noch ne kleine Firewall drin hatte, aber das bezieht sich nur darauf, was rein/raus darf (Trojaner)… aber hat nix mit Viren zu tun! Antivirenprogramm und Firewall sind grundsätzlich verschiedene Sachen!!

wenn nichts weiteres auf dem Rechner ist (oder du eine Datensicherung machen kannst) würde ich den Rechner also plattmachen. Sprich ne Neuinstallation. Bevor du allerding ins Netz gehst, muessen die Firewall und das Antivirenprogramm installiert sein!!

steffi

Schorsch_de7743 · 26. September 2003 um 17:50

Anbei der Report, demnach war mein Rechner wohl ziemlich
verseucht, oder ?

Mach dir keine Sorgen, die Sache ist wesentlich harmloser als sie aussieht.

C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.

Ist 'ne Speicherauslagerungsdatei, wenn du den Rechner in Tiefschlaf bringst. Kann nicht gescannt werden, braucht nicht gescannt werden.

pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.

Ist 'ne Speicherauslagerungsdatei, während des laufenden Betriebes. Kann nicht gescannt werden, braucht nicht gescannt werden.

C:\Dokumente und
Einstellungen\1.N-W5M97HU6N2VA5.jpi_cache\file\1.0
Dummy.class-559440ae-5a0a5d46.class
Ist das Trojanische Pferd TR/Forten.Java.2

Diese und die folgenden Meldungen: Schau im Benutzermanager nach, ob es einen Benutzer namens 1.N-W5M97HU6N2VA5 gibt. Falls ja, lösch diesen Benutzer. Ebenfalls kannst du gefahrlos das Verzeichnis C:\Dokumente und Einstellungen\1.N-W5M97HU6N2VA5 mitsamt allen Unterverz. löschen. Evtl. musst du im Explorer einstellen, dass er alle Dateien (auch versteckte und System) anzeigt, um dieses Verzeichnis zu Gesicht zu bekommen.

C:\System Volume
Information_restore{B8FC4193-B2A0-46FE-B47A-FF09138736FB}\RP52
A0053587.exe
Enthält Signatur des Wurmes Worm/Lovsan.B

WURDE GELÖSCHT!
WARNUNG! Ungültige Startadresse!

Grundsätzlich unkritisch, der Lovsan ist nicht aktiv. Hier bin ich mir aber nicht ganz sicher, es kann sein, dass nach einer Systemwiederherstellung der Lovesan wieder aktiviert wird. Wenn die Meldung nach dem nächsten Scannerlauf nicht mehr erscheint, bist du aber auf jeden Fall auf der sicheren Seite.

Gruss,
Schorsch

DannyFox64 · 27. September 2003 um 00:47

Hallo,

bleibt noch ein Punkt unbehandelt:

Einige Viren lassen sich wohl nicht entfernen.
Ich bekam folgende Meldung:
In einem oder mehreren Archiven wurden Viren bzw. unerwünschte
Programme gefunden. Infizierte Dateien in Archiven werden
nicht gelöscht oder repariert. Was heisst das ? Was kann ich
tun ?

Archive sind Dateien wie *.ZIP, *.CAB, *.RAR, *.ARJ und ähnliche andere. Wenn Dein Dateimanager (Explorer?) dem Typ „Archiv“ ein Icon korrekt zuordnet, dann sieht das aus wie ein kleines gelbes Päckchen, entweder geschnürt oder mit einer Schraubzwinge festgehalten.
(Es kann auch mal ein selbstextrahierendes Archiv - Dateiendung *.EXE - dabei sein. Aber Vorsicht, dass Du im gleichen Zuge keine Programme dabei erwischst.)

AntiVir (von H+BEDV ?) kann Archive _nicht_ automatisch von infizierten Dateien säubern.

Die sinnvollste Möglichkeit besteht meist darin, das ganze Archiv zu löschen… es sei denn, Du hast da selbst etwas drin eingepackt, archiviert… ein Backup gemacht usw. Das müsstest Du dann aber wissen.

Für den Fall, dass eine Datei „C:\Windows\SYSBCKUP*.CAB“ betroffen ist, besser dieses Archiv erst mal nur per Hand umbenennen. In diesen Dateien legt Windows eigene Sicherungskopien (Stichwort: Wiederherstellungspunkt) ab.

Fragen? Dann frag nur!

CU DannyFox64

schlibo_7c96d5 · 28. September 2003 um 00:54

joo das sieht mir nach einem sich in der swh verewigtem lovsan aus - wegen _restore.

hier die swh abschalten
http://www.free-av.de/merestore.htm
neu starten, scanen und dann sollte es gut sein.

ansonsten ein hoch auf schorsch - prost schorsch.

gruß schlibo