Jetzt reicht es aber langsam Forum!
Ich hab dich freundlich per PN angeschrieben..
Wenn du Hilfe leisten möchtest dann tue dies bitte qualifiziert und mit Mühe.
Deine Halb"weisheiten" nützen neimandem etwas. Erst format c jetzt fixen.. was kommt als Nächstes? Stecker ziehen?

Es hat schon seine Gründe warum ich noch nicht ans fixen gegangen bin.


@ Rockenglein:

Zitat:

Und wie bekommt man diesen Virus eigentlich? Hab noch ein paar Freunde die ihn haben.

ist da vielleicht ein verseuchte USB Stick im Umlauf?

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

c:\temp\svchost.exe

C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.pf

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\dllcache\wscript.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.


Führe danach bitte einen eScan durch. Anleitung gibts in meiner Sigantur.

Und poste ein frisches HJT logFile.

Hallo

ich habe das "Script" mal bei Avira hochgeladen und zur Verbreitung hab ich dies erhalten

Zitat:

Zitat von Avira

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
3724906 Script.bat 2.08 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
Script.bat MALWARE

Die Datei 'Script.bat' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen Worm/Solow.I.2 gegeben. Bei der Bezeichnung "WORM/" handelt es sich um einen Wurm, welcher in der Lage ist sich z.B. über das Internet (Emailversand, Peer-To-Peer Netzwerke, IRC Netzwerke, etc.) oder dem Intranet selbsttätig zu verbreiten.Ein Erkennungsmuster ist mit Version 7.00.02.121 der Virendefinitionsdatei (VDF) hinzugefügt.

MFG

Das ist die erste Datei: (ACER-68CBAB05B2.vbs )

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.17 VBS:Solow-C
AVG 7.5.0.516 2008.02.17 VBS/Small
BitDefender 7.2 2008.02.17 Generic.ScriptWorm.D298C707
CAT-QuickHeal None 2008.02.16 VBS/IETitle
ClamAV 0.92.1 2008.02.17 -
DrWeb 4.44.0.09170 2008.02.17 VBS.Generic.552
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5541 2008.02.15 VBS/Slogod
Ewido 4.0 2008.02.17 -
FileAdvisor 1 2008.02.17 -
Fortinet 3.14.0.0 2008.02.17 -
F-Prot 4.4.2.54 2008.02.17 -
weitere Informationen
File size: 4248 bytes
MD5: b016c4ead878a1996ecf59823e479f24
SHA1: 7bf73fb0036948a44457f179ba20c4bca4f96229
PEiD: -
packers: Unicode
packers: Unicode

Alles mit Avenger löschen.. =)

Wie alles?

Die VBS-Dateien?
Geht nicht. Hab ich gerade probiert.

Im abgesicherten Modus???

Spuckt er wenigstens eine Fehlermeldung aus?

im abgesicherten nciht.

kommt aber wieder die fehlermeldung. :-(
die von vorher mit error: 0 und so.

Zitat:

Zitat von undoreal

Jetzt reicht es aber langsam Forum!

Danke! Habe mal dein Beitrag gemeldet. Mit Format C: war Prevx schuld. Die haben eine falsche Datei beschrieben. Wenn er dieses "Hacked by" weg haben will, soll er diesen Eintrag einfach fixen. Dies löscht ja aber nicht den Virus.

Zitat:

Danke! Habe mal dein Beitrag gemeldet.

L L

Ja, das hab' ich auch schon bemerkt...

Zitat:

Mit Format C: war Prevx schuld.

Nein, DU warst Schuld! Nicht sie haben die falsche Datei beschrieben sondern du hast Tomaten auf den Augen.

Zitat:

Dies löscht ja aber nicht den Virus.

Eben! Und warum empfhielst du es dann??

Und jetzt Schluss mit Off-Topic Blase bitte..

Hi,

jetzt mische ich mich auch mal ein:

Oben in der Avenger-Anleitung die folgenden beiden Dateien weglassen, also nicht löschen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\dllcache\wscript.exe
         

Sie sind Teil von Windows Script Host, der Interpreter, der VBS-Scripte ausführt, also Teile von Windows. Nur weil ein schädliches Skript ausgeführt wurde, muss man die ja nicht löschen. Sebst wenn Du meinst, ihn nicht zu brauchen: Eine Menge Werkzeuge, die man bei Computerproblemen einsetzt, setzen ihn voraus.

Gruß, Karl

Btw: Prevx hat zwar ein paar brauchbare Tools programmiert, ihre Dateibeschreibungen sind aber schlecht, ich finde dort oft korrekte Dateien, die als schlecht beschrieben werden. Auf einer Prevx-Beschreibung alleine würde ich nie was aufbauen.

Nabend Karl.

Ich hätte die für den Moment gelöscht und danch wieder aufgespielt aber wenn du meinst das dieser Schritt nicht notwendig ist dann lassen wir ihn weg..

Also, soll ich nur die anderen beiden Dateien entfernen?
Ok, mach ich!

Übrigens ich bin KEIN Mann!

@Forum: Das mit dem fixen hatte ich auch schon mal probiert, aber beim nächsten hochfahren war es wieder da.

LG

soll ich hinter systemherstellung wieder aktivieren?

Juhu,es ging!!!
Ich hab defragmentiert und bei der zweiten Datei alles groß geschrieben und jetzt ging es (warum auch immer).

Ich mach jetzt nen escan.

Die txt.-Datei sagt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\byepcbio

*******************

Script file located at: \??\C:\gsqiaqgc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\temp\svchost.exe deleted successfully.
File C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.PF deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Klingt das gut?

Zitat:

und bei der zweiten Datei alles groß geschrieben

warum gebe ich wohl immer so schöne Textfelder vor?

Copy and Paste sollte man immer anwenden wenn es um genaue Dateipfade geht!

Zitat:

Klingt das gut?

das klingt sogar sehr gut.