Zitat:

1. Kann meinen (Office- /Open Office- /Foto- /Musik-)Dateien etwas passieren, wenn ich die Bereinigung durchführe?

Nein.

Zitat:

Sollte ich sie zur Sicherheit auf eine externe Festplatte kopieren?

Das solltest du grundsätzlich immer und auch regelmäßig durchführen. Festplatten gehen irgendwann kaputt und dann ist guter Rat mehr als teuer.

Zitat:

Wenn ich mir überhaupt zur Sicherheit (ob jetzt Bereinigung oder Formatierung) einige Dateien auf eine externe Festplatte kopiere, kann es dann sein, dass ich den Wurm mit kopiere und ihn womöglich am ende sogar schon wieder draufziehe?

Grundsätzlich möglich, bei dem gehe ich allerdings nicht davon aus.

Zitat:

3. Können Programme von der Bereinigung "unbrauchbar" werden?

Ja, kann passieren. ComboFix zerschiesst gerne Netzwerktreiber. Selbst Malwarebytes hat schon einmal ein Rechner geschrotet, ist aber eher die Ausnahme.

Zitat:

4. Programme werden bei einer Formatierung auf jeden Fall gelöscht, oder?

Jein. Bei einer Formatierung wird alles gelöscht, allerdings werden die Daten nicht wirklich überschrieben und lassen sich mit speziellen Programmen z.T. wiederherstellen. Wenn du sicher löschen möchtest, bietet sich z.B. Darik's Boot And Nuke | Hard Drive Disk Wipe and Data Clearing an.

Zitat:

5. kannst du herausfinden woher man / ich den Wurm bekommen habe?

Manchmal gelingt es, manchmal nicht. Das hängt davon ab, ob er Spuren hinterlassen hat.

Zitat:

kannst du mir sagen, was genau der Wurm überhaupt macht?

Dazu müsste ich erstmal wissen, um wen es sich eigentlich handelt und was er genau macht. Deshalb lade bitte die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
         

bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Zitat:

Besteht die Gefahr, dass ich andere "anstecke", wenn ich mit ihnen Dateien über USB-Sticks austausche?

Bei einigen schon, bei dem vermutlich nicht. Siehe voriger Absatz.

ciao, andreas

Edit: Angekommen.

Code: Alles auswählenAufklappen

ATTFilter

File name: 
gnja.exe
Submission date: 
2010-08-24 19:19:12 (UTC)
Current status: 
finished
Result: 
17/ 41 (41.5%)	VT Community

not reviewed
 Safety score: - 

Compact 
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2010.08.24.00	2010.08.23	-
AntiVir	8.2.4.38	2010.08.24	-
Antiy-AVL	2.0.3.7	2010.08.23	-
Authentium	5.2.0.5	2010.08.24	W32/Rimecud.J.gen!Eldorado
Avast	4.8.1351.0	2010.08.24	Win32:MalOb-BZ
Avast5	5.0.594.0	2010.08.24	Win32:MalOb-BZ
AVG	9.0.0.851	2010.08.24	Cryptic.AUG
BitDefender	7.2	2010.08.24	Gen:Variant.Bredo.15
CAT-QuickHeal	11.00	2010.08.24	Win32.Packed.Katusha.o.3.Pack
ClamAV	0.96.2.0-git	2010.08.24	-
Comodo	5845	2010.08.24	Heur.Suspicious
DrWeb	5.0.2.03300	2010.08.24	-
eSafe	7.0.17.0	2010.08.24	-
eTrust-Vet	36.1.7810	2010.08.23	-
F-Prot	4.6.1.107	2010.08.24	W32/Rimecud.J.gen!Eldorado
F-Secure	9.0.15370.0	2010.08.24	Gen:Variant.Bredo.15
Fortinet	4.1.143.0	2010.08.24	-
GData	21	2010.08.24	Gen:Variant.Bredo.15
Ikarus	T3.1.1.88.0	2010.08.24	Trojan.Win32.Rimecud
Jiangmin	13.0.900	2010.08.23	-
Kaspersky	7.0.0.125	2010.08.24	P2P-Worm.Win32.Palevo.jub
McAfee	5.400.0.1158	2010.08.24	-
McAfee-GW-Edition	2010.1B	2010.08.24	-
Microsoft	1.6103	2010.08.24	Trojan:Win32/Rimecud.A
NOD32	5394	2010.08.24	a variant of Win32/Kryptik.FZG
Norman	6.05.11	2010.08.24	-
nProtect	2010-08-24.01	2010.08.24	-
Panda	10.0.2.7	2010.08.24	-
PCTools	7.0.3.5	2010.08.24	-
Prevx	3.0	2010.08.24	High Risk Cloaked Malware
Rising	22.62.01.04	2010.08.24	-
Sophos	4.56.0	2010.08.24	Mal/FakeAV-EW
Sunbelt	6785	2010.08.24	-
SUPERAntiSpyware	4.40.0.1006	2010.08.24	-
Symantec	20101.1.1.7	2010.08.24	-
TheHacker	6.5.2.1.355	2010.08.24	-
TrendMicro	9.120.0.1004	2010.08.24	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.24	-
VBA32	3.12.14.0	2010.08.24	Malware-Cryptor.Grygoryi.3
ViRobot	2010.8.24.4005	2010.08.24	-
VirusBuster	5.0.27.0	2010.08.24	-
Additional information
Show all 
MD5   : d526417f55df8e86b7be2cb8fe68ec2a
SHA1  : 8b1e76d32b6b7f126678fe5bdb57f5dae084a6d7
SHA256: eb900216bc2f9e0fd8104d137e8d5f8e5dc8cdbff6598976e48b858bb970b595
ssdeep: 1536:wsG8H3RZKpcu1uBHRqpWlpOYsZeQo36PWbUKhFp80ZvQpctbuUi+3YyM71iPm8i:DxRgWu
kBI8vOY5Q9EpdtQEbubku1iPm
File size : 108544 bytes
First seen: 2010-08-24 19:19:12
Last seen : 2010-08-24 19:19:12
TrID: 
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck: 
publisher....: Pnecfu. Sca
copyright....: Gyqsqe, Cpfjamk. Drmnta
product......: Aekahowwyo Iqf Fnh Pi
description..: Orvtpq Cdwep, Wleke
original name: Ugsil, Hy
internal name: Bytlwbj Lp
file version.: 9.5.2500.5700
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Authentium): UPX
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2A650
timedatestamp....: 0x483C0633 (Tue May 27 13:01:39 2008)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x16000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x17000, 0x14000, 0x13800, 7.96, dd3a7f2e1f893269641738b343dcaa93
.rsrc, 0x2B000, 0x7000, 0x6C00, 5.73, 127dbeb9191493ddd7ce66189e9b69c8

[[ 1 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
Prevx Info: 
http://info.prevx.com/aboutprogramtext.asp?PX5=5EB7D29A003180FCA81D01734B9677003ED0FEE8
Symantec reputation:Suspicious.Insight
         

Avast erkennt ihn doch, warum ist deine Virenklingel nicht angesprungen?

hui, das ging ja schnell, dankeschön

Zitat:

Dazu müsste ich erstmal wissen, um wen es sich eigentlich handelt und was er genau macht. Deshalb lade bitte die Datei....

ich hab die Datei hochgeladen wie es da stand...aber sie wird hier nicht angezeigt, ist da alles richtig gelaufen?

Ich habe diese Einstellungen befolgt und kann jetzt überall leicht transparente Dateien und Ordner sehen, und dann wollte ich gerade eine Datei auf meinen USB Stick ziehen, da meldet mir Avast (ja....ich habs noch nicht de-installiert...) drogeras.exe und ich seh auch auf dem USB stick zwei transparente Ordner: RAPO und nestala (in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde)

Ich schick mal ein Bild vom Container mit..weiß nicht, ob das was bringt, wenn nicht, einfach ignorieren

muss ich damit jetzt auch noch irgendwas spezielles machen? ist das was harmloses? soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe...
kommt der Wurm daher???

Grüße

Mittlerweile ist auch die Analyse von TE da => ThreatExpert Report: P2P-Worm.Win32.Palevo.jub, Mal/FakeAV-EW

Verbreitet sich über Netzwerke und P2P.

Bist du Teil eines lokalen Netzwerkes?

Zitat:

ist da alles richtig gelaufen?

Zitat:

in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde

Was wurde gefunden? Bitte alle verfügbaren Logs posten.

Zitat:

muss ich damit jetzt auch noch irgendwas spezielles machen?

Ja.

Zitat:

ist das was harmloses?

Leider nein.

Zitat:

soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe...

Ja. Egal ob du dich für Reinigung oder Neuinstallation entscheidest, der Stick muss vorher sauber sein. Das gilt auch für alle externen Datenträger. Steht dir noch ein anderer Rechner zur Verfügung?

Zitat:

kommt der Wurm daher???

Möglich ist das. Gibt es eine autorun.inf auf dem Stick?

Falls die Dateien sich aus dem Container holen lassen, bitte auch bei uns hochladen.

ciao, andreas

ohje ohje ohje....

Zitat:

Zitat von john.doe

Verbreitet sich über Netzwerke und P2P.

Bist du Teil eines lokalen Netzwerkes?

ja, zumindest Zeitweise
Im Moment gerade aber nicht

Zitat:

Zitat von john.doe

Was wurde gefunden? Bitte alle verfügbaren Logs posten.
Falls die Dateien sich aus dem Container holen lassen, bitte auch bei uns hochladen.

ich finde nichts (Hilfe-Funktioon + google) wie man mit avast ein Logfile erstellen kann?!?

Edit: was heißt aus dem Container holen?...kann ich nicht so versuchen sie vom USB stick hochzuladen?

ich hab gestern mal ein HijackThis dings laufen lassen, der hat aber nichts gefunden.
soll ich das vielleicht nochmal machen mit eingestecktem USB-Stick??

Zitat:

Zitat von john.doe

Egal ob du dich für Reinigung oder Neuinstallation entscheidest, der Stick muss vorher sauber sein.

soll ich alles, was auf dem Stick ist löschen? oder defragmentieren oderso?...wenn ja, wie geht das??

Zitat:

Zitat von john.doe

Möglich ist das. Gibt es eine autorun.inf auf dem Stick?

ja autorun setup informationen steht da...auch in transparent

LG, kathi

Hier mal mein HijackThis logfile von gerade eben...falls du das meintest...

Jetzt ist auch Sunbelt fertig => Sunbelt Security - CWSandbox Report

Zitat:

Hier mal mein HijackThis logfile von gerade eben...falls du das meintest...

Völlig sinnlos war es allerdings nicht.

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Jemand bezeichnete Outlook als Sicherheitslücke, die sich als Email-Programm getarnt hat. Das gilt genauso gut für das Betriebssystem. Wenn Sicherheitslücken bekannt gemacht werden, dann werden sie meistens auch behoben. D.h. Windowsupdates ist ein absolutes Muß, wenn du einen (halbwegs) sicheren Rechner haben möchtest.

Stattdessen sind auf dem Rechner völlig sinnfreie Programme wie Spybot und Zonealarm installiert.

Zitat:

ja, zumindest Zeitweise
Im Moment gerade aber nicht

Dann solltest du in naher Zukunft das Netzwerk meiden.

Zitat:

wie man mit avast ein Logfile erstellen kann?!?

K.A., nie mit dem Programm gearbeitet.

Zitat:

ich hab gestern mal ein HijackThis dings laufen lassen, der hat aber nichts gefunden.

Im HJT-Log sieht man so gut wie gar nichts mehr. Da müssen ganz andere Programme ran.

Zitat:

soll ich alles, was auf dem Stick ist löschen?

Ja. Formatieren am Besten, aber von einem sauberen Rechner aus. Lade bitte vorher die Dateien bei uns hoch (das geht auch von der verseuchten Kiste).

Doppelklicke auf die Datei autorun.inf (Editor öffnet sich) und poste den Inhalt. Jetzt ist so gut wie sicher, dass du dich über den Stick infiziert hast. Hier sind die Übeltäter:

Zitat:

F:\RAPO\drogeras.exe
nestala\\emilia.exe
F:\DPFMate.exe
nymdik.exe
G:\ysyjq1bs.exe

Bitte bei uns hochladen, falls du sie findest.

Sichere jetzt im ersten Schritt alle deine Dateien. Falls dir kein sauberer Rechner zur Verfügung steht, kommt als nächstes ComboFix zum Einsatz, um deinen externen Datenträger (und zwar alle!) zu reinigen. Ansonsten bringt selbst eine Neuinstallation nichts, denn ein Anstecken würde reichen, dich sofort wieder zu infizieren.

ciao, andreas

Zitat:

Sichere jetzt im ersten Schritt alle deine Dateien. Falls dir kein sauberer Rechner zur Verfügung steht, kommt als nächstes ComboFix zum Einsatz, um deinen externen Datenträger (und zwar alle!) zu reinigen. Ansonsten bringt selbst eine Neuinstallation nichts, denn ein Anstecken würde reichen, dich sofort wieder zu infizieren.

wenn ich alle meine Daten jetzt auf eine externe Festplatte lade und die dann bereinige wird doch alles gelöscht, oder???

nein leider steht mir kein anderer Rechner zur Verfügung

Zitat:

F:\RAPO\drogeras.exe
nestala\\emilia.exe
F:\DPFMate.exe
nymdik.exe
G:\ysyjq1bs.exe

die drogeras.exe kann ich finden, ich schick sie gleich sofort

die nestala\\emilia.exe wird mir im avast Conatiner angezeit, aber der Ordner auf dem USB Stick ist leer.
ich könnte die Datei extrahieren oder wiederherstellen, soll ich das machen, und sie dann schicken, oder lieber im Container lassen?

die anderen kann ich nicht finden. Gibt es da einen Trick, wie man die sucht?
die suchfunktion zeigt nichts an

LG, kathi

Zitat:

Zitat von john.doe

Avast erkennt ihn doch, warum ist deine Virenklingel nicht angesprungen?

da kam nix (nur eben jetzt gerade als ich den USB-Stick reingesteckt hab..ist er das?)

ich hab avast zwei Mal ne anderthalbstündige komplette Systemprüfung machen lassen und jedes Mal wurden mir "keine Funde" berichtet