Moinsen

Wer mag,, hier ein paar Infos in Sachen:
"jwgkvsq.vmx" bzw.Worm.Downadup-114
kam gemeinsam mit dem Trojan.Agent-66921 (steckte in Autorun.inf)
Die Virenscanner Avira und ClamAV haben ihn nicht gefunden, beide
Dateien waren in der Systempartition nicht mehr vorhanden (der Trick!).
das Ding ist aufgefallen, weil es die Namensauflösungen irgendwie so vergoben hat, daß der Browser microsoft, bitdefender, clamav etc nicht mehr erreichen konnte, ganz normale harmlose Seiten aber schon.
Schadensauslöser: Unbekannt, email oder ein fremder Stick
Nach Installation:
Wurm installiert sich als dll (hier:fvmmezc) und trägt einen Phantasienamen (hier: tyshhyzs) als "legacy-Treiber" als Service bei den Diensten ein, trägt in die Registrierung einen Zeiger ein, der auf die richtige DLL zeigt. Die Besitzerrechte an den Registrierungsschlüssel und an der DLL werden eingeschränkt, und die Ursprünglichen Dateien Autorun und .vmx werden gelöscht.
Die DLL ist zu sehen im Explorer, kann aber, da ein Dienst, nicht gelöscht werden.
Lösung:
- alle autorun.inf und jwgkvsq.vmx auch in Netz und Unterverzeichnissen suchen, jeweils als Administrator die Besitz- und Zugriffsrechte übernehmen,
dann den alten Benutzer löschen, dann das "System"-Dateiattribut wegnehmen, und dann die Dateien löschen.
- den Phantasienamen-Namen in der Registrierung suchen, für Schlüssel auch wieder Besitz übernehmen und dann Schlüssel löschen (ca 4-6*)
- neu booten im abgesicherten Modus, die Treiber-DLL mit dem Wurm suchen, Besitzer Adnministrator hinzufügen, dann Attribut ändern, dann löschen.
Dran denken: aktuell finden Scanner wohl nur die Installations-Dateien, aber nicht das fertig installierte Setup mit der Treiber-Datei. also am besten beim Virenhersteller meckern
Und dran denken, es geht um die Registrierung, besser eine Sicherung machen

Schaden: weiß ich nicht, internet ist wieder erreichbar.

Zum Testen: Solange der Virus vorhanden ist, befinden sich auf einem jungfräulichden USB-Stick nach dem Andocken eine auforun.inf und im Ppaierkorb die jwgkvsq.vmx. Der Wurm verbreitet sich, wenn die Autorun-Funktion nicht ausgeschaltet ist. Das gleiche gilt für angeschlossene Lokale Freigaben(gemappte Laufwerke). Gibt es auf dem Netz-Laufwerk keinen Papierkorb, wird einer angelegt und das Ding dort reingeschoben. Lustig: Wird das Ding "normal" gelöscht, verschieb man es nur in den regulären Papierkorb, man muß es also endgültig löschen.

hoffe, das hilft.
mh

ein system welches mit updates versorgt wird hilft noch viel besser.
auch software von dritt anbietern.
und ob weitere malware aktiv ist weist ja auch nicht.

sorry, kannst Du das bitte etwas ausführen, ich hab nicht verstanden, was Du meinst.

Übrigens, falls das untergegangen ist:
NACH dem Einnisten erkennen CLAM und AVIRA den Wurm NICHT !
Man findet ihn nur händisch im System oder indirekt über die neue Verseuchung beim Scan von frisch angestöpselten USB-Sticks. AV-Updates helfen da erstmal nicht

mh

es gibt nicht "den wurm" jeden tag gibts viele neue variannten.
windows updates helfen aber, und das updaten der sonstigen software. denn dieser wurm nutzt sicherheitslücken.
schließt diese und ihr habt ruhe.
oder deaktiviere zusätzlich autorun. das hilft ebenfalls. man kann einiges an maßnamen zur vorbeugung treffen.

wie bitte? Ich verstehe Dich nicht. Sei doch froh, daß hier jemand was dazu geschrieben hat, daß Scanner diese conficker-variante bisher nicht erkennen, und wie man sie trotzdem los wird. Deine Belehrungen dazu empfinde ich grade mal als unpassend.
mh

ja, aber wenn man windows aktuell hällt ist es überhaupt nicht nötig etwas zu entfernen
außerdem ist davon abzuraten selbst in der registry zu arbeiten wenn man davon keine ahnung hatt, desweiteren kommt eine malware selten allein, deswegen ist eine weitere analyse des systems nötig