Hallo

Ich hoffe, das ich niemanden langweile, aber für mich ist das Problem alleine nicht lößbar.
Ich habe verschiedene Viren auf meinem PC.
Wie : Win32/MTX.B.dll
oder I-Worm.MTX.d und Win32/MTX.D@m

Die bekomme ich mit meinem Virenprogramm aber nicht runter.
Kann mir jemand Helfen?

Hallo Nelli,schreibe bitte mal welches System und welche AV Programme du hast und keine Panik....

Hallo Nangie

Ich hab win 98.
Was ist AV ?

AV steht für AntiVirus, also welches AntiVirus-Programm du hast. Ich rate dir KAV (eine Testversion) runterzuladen, zu updatnen und dein System zu scannen und zu säubern.

ciao, Cyber

O Sorry!

Hab den Anti Viren Kit Professional. Der hilft aber nicht.

@Nelli:
Dann solltest du kein KAV brauchen. Was heisst bei dir, du bekommst die Viren nicht weg?

Du kannst sie doch in Quarantäne stecken und dann löschen

ciao, Cyber

[ 14. Februar 2003, 15:03: Beitrag editiert von: CyberFred ]

D.H. Mein Anti Virenprogramm erkennt die Vieren, kann Sie aber nicht Deaktivieren oder löschen.

Was passiert aber mit den Dateien an denen Sie hängen?
Einige davon enthalten Daten, die ich brauche. Andere sind Windows Dateien.

Hi, probier mal
Tools von www.symantec.de oder www.f-secure.com , jeweils unter downloads zu finden
oder www.fprot.org/fr_boot.htm
mit letzterem klappts bestimmt..

</font><blockquote>Zitat:</font><hr />Original erstellt von Nelli:
Was passiert aber mit den Dateien an denen Sie hängen?
Einige davon enthalten Daten, die ich brauche. Andere sind Windows Dateien.</font>[/QUOTE]Kannst du mal bitte konkretisieren, was du damit meinst?
Was hängt woran?

ciao

Es handelt sich um einen Datei infizierenden Schädling, der die Systemdatei WSOCK32.DLL verändert, um unbemerkt Mails verschicken zu können. Ebenso sucht der Virus nach Netzlaufwerken mit Freigaben.

W32/MTX@M ist eine Kombination von Virus, Wurm und Backdoor.

-Wurm/Backdoor Teil:
Da er Mail-Fähigkeiten besitzt, könnte der User eine Mail mit Anhang empfangen, wobei der Name des Anhangs variabel wäre, aber oft z.B. so aussehen kann: I_am_sorry_doc.pif, or zipped_files.exe usw. Unabhängig von angezeigtem Namen und Dateiendung ist die Datei tatsächlich aber eine EXE-Datei.

-Virus Teil: Der Virus modifiziert ausführbare Dateien wie z.B. .EXE und .DLL Dateien im Windows-Ordner.

Versendet sich der Virus per Mail, könnte es sich um einen der folgenden, zufällig gewählten Namen handeln:

ALANIS_Screen_Saver.SCR
ANTI_CIH.EXE
AVP_Updates.EXE
BILL_GATES_PIECE.JPG.pif
BLINK_182.MP3.pif
' FEITICEIRA_NUA.JPG.pif
FREE_xxx_sites.TXT.pif
FUCKING_WITH_DOGS.SCR
Geocities_Free_sites.TXT.pif
HANSON.SCR
I_am_sorry.DOC.pif
I_wanna_see_YOU.TXT.pif
INTERNET_SECURITY_FORUM.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
JIMI_HMNDRIX.MP3.pif
LOVE_LETTER_FOR_YOU.TXT.pif
MATRiX_2_is_OUT.SCR
MATRiX_Screen_Saver.SCR
Me_nude.AVI.pif
METALLICA_SONG.MP3.pif
NEW_NAPSTER_site.TXT.pif
NEW_playboy_Screen_saver.SCR
Protect_your_credit.HTML.pif
QI_TEST.EXE
READER_DIGEST_LETTER.TXT.pif
SEICHO-NO-IE.EXE
Sorry_about_yesterday.DOC.pif
TIAZINHA.JPG.pif
WIN_$100_NOW.DOC.pif
YOU_are_FAT!.TXT.pif
zipped_files.EXE

Symptome:

Existenz folgender Dateien im Windows-Ordner:
IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX

Die Datei WININIT.INI wird verändert, um den Aufruf der regulären wsock32.dll durch die wsock32.mtx nach dem nächsten Neustart zu ersetzen.

MTX_.EXE wird durch einen Aufruf in der Registry bei jedem Windows-Start geladen und ist speicherresident nach dem ersten Start des Virus. MTX_.EXE läuft als Hintergrundprozess und verursacht alle 2 min Datenverkehr auf TCP Port 1137.

Um die originale WSOCK32.DLL wiederherzustellen, ist folgendes zu tun:

Windows 98/ME
- (NUR Win98) Klicke START/Ausführen, tippe SFC und klicke OK. Wähle "Eine Datei von der Installationsdiskette extrahieren"
- (NUR WinME) Klicke START/Ausführen, tippe SFC und klicke OK. Klicke den Datei extrahieren... Button
(Win98/ME)
- Tippe C:\WINDOWS\SYSTEM\WSOCK32.DLL in das Textfeld and klicke Start.
- In das Feld "Wiederherstellen von" tippe C:\WINDOWS\OPTIONS\CABS oder durchsuche das Win98 (oder WinME) Verzeichnis auf deiner CD - Klicke OK und folge den weiteren Anweisungen.

Wsock32.dll liegt in Precopy1.cab auf der Windows-CD.

eigentlich müsste eine ständig aktuell gehaltene av-software (vor allem mit der kaspersky engine) mtx locker "weggeputzt" haben, ohne dass es zu einer infektion gekommen wäre...

da das system aber (anscheinend) infiziert ist, ist klar, warum die av-software nicht anschlägt (der virus kickt die av-software)...

hier hilft nur das scannen über eine (aktuelle) av-bootdisk durch deine av-software (für die automatische erstellung ist es jetzt zu spät) bzw. das downloaden von f-prot (siehe link von who cares) und manuellem "basteln" einer solchen av-bootdisk...

[edit]
den f-prot-teil abgeändert...
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 14. Februar 2003, 16:15: Beitrag editiert von: n_dot_force ]

Könnte man die exe Datei von AVK nicht umbennen, so dass der Virus den scanner nciht mehr erkennt und "rauskicken" kann?

Nelli, unabhaengig davon, dass du die Viren momentan nicht wegbekommst, hast du ne Idee warum die Viren nicht erkannt wurden als das System noch gesichert war? Hast du die staendigen Updates der Antivirensoftware gemacht?
Viel Glueck
Gregor

@ I_wanna_know:
Schön wärs, aber so funktioniert das nicht. Der Virenscanner hat UNABHÄNGIG von seinem DATEINAMEN einen PROZESSNAMEN und an dem wird er vom Virus erkannt. Da du durch Ändern des Dateinamens NICHT den Prozessnamen ändern kannst, nützt Umbenennen also rein GAR NICHTS.