Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Befall WORM/VB.DZ.60 |svchost.exe|desktop.exe (https://www.trojaner-board.de/68772-befall-worm-vb-dz-60-svchost-exe-desktop-exe.html)

SkunkWorks86 18.01.2009 12:18

Befall WORM/VB.DZ.60 |svchost.exe|desktop.exe
 
Hallo zusammen!

Zunächst ein paar Systeminfos:

Desktop PC: Win Vista Ultimate, Sp1, automatisches Update aktiv, Antivir Personal mit autom. Update

Notebook: Win XP Pro, SP3, automatisches Update aktiv, Antivir Personal mit autom. Update

Internetzugriff: WLAN- Router mit aktiver Firewall


Ich weiß nicht mehr weiter und wollte mich daher an die Spezialisten wenden: Seit einigen Tagen/Wochen hatte ich auf meinem Desktop PC das Problem, über den Arbeitsplatz per Doppelklick nicht mehr auf meine Laufwerke zugreifen zu können (Fehlermeldung). Da ich zunächst von einem Problem des Betriebssystem ausging, ignorierte ich den Fehler durch "Rechtsklick-Öffnen" der Laufwerke, da ich dachte ich könne damit bis zu nächsten Formatierung (regelmäßig alle 3 Monate) warten.

Während dieses Zeitraums hatte ich diverse USB-Sticks und meine beiden externen HDD's (meine kleine 2,5" 160GB und mein großes 2x 1TB RAID1 Gehäuse) am Desktop PC sowie am Notebook hängen.

Gestern Abend als meine Freundin an ihren Notebook meine kleine Festplatte stöpselte schlug mehr oder weniger zeitgleich ihre Antivir Personal Alarm mit "F:\desktop.exe Enthält Erkennungsmuster des Wurmes "WORM/VB.DZ.60".

Nun gut wir haben es in Quarantäne verschoben, doch dann merkten wir, dass sie auf einmal das gleiche Problem im Arbeitsplatz hatte wie ich.

Ich gehe nun davon aus, dass ich ebenfalls mit diesem Wurm infiziert wurde (woher nur?!).


Nach einigem Lesen habe ich mit Entsetzen festgestellt, dass meine Systeme wohl kompromittiert wurde. An sich kein Problem, im Formatieren habe ich ja Übung, zumal die letzte Formatierung erst ein paar Wochen zurückliegt.


Nun zu meiner eigentlichen Frage: Da sich der Wurm anscheinend selbstständig auf den USB Stick übertragen hat und so auch den PC meiner Freundin infiziert hat, ist davon auszugehen, dass auch meine beiden HDD's infiziert wurden.
Genau da ist das Problem: Ich kann und will nicht alle meine Daten zum Teufel hauen deswegen. Es wäre unmöglich wieder an alles heranzukommen, zumal sich dort auch sensible Daten (VS) befinden.

Wie kann ich nun sicherstellen, den Virus von allen externen Datenträgern zu entfernen, ohne dass mir Daten verloren gehen? Das reicht von Word Dokumenten über .pdf's und selbstgeschriebenen Python Programmen bis hin zu einer riesen Bildersammlung (Hobbyfotograph).

Ich habe gelesen, dass der Wurm viele Dateien manipuliert, sodass eine Formatierung unausweichlich ist, doch welche sind das genau? Nur Systemdateien, oder auch Word Dokumente und ähnliche?


Zweite Frage: Der Wurm blockiert ja das Anzeigen versteckter Ordner und setzt bei Aktivierung dieser Option sie sofort wieder zurück. Klar, denn sonst könnte ich die desktop.exe und die svchost.exe auf HDD und Stick ja löschen...
Formatiere ich nun und hänge diese Laufwerke an den sauberen PC wieder ran, habe ich das gleiche Problem ja wieder... Was kann man da machen?

EDIT: ist es wirklich notwendig ALLE Passwörter (speziell Online Banking etc.) zu ändern?



Vielen Dank für Eure Hilfe!!!


Grüße,

Tobias

Eminemstyle 18.01.2009 12:21

Hallo und :hallo:

hier in der Anleitung steht etwas zur Datensicherung:
http://www.trojaner-board.de/51262-a...sicherung.html

SkunkWorks86 18.01.2009 13:09

Danke für den Link!

Leider hilft mir das auch nicht wirklich weiter. Ich müsste wissen wie ich

a) eine Neuinfektion nach Formatierung verhindere wenn ich meine Laufwerke anstecke (Autoplay ist deaktiviert)

b) die infizierten Dateien von den externen Datensicherungslaufwerken eleminieren kann OHNE dass Daten verloren gehen

c) welche Art Dateityp der Wurm infiziert, also .exe, .dll, andere Windows-Systemdateien oder eben auch reine Sicherungsformate wie .docx, .pdf, .zip/.rar, .mp3,... Nicht dass ich den Wurm bei der Datensicherung nicht auch noch mitsichere...


Danke!!

Grüße
Tobias

SkunkWorks86 18.01.2009 22:00

Das kam gerade bei einem Scan mit Malware heraus:

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1666
Windows 6.0.6001 Service Pack 1

18.01.2009 21:43:32
mbam-log-2009-01-18 (21-43-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 148982
Laufzeit: 19 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Was heißt das nun für mich?

undoreal 22.01.2009 12:16

Hier geht's weiter:

http://www.trojaner-board.de/68951-auswertung-logfile-screenshot.html#post407963


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19