Oh mein Gott, ein Virus hat alle MP3s gelöscht!

[Loopo]

Heute wurde ein Virus ausgeführt, den AntiVir nicht erkannt hatte. Der Virus hat sämtliche MP3s (~4.500!!) und AVis (~90) gelöscht! Danach konnte ich auch nicht mehr booten. Ich habe jetzt provisorisch drüber installiert (MP3s liegen auf 2 Platten: Original und Back Up, auf die wird jetzt auch nicht geschrieben) und gerade versucht, mit O&O die Dateien zu retten, aber anscheinend geht nur jede 10., obwohl alle angezeigt werden !?!?

Kennt wer den Virus!? Gibt's ein Removal-Tool!? Wie kann ich meine MP3s noch retten!?

 

[Sir_Sascha]

also ganz ehrlich, AntiVir hatte ich auch mal ausprobiert, aber da wurde zu viel nicht entdeckt, daher habe ich mir NAV2004 gekauft. Auch scannt NAV die eMailaus- und eingänge. Bei Symantec auf der Seite gibt es ein online Virencheck. Probier den mal aus, vielleicht klappt es ja.

 

[werkam]

Die Mp3s sind nicht gelöscht sondern haben eine andere Endung bekommen, vor 2 Jahren hatte ich mal so einen Virus bei einem Kunden, der wurde von Norton aber erkannt und sämtliche Dateien wurden gerettet. Er machte sich bemerkbar, wenn man in einem Ordner MP3 anklickte zum hören, hat er alle Dateien die er finden konnte mit der Endung MP3 mit einer anderen Endung versehen. Aber nicht gelöscht. Leider habe ich den Namen vergessen, das Tool habe ich bestimmt noch, da ich alle behalte die ich im Laufe der Zeit benötigt habe.
http://www.symantec.com/avcenter/vinfodb.html
http://securityresponse.symantec.com/avcenter/tools.list.html
Wenn Du den Namen des Virus kennst, solltest Du da mal nach Tools suchen.

 

[Mista]

Kannst es auch nochmal mit Ontrack EasyRecovery probieren, vielleicht kannst du damit mehr retten.

Zu AntiVir: Muss meinem Vorredner da recht geben, AntiVir ist kostenlos - und für viele sicher besser als garkein Virenscanner, aber in der Zeit in der ich AV drauf hatte wurden 2 Viren bzw. Trojaner nicht gefunden, die ich zufällig im Taskmanager entdeckt habe (wer weiß wielange die schon drauf waren) - seitdem wieder NAV 2004 und keine Probleme mehr mit Viren oder Trojanern.

 

[ScoutX]

NAV ist aber auch nicht das gelbe vom Ei.

In der CT (eine Februarausgabe 2004) wurde das sehr deutlich, die Searchengine ist bescheiden , aber immer noch besser als antivir, da hier auch noch nach zu wenig Signturen untersucht wird.

Wer den Artikel noch kennt, kann ja mal die genaue Ausgabe und die Ergebnisse posten.

 

[Loopo]

also mit Ontrack Easy Recovery konnte ich die MP3s anscheinend wieder herstellen

allerdings scheint der Virus immer noch aktiv zu sein, hat mir wieder alles gelöscht

weder Panda noch NAV konnten bis jetzt was finden

 

[Bates83]

versuch mal im abgesicherten modus zu scannen, wenn der virus im autostart steckt wird er nicht geladen. und scan dein system mit Spybot - Search & Destroy. fals es ein scherzprogramm oder ähnliches ist kann spybot es evtl erkennen/entfernen.

ich drück dir die daumen, dass deine daten erhalten bleiben.

 

[bones2]

Zu den AntiVir Programmen:

AntiVir habe ich nun schon einige Zeit, es wurde 1 Virus nicht gefunden. Zudem hatte ich einmal eine Spyware... Wenn man AntiVir braucht sollte man ab und zu einen Online-Scann machen (z.b http://www.ravantivirus.com/). Sonst ist das Programm zu durchlässig...

Ich mach nun 1 mal wöchentlich AntiVir-Scann, Online-Scann und mit dem Search&Destroy einen Spyware-Sacnn. Alles gratis und hat bis jeztzt immer funktioniert...

cu bones2

 

[Fiona]

Da der Virus wie es aussieht im Hintergrund aktiv ist, solltest du auch mal deine Prozesse überprüfen über msconfig, Taskmanager und Dienste.
Wenn da was nicht klappt, lade dir den Processexplorer von www.sysinternals.com .
Erst dann kannst du eine Zuordnung machen.
Zuordnung geht sehr gut mit den Support-Tools von deiner Win-CD.
Bei Dienste oder im Taskmanager siehst du dann die *.exe-Datei wo das auslöst.
Das Programm Dependency-Walker (depends.exe) von den Support-Tools zeigt dir die Dateien an die damit verbunden sind.
Das hilft dann auch in der Registry.
Die aber bitte nicht wahllos löschen, da manchmal auch Systemdateien mit infiziert sind.
Kann man aber gut zuordnen mit Rechtsklick / Eigenschaften / Version / Firma.
Aber anhand der Dateien hat man eine gute Chance über das Internet herrauszufinden um was es sich handelt und ein Tool zu bekommen, oder die manuelle Anleitung, um den Virus zu entfernen.
Kannst ja auch nochmal den Housecall von Trend Micro probieren.

Erst wenn der weg ist, vielleicht Datenwiederherstellung nochmals ausführen.

Viel Glück

Fiona

 

[Loopo]

Ich werde jetzt dann mal F-Secure noch testen Wenn der Virus einmal aktiv ist, startet man den Virus anscheinend immer, sobald man ein Programm aufmacht. Im Taskmanager steht dann zwar der richtige Prozess, nimmt dann aber gleich mal so ~ 30 CPU Leistung in Beschlag (und sucht wohl wieder MP3s, etc.) und das eigentliche Programm startet nicht.

Nachdem das Ding das 1. mal meine MP3s gelöscht hatte, gab's zum Schluss übrigens eine Zusammenfassung, wieviele Dateien infiziert wurden, wieviele AVIs und wieviele MP3s gelöscht wurden. Ganz unten stand dann "I FUCK THE RIAA", Der Typ hat wohl eher mich gef)(§/$!

 

[Fiona]

Bitte vergiss nicht, das es auch Gerüchte gab, das die Musikindustrie Viren im Umlauf gebracht haben sollte.

MfG

 

[Loopo]

also F-Secure hat endlich einen Virus unter Win32.HLLP.Xenon gefunden

allerdings habe ich noch irgendeinen Dreck oben, sobald ich im Netz bin, habe ich ständig Upload

Nachtrag:

so ich hab mir jetzt mal mit TCPView die Verbindungen angeschaut: SEHR viele aufgebaute Verbindungen! habe jetzt den Prozess einer wuamgrd.exe beendet. jetzt ist der upload gestoppt.

http://www.sophos.de/virusinfo/analyses/w32rbota.html

 

[phil.]

Tja, dir bleibt auch kein Virus erspart.

Ist noch einer. Kick mal hier.

 

[Loopo]

hehe den Link hab ich auch schon

Naja das Problem ist, dass ich keine Updates mehr hatte (bzw. aufgrund des Virus nicht verwenden wollte). Bis man dann endlich die Sicherheits-Patches auf der Platte hat, wuseln schon allerlei Bakterien auf dem System. Ich hoffe jetzt sind bald alle weg und ich auch bald gesund

 

[phil.]

Dann wünsche ich dir und deinem System gute Besserung
und das du bald in alter Frische wieder mitmischen kannst.

 

[Loopo]

naja für den PC schaut's jetzt besser aus als für mich

 

[Wodka_Jelzin]

nabend

falls du noch vermutest das was verschickt wird von dir kannst du mit dem kleinen Tool Active Ports mal die Verbindungen näher betrachten und auch beenden http://www.sofotex.com/Active-Ports-download_L703.html

ich würde ja raten eine Festplatte mit Daten und wichtigen Zeug vollzumachen und dann auszubauen, ist wohl das sicherste und es kann kommen was will

 

[Loopo]

naja bin schon "fast" fertig muss noch

Thunderbird-Profil wiederherstellen
alle (un)nötigen Programme installieren
alle Programme und OS auf meine Bedürfnisse einrichten
Datenmüll entfernen
alle Platten defragmentieren

MP3s sind alle gerettet

nur ich bin immer noch krank