Virenproblem: Kann mir jemand helfen?

Habe mir einen Virus eingefangen. Effekt: *.jpg und *.tif Dateien sind nicht mehr lesbar. Sie können auch nicht mehr unbenannt werden. Bildbearbeitungsprogramm (MGI Photosuite) läuft auch nicht mehr. Erkannt wurde der Virus durch das Programm PC-cillin 7.5 ( brandaktuelle Version). Mein ansonsten aktiver Virenscanner hat ihn nicht erkannt. PC-cillin kann den Virus allerdings nicht löschen, sondern hat ihn - automatisch - nur unbenannt. Zu finden ist das Ding nach der Unbenennung allerdings nicht mehr, irgendwo liegt das Ding weiterhin auf meiner Festplatte und ist aktiv.

Bei Symantec und McAfee finde ich keine Infos über den Virus.

Der Name ist: VBS_LOVELETTRE.BE und ich habe ihn mir wohl beim Downloaden bei Morpheus eingefangen.

Es gibt nur die Dir bekannte Lösung und die heißt Neuinstallation.
Fdisk oder format c.

vil.nai.com/vil/virusSummary.asp?virus_k=98617

da gibt´s Tips zum Virus und wie man ihn wegbekommt.
Hast du kein Backup deines Systems?? Wer viel bei Morpheus,Napster und Co verweilt, sollte immer ein gutes Backup seines Systems haben.
Hatte mir bei Napster auch mal was eingefangen --> bei einem Elvis Song, der
sinnigerweise den Namen hatte: "Caught in a trap".

Also Holzauge sei wachsam...

Gruß
AUF GEHT`S

@auf geht's: Hilft auch nicht weiter, weil es wohl keine hinreichenden Scanner
gibt. Backup habe ich zwar, ist aber leider nicht so aktuell. Nach dem Backup hatte ich noch neben anderem eine Netzwerkkarte installiert - und deren Installation ging nur handgestrickt.

Wie Spitfire schon sagte: Neuinstallation - aber das kostet viiiiiiiiiiiiiel
Zeit.

...schau mal bei

www.bluemerlin.de/

nach! Gruß, blindfish.

VBS_LOVELETTER
Risk rating:    

Destructive:   Y
   
Aliases:
LOVELETTER, Love Bug, Very Funny

Description:
VBS_LOVELETTER has several variants, which use different email subject, message body and attachments than the original virus. All variants are detected by Trend's latest pattern file.

This VBScript virus, like Melissa, uses Microsoft Outlook to send email with an attachment file "LOVE-LETTER-FOR-YOU.TXT.vbs" to all email addresses listed in the address list. This email has the subject: "ILOVEYOU", body: "kindly check the attached LOVELETTER coming from me." And a file attachment with the virus. LOVELETTER also propagates using mIRC. Using mIRC, the virus sends a copy of itself “LOVE-LETTER-FOR-YOU.HTM” to users in the same channel as the infected user.

This virus has a destructive payload, it overwrites files with specific extensions with its codes. This eliminates the host file and the file now contains the virus source code.

Read more about Loveletter variants.

Solution:


To modify your registry and remove the .TXT and HTML files dropped by the virus please run this Free tool, SWAT.EXE. (This tool does not delete VBS_LOVELETTER, to delete this virus update pattern file or use HouseCall)
If you are a Trend Micro customer, please download the latest pattern file and delete all instances of this virus as detected by our product.
If you are not a Trend customer scan your infected system using HouseCall, Trend's free online virus scanner, and delete all instances of this virus.
If you need further assistance with this solution, please send an email to virus_doctor@trendmicro.com.

Trend Micro offers best-of-breed antivirus and content-security solutions for your corporate network or home PC.


Gruß, blindfish

du sagst du hast bei symantec alles gecheckt. ich konnte VBS_LOVELETTRE.BE (trotz der 82 dort bekannten varianten) dort zwar auch nicht finden, aber du weißt, daß du da auch virusproben zur analyse hinschicken kannst oder ?

würde ich vor der neuinstallation auf jeden fall versuchen
www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html

rechts auf 'Submit Virus Samples' gehen. anleitung, wie du das machst, gibts da auch.

grüße
stiller teilhaber

Ich hab mir mal angeshen, was der Virus so macht. Alle aktuell veränderten Dateien sind gelöscht worden oder in der Quarantäne. Den Virus selbst habe ich auch erwischt, der steckte in einer MP3_Datei ( Joe Cocker: You are so beautiful).

Leider habe ich keine Virendatei mehr, die ich nach Symantec schicken könnte.

PS.: Wenn ich mir ansehe, wie so ein Virus gestrickt ist, dann ist das doch gar nicht so schwer, selbst einen zu programmieren.  

It spreads by attaching itself to an outbound e-mail sent to all addresses found in the Microsoft Outlook Address Book. It does not impose a limit on the number of recipients, so it will send itself to every e-mail address it finds. The e-mail messages it sends always have a subject of ILOVEYOU. The body contains a message: kindly check the attached LOVELETTER coming from me. There is an attachment called LOVE-LETTER-FOR-YOU.TXT.vbs. The attachment is the worm itself, which will activate if the recipient opens the attachment. This worm will operate on any system that has Windows Scripting Host (WSH) installed (this is the default for Windows 98 and Windows 2000). Many Windows 95 and NT 4 systems will also have WSH installed (it is part of Internet Explorer 4 and above), although this may not be known to the user. If you have any of the above systems, you should assume that you are vulnerable to this virus.

The worm will install itself on a machine by coping itself to multiple subdirectories under the different names:

In the Windows directory under the name Win32DLL.vbs.
In the Windows system directory under the name MSKernel32.vbs.
In the Windows system directory under the name LOVE-LETTER-FOR-YOU.TXT.vbs.
The worm modifies registry information to make itself run during the next boot up.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\­ MSKernel32=C:\WINDOWS\SYSTEM\MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\Win32DLL=C:\WINDOWS\Win32DLL.vbs

It also sets the default page of Internet Explorer to download a copy of a file called WIN_BUGSFIX.exe. The web pages it refers to are currently not operational. The virus can also use the mIRC program to distribute itself via IRC channels. If it detects the presence of mIRC, it will try to send an HTML file containing itself to other IRC users. Below is a screenshot of what you see when you open the .HTM form of the VBS.ILoveYou.A worm. This is the file that is sent via the mIRC script to IRC channels.

http://www.ca.com/virusinfo/encyclopedia/...tions/shots/iloveyoua.gif

As a payload, the worm will recurse through all the subdirectories of all local and shared drives found on the computer and will overwrite the files with the following extensions: VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3, and MP2. The overwritten files will contain the worm's body and the extensions will be changed to vbs. Every time an affected file is opened, the worm will be activated. For example, a file called Satisfaction.MP3 would become Satisfaction.MP3.VBS. Files with MP2 and MP3 extensions are hidden after the MP2.VBS and MP3.VBS files are created and can be recovered by an experienced user.

To remove the virus:

Delete all infected messages from your e-mail client
Remove the registry key. To remove the registry key automatically, click here to download an INF file. Save the file to your desktop, right-click on the file and choose "Install" to run it. This file will remove the keys that the virus has added to the registry.
Reboot your computer for these changes to take effect.
To restore MP2 and MP3 files using Windows 95, 98 and NT:

Open Windows Explorer.
Select View | Options and then click on the View tab.
Under the section named Hidden files, click the radio button beside "Show all files"
Click on Apply for these changes to take effect, then OK to close the window.
Next, locate the directory where the MP2 and MP3 files are stored.
Select all of the affected files (scroll over to the attributes column and if you see an H there, the file has been hidden).
Position the mouse cursor somewhere over the selection and then click the right mouse button and select Properties from the menu.
Under the General tab, un-check the "Hidden" box.
Click on Apply for the changes to take affect.
To restore MP2 and MP3 files using MS-DOS or Command Prompt:

At the C:\> prompt, type CD directory (where directory is the location of the MP2 and MP3 files.
At the next C:\> prompt, type attrib -h filename (eg attrib -h satisfaction.mp3) to change the attributes of one file at a time, or attrib -h *.mp2 (or .mp3) to change the attributes of all files simultaneously.

-----

Hoffentlich wurde der nicht auch noch über E-Mail weiterverbreitet ...

 Grüße, r.

beurteilen kann - nicht an einer EMail dran, sondern an einer MP3-Datei. Der richtige Name ist: VBS.LOVELETTR.BE

Man kriegt ihn also nicht durch das Löschen von EMails weg. Man muß tiefer einsteigen.

siehe 'VBS.ILoveYou.BE worm (also known as VBS.LoveLetter.BE)'.

Das Ding ist ein Visual Basic Script, das über das Windows Scripting Host ausgeführt wird. Dateien bestimmten Typs werden durch das Script ersetzt bzw. er hängt sich dran. Bei einem Doppelklick auf eine infizierte MP3 Datei wird dann dieses Script ausgeführt und der Virus wird aktiv und nistet sich im System ein, u.a. wird an jede Adresse aus dem Outlook Adressbuch eine infizierte E-Mail weiterverschickt. Natürlich nur, wenn man Outlook als E-Mail Programm nutzt.
Eingefangen hast Du ihn Dir wahrscheinlich durch eine infizierte mpeg-Datei, aber mittlerweile könnte er über Outlook schon weiterverschickt worden sein.
Nicht das später die halbe Berliner Wissenschaft wegen Virusinfektion zusammenbricht ... ;-)

 Gruß, r.

Entdeckung- "Hauptleitung " im Internet Explorer und klicken an es.

Auf dem rechten Panel doppelt klicken Sie an die Schlüssel"anfangsseite " Ein benannter Kasten bearbeiten Zeichenkette knallt oben, in ihm Änderung das URL bis ein vertrautes, wie www.antivirus.com

Beenden Sie Register.

Löschen Sie die Dateien, die durch Tendenzantivirus als TROJ_loveletter und VBS_loveletter ermittelt werden.

Finden Sie die Datei SCRIPT.ini, indem Sie START|find|files ODER HEFTE anklicken. Schreiben Sie SCRIPT.ini am "benannten " Kapitel. Überprüfen Sie, ob der "Blick " im Kapitel die Option alle lokalen harten Laufwerke enthält. Wenn die besagte Datei existiert, löschen Sie sie, indem Sie die Datei mit Ihrer Maus recht-klicken und wählen Sie die LÖSCHUNG-Option.

Verzicht!

Ein Virus manuell löschen benötigt eine angemessene Menge technische Sachkenntnis.
Wenn Sie glauben, können die oben genannten Anweisungen aus Ihrer Erfahrungsunterseite heraus sein,
Freedom2000 würde froh sein, Sie zu unterstützen. Zu mehr Information
besuchen Sie bitte unsere örtlich festgelegte Abfertigungsrateseite

Wenn Sie entscheiden, das Virus manuell zu löschen, seien daß diese Anweisungen geraten Sie
nicht sein können genug, während das Virus geändert worden sein kann. Wir sind nicht
verantwortlich für irgendeinen Datenverlust genommen von diesen Hilfendateien.