W32/Sircam-A entfernt, aber immer noch Probleme EXE-Dateien zu öffnen

Diskutiere W32/Sircam-A entfernt, aber immer noch Probleme EXE-Dateien zu öffnen im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Auf dem PC eines Bekannten konnten von jetzt auf nachher die EXE-Dateien nicht mehr gestartet werden. Malwarebytes und die restlichen...
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
Auf dem PC eines Bekannten konnten von jetzt auf nachher die EXE-Dateien nicht mehr gestartet werden. Malwarebytes und die restlichen Anti-Virenprogramme haben keinen Virus gefunden. Durch Zufall bin ich dann auf den Virus "W32/Sircam-A" gestoßen, habe diesen dann durch ein Skript von Sophos entfernt. Nach einem Neustart kann ich leider die EXE-Dateien nicht mehr starten.
 
A

AlienJoker

Gast
Sorry, aber das einzige Mittel, eine Infektion komplett zu beseitigen, ist das System formatieren und die hoffentlich gesicherten Nutzerdaten wieder einspielen.
 
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
Das möchte ich vermeiden, weil dieser PC produktiv eingesetzt wird. Gibt es eine Möglichkeit die Probleme zu beheben?
 
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
Das habe ich auch schon verwendet, und das Tool sagt das der Virus nicht mehr auf dem PC ist, aber Anzeichen gibt es immer noch.
 
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
Sorry, aber das einzige Mittel, eine Infektion komplett zu beseitigen, ist das System formatieren und die hoffentlich gesicherten Nutzerdaten wieder einspielen.
Das möchte ich vermeiden, weil dieser PC produktiv eingesetzt wird. Gibt es eine Möglichkeit die Probleme zu beheben?
Was heist produktiv?

-erst mal was allgemeines: eigentlich ist es kein virus sondern ein wurm

-Erstes Auftreten Juni 2001
-Genaue Bezeichnung W32/Sircam-A
Aliasnamen W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam

-Infektionsweg Kommt als Mailanhang. Gefährdet sind Computer mit Windows 95/98/Me und Windows NT/2000 und höher , die am Netz hängen. Eventuell droht auch für auch Macintosh-Anwender Gefahr, die einen PC-Emulator betreiben.


Wirkung/Schaden
Nach dem Öffnen des Mailanhangs kopiert sich der Wurm unter den Namen scam32.exe in das Windows-System-Verzeichnis.
Zudem legt der Wurm Kopien von sich unter der Bezeichnung sirc32.exe im Windows-Papierkorb ab.
Außerdem trägt sich der Wurm in die Registry ein, so dass der Schädling bei jedem Systemstart aktiviert wird.
Durch einen weiteren Eintrag in der Registry erreicht der Wurm, dass er vor jeder anderen ausführbaren Datei gestartet wird.
Der Wurm verschickt sich an alle Mail-Einträge im Windows-Adressbuch und an Adressen, die er im temporären Internet-Ordner findet findet.
Dazu schnappt er sich eine zufällig ausgewählte Datei - bevorzugt aus dem Verzeichnis "Eigene Dateien" - von der Festplatte des infizierten PCs und verschickt diese per Mail mit seiner eigenen SMTP-Routine, die er mit sich führt.
Dadurch können vertrauliche Informationen an die Öffentlichkeit geraten. Der Wurm verursacht so eine regelrechte Maillawine, wie die Erfahrung der letzten Tage zeigt.
Die von SirCam verbreitete Mail trägt eine zufällig generierte Betreffzeile, die identisch ist mit dem Namen der angehängten Datei.
Der Dateiname hat eine doppelte Erweiterung (zum Beispiel .doc.com oder .mpg.pif), deren letztere eine der Folgenden ist: COM, EXE, BAT, PIF, LNK.Außerdem sucht der Wurm nach gemeinsam genutzten Internet-Ressourcen, also zum Beispiel Netzlaufwerken.
Unter dem Namen rundll32.exe versucht er sich in das Windows-Verzeichnis der angeschlossenen Rechner zu kopieren.Besonders tückisch: Der Wurm versucht am 16. Oktober alle Dateien auf der Festplatte zu zerstören.
Bist du dir auch wirklich sicher dass dieser Wurm den PC infiziert hat


eventuell hilft dir das

http://support.microsoft.com/Programme lassen sich nicht starten, wenn der Computer mit dem SirCam-Virus infiziert ist
 
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
Die Registry-Werte und auch die Dateien stimmen mit dem Wurm überein.
 
B

bosalo

Mitglied seit
04.05.2007
Beiträge
31
Hast du die Lösung, die Microsoft vorschlägt schon probiert?
Kannst di die Dateein löschen und den Registry-Wert ändern?
 
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
Ich habe im ersten Post bereits geschrieben, das ich ein Tool von Sophos gefunden habe, das die Dateien und die Registry-Einträge löscht. Nach jedem Neustart sind die EXE-Zuordnungen weg.
 
B

bosalo

Mitglied seit
04.05.2007
Beiträge
31
Auf der Microsoft Seite steht, wie du den Wurm manuell entfernen kannst. Desweiteren
stehen noch Links zu TrendMicro oder Symantec. Beide bieten ebenfalls Removal Tools an.
 
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
Auf der Microsoft Seite steht, wie du den Wurm manuell entfernen kannst. Desweiteren
stehen noch Links zu TrendMicro oder Symantec. Beide bieten ebenfalls Removal Tools an.
Lies zuerst mal das gesamte Thema durch. Ich habe bereits das Tool von Symantec verwendet, dann noch eins von Sophos und dann auch manuell die Reste entfernt und die Zuordnungen verschwinden immer noch.
 
Bullayer

Bullayer

Schwergewicht
Mitglied seit
19.07.2006
Beiträge
24.155
Standort
DE-RLP-COC
In der Zwischenzeit hättest du den Rechner längst komplett neu installiert. ;)
 
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
Zitat von bosalo
Auf der Microsoft Seite steht, wie du den Wurm manuell entfernen kannst. Desweiteren
stehen noch Links zu TrendMicro oder Symantec. Beide bieten ebenfalls Removal Tools an.

Lies zuerst mal das gesamte Thema durch. Ich habe bereits das Tool von Symantec verwendet, dann noch eins von Sophos und dann auch manuell die Reste entfernt und die Zuordnungen verschwinden immer noch.
Und was ist mit meiner Frage ??

Das möchte ich vermeiden, weil dieser PC produktiv eingesetzt wird. Gibt es eine Möglichkeit die Probleme zu beheben?
Was heist produktiv?
Installiere mal
http://www.chip.de/downloads/HijackThis_13011934.html

und poste die Protokoll-Datei hier im Forum
 
B

Boardler

Threadstarter
Mitglied seit
06.03.2011
Beiträge
26
In der Zwischenzeit hättest du den Rechner längst komplett neu installiert. ;)
Ich habe im Thema bereits geschrieben, das dieser PC im Produktiv-Betrieb eingesetzt wird und man den nicht mal kurz neuinstallieren kann.
 
Bullayer

Bullayer

Schwergewicht
Mitglied seit
19.07.2006
Beiträge
24.155
Standort
DE-RLP-COC
Ich habe im Thema bereits geschrieben, das dieser PC im Produktiv-Betrieb eingesetzt wird und man den nicht mal kurz neuinstallieren kann.
Schön, aber wenn der PC tagelang mit nem Virus in einem Firmennetz hängt und keine Exe-Dateien öffnen kann kann man wohl kaum von einem produktiven Einsatz sprechen.
 
G

GehtDichNichtsAn

Gast
Schön, aber wenn der PC tagelang mit nem Virus in einem Firmennetz hängt und keine Exe-Dateien öffnen kann kann man wohl kaum von einem produktiven Einsatz sprechen.
definitiev eine neuinstalltion machen :flenn

denn ....

NEU IST TREU !!!:up
 
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
Ich habe im Thema bereits geschrieben, das dieser PC im Produktiv-Betrieb eingesetzt wird und man den nicht mal kurz neuinstallieren kann.
---------------------------------------------------------------------------------------------------------------------------------
wie in :
post#15 von Bullayer
hast Du schon wie im post #13 vorgeschlagen HijackThis installiert ?

poste die Protokoll-Datei hier.


Ich würde hier ein bisschen schneller handeln ,
denn dieser Wurm hat es so in sich vorallem im Netzwerk ,
außerdem sucht der Wurm nach gemeinsam genutzten Internet-Ressourcen/ Netzlaufwerke / Clienten etc.
um sich weiter zu verbreiten
:crystal
 
Zuletzt bearbeitet:
Thema:

W32/Sircam-A entfernt, aber immer noch Probleme EXE-Dateien zu öffnen

W32/Sircam-A entfernt, aber immer noch Probleme EXE-Dateien zu öffnen - Ähnliche Themen

  • [Vorstellung] Commander auf W32 GUI Basis

    [Vorstellung] Commander auf W32 GUI Basis: die nacht bin ich mal wieder durch die weiten des internet gerauscht und prompt gestolpert. die ganzen norton commander clone finde ich...
  • W32/Dref-V loswerden

    W32/Dref-V loswerden: Hallo alle zusammen, ich hab da ein problem das wie folgt aussieht... Ich habe mit durch nen usb-stick vom freund den virus "W32/Dref-V"...
  • Problem Wurm W32.Ecup

    Problem Wurm W32.Ecup: Hallöchen liebe Foris, ich hab mir den Wurm W32.Ecup eingefangen. Kann mir einer erklären, wie ich den wieder loswerde? Büdde liebe foris...
  • W32/Stanit wie bekommt man den weg?

    W32/Stanit wie bekommt man den weg?: Hallo zusammen, Kennt ihr den Wurm W32/Stanit, wie bekommt man den weg und wichtiger wie kommt der rein. Habe Windows XP SP2 mit dem neustem...
  • TuneUp erkennt Java als W32.Mydoom

    TuneUp erkennt Java als W32.Mydoom: Also wegen diesem anderen Problem, das ich momentan habe, siehe JavaProzess; CPU wird nicht ausgelastet, habe ich mir TuneUp installiert. Dieses...
  • Ähnliche Themen

    • [Vorstellung] Commander auf W32 GUI Basis

      [Vorstellung] Commander auf W32 GUI Basis: die nacht bin ich mal wieder durch die weiten des internet gerauscht und prompt gestolpert. die ganzen norton commander clone finde ich...
    • W32/Dref-V loswerden

      W32/Dref-V loswerden: Hallo alle zusammen, ich hab da ein problem das wie folgt aussieht... Ich habe mit durch nen usb-stick vom freund den virus "W32/Dref-V"...
    • Problem Wurm W32.Ecup

      Problem Wurm W32.Ecup: Hallöchen liebe Foris, ich hab mir den Wurm W32.Ecup eingefangen. Kann mir einer erklären, wie ich den wieder loswerde? Büdde liebe foris...
    • W32/Stanit wie bekommt man den weg?

      W32/Stanit wie bekommt man den weg?: Hallo zusammen, Kennt ihr den Wurm W32/Stanit, wie bekommt man den weg und wichtiger wie kommt der rein. Habe Windows XP SP2 mit dem neustem...
    • TuneUp erkennt Java als W32.Mydoom

      TuneUp erkennt Java als W32.Mydoom: Also wegen diesem anderen Problem, das ich momentan habe, siehe JavaProzess; CPU wird nicht ausgelastet, habe ich mir TuneUp installiert. Dieses...
    Oben