Wurm über ICQ bekommen

hallo leude,

vor kurzem hab ich über ICQ einen Link von meinem Freund bekommen. Ich bin natürlich draufgegangen und dann musste ich etwas downnloaden. Da ich aus Natur aus ein neugieriger Mensch bin und dachte das des irgendetwas lustiges ist, hab ichs darauf hin gedownloadet. Als ich die vollständige Datei dann auf meiner Festplatte hatte, hab ich mehrmals draufgeklickt aber nichts hat reagiert.

Seitdem findet meine Firewall einen Wurm.
Name: "Email-Worm.Win32.Warezor.ly"
Der immer die Datei in meinem Windowsordner befällt
Name: tifc32.exe
welche ich aus irgendeinem Grunde nicht finden kann.

Abgesehen davon das ich kein Internetupdate bei meinem Virenprogramm machen kann (G DATA Security) stürzt jedesmal mein PC ab. Wie grad eben zum Beispiel -.- *snif*

Ich hab natürlich auch schon eine Menge gegooglet und dabei erfahren, dass nicht mein Freund den Link geschickt hat sondern der Wurm, der seinen PC auch schon "überfallen " hat. Aber so richtige Ergebnisse, wie ich den Wurm entfernen kann, hab ich nicht gefunden.

Hoffentlich kann mir hier einer von euch *Profis* helfen

Gruß
LittelEvil

 

Also ich würde erstmal alle wichtigen Daten sichern (auf CD, DVD, externe Festplatte), bevor noch was schlimmeres Passiert. So, falls dann gar nix mehr geht einfach ne runde format c: und Windows neuinstallieren und Daten wieder auf die Platte kopieren.

 

ja hab ich mir auch gedacht, aber wenn der wurm dann auf meine externe Festplatte kommt hab ich den ganzen Salat von vorne bzw Arbeit um sonst.

Gibts da keine andere Möglichkeit den Wurm zu entfernen außer die Neuinstallation?

Gruß
LittelEvil

 

Hallo,

ohne ein HiJackThis-Log können wir keine Ferndiagnose durchführen. Bitte immer posten, Anleitung hier oben im Sicherheitsforum.

Wieso hat dein "G DATA Security" eine Infektion nicht verhindert, für was hast du die "Systembremse" denn installiert. Und warum beachtest du nicht grundlegendes Sicherheitsverhalten, auf eine ausführbare Datei klicken ist sträflicher Leichtsinn.

 

@Wolfgang77 ich weiß das, des dumm von mir war, da ich den link ja aber von meinem Freund bekommen habe, dacht ich es wäre nichts bösartiges.

ich weiß auch nicht warum meine Firewall nichts verhindert hat, sie hat zwar die infizierte Datei enttarnt aber weder in Quarantänä noch die Datei kann ich löschen.

Systembremse? Ka? Was ist das?
Sorry noch nie davon gehört

--> Logfiles siehe Anhang

 

Hallo,
Microsoft Word Dateien (*.doc) sind auch nicht erwünscht, wer sagt mir dass da nicht ein Script-Virus enthalten ist. Bitte immer nur reine Textdateien (*.txt) posten / anhängen.

Die folgenden Einträge mit HiJackThis fixen (im abgesicherten Modus und bei deaktivierter Systemwiederherstellung). Die Dateien löschen.

C:\WINDOWS\System32\odtemdt2.exe

O20 - AppInit_DLLs: strmatkc.dll

O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll

Von der "tifc32.exe" kann ich in der Log-Datei nichts sehen, versuche die Datei im abgesicherten Modus zu löschen. Poste den genauen Pfad in dem sich die Datei befindet.

Info's:

Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

ICQ Trojaner eingefangen:
http://board.protecus.de/t28703.htm

 

Ich kann die Dateien irgendwie nicht löschen, weder so noch mit Killbox.

Bitte um Erklärung

Gruß
LittelEvil