"DL.exe" vernichtet meinen PC!!

[Hikaru]

Hallo Comunity!

Hier ein paar in Eile getippte Zeilen in allergrösster Hoffnung.
Euch anzuschreiben erforderte über 9 ganze Stunden Kämpfe, Formatierungen und lächerliches Geruder und Geboxe durch Datenfluten und Fehlermeldungen.

Aber von Anfang an:

"DL.EXE" , damit fing es an.
Als ich am Sonntag meinen PC startete eine meldung das
"ntvdm-cpu" einen ungültigen Befehl entdeckt hat und mein PC nun neu gestartet wird.
Dabei ein im Hintergrund offenes aber soweit leeres CMD-Fenster (DOS-Fenster für die etwas zusehr Windows-verhätschelten:nerv
dessen faqinggehplatzenehichdirdabeihelf -Name...DL.EXE war, und einen wie irre darin umherspringendem Cursor.

Mir da nix gedacht und eben PC neu gestartet, aber mein flaues Gefühl sollte mir recht geben.
Er war PENETRANT nicht in der Lage windows zu starten.
Weder Savemode noch Sys-wiederherstellen, nix.
Also Format runde 1.
Externe über Hiren gefüttert mit allem was wir so brauchen,siehe treiber, musik, filme, blablabla.
PC formatiert, frisch aufgesetzt (WINXP HOME).
Festplatte dran, sachen installiert&kopiert, neustart-wie man das halt so macht. Und nun ratet mal was kam :burn::burn::burn:
RICHTIG!

Der bereits bekannte "ntvdm-cpu"-Gag...samt aller totalen Kolateralschäden. Damit wäre für mich zumindest klar das es sich um eine gezielt arbeitende Anwendung handelt.
Was diverse Einfälle mit sich bringt die diversen Personen nicht gefallen werden, aber das erstmal aussen vor.
Diverse Google-Nachforschungen ergaben auser "VERDAMMT AKTUELLER DOSBOX" und ähnlichem Durchfall einen Fund der auf diverse Viren mit diesem Arbeitsprinzip aufmerksam machte und dazu 1-2 Programme nannte die damit klarkommen würden....
Nuja, sie tun es eben nicht, und es verschlimmert sich sichtbar in Minutensteps mit erweiterten Warnungen und regelrechten "Schadensdrohungen" von Windows eh er SELBST den Bluescreen zieht und damit das komplette Sys tötet.:wand::wand::wand::wand::wand:

Einige technische Infos nachgereicht:

CPU: AMD Turion 64X2 Mobile Technologie
RAM: 2GB
OS: Win XP Home - die jemand verloren hatte:nerv: Aber sie läuft nun seit ca 5-6 Jahren 1A, daher...

Virenabwehr : SEMI!!!Dumm sinma ja net, neein:
Da wären Avira, "AVG" und sogar Kaspersky.
Alle 3 qualvoll getötet worden eh sie überhaupt einen 1. Schritt taten.
"Blabla...Software not correct, plz reinstall" wärend des Install-Screens!!

Ich bin in ca 2-3 Std nochmal hier und hoffe auf reges Antwortschreiben. Spekuliert, fantasiert,what-ever, aber rettet ihn!
Und mich gleich mit!

Hoffnungsvoll;
Hikaruein:

 

[Kirika1987]

Trotz Formatierung ist das Ding hartnäckig geblieben?
Hast du denn dabei auch den Master Boot Record gesäubert? Bei einem Kumpel hat das vor Jahren mal die Lösung seines Virenproblems bedeutet.

Hast du einen zweiten Rechner zur Verfügung? Da könntest du die Platte als Slave einbauen, und dann von dort aus mit allen möglichen Antivirenprogrammen bearbeiten (natürlich nicht zeitgleich installiert haben).

 

[Hikaru]

Ok.
Trotz Formatierung wird wohl an der Externen gelegen haben aber ich wollte eben bestmöglichst aus dieser Geschichte hervorgehen
und nicht schonwieder fast einen Terra an Musik und Filmen verschrotten, da abgesehen vom Umstand der Organisation und Wartung dieser Datenflut eben die meiste Musik von mir selbst war
und einige wirklich gute Dinger dabei waren die mir ans Herz wuchsen.
Ich wäre aber bereit eben diesen Preis zu zahlen, wenn es daran gelegen hätte.
In Runde 2 der Formations-schlacht folgte auf 3x-Formation mit unterschiedlichen Gründlichkeitsstufen eine Neuaufspielung des Systems ohne jeglichen Kontakt zur Ausenwelt,
also nur Win-CD &go, und ja, "er" war immer noch da.
Der Begriff "MBR" sagt mir lediglich bei Vista was...
MBR auch bei XP Home? Wo? Wie? Mal ein Fadenkreuz drauf, ich knall's sofort ab!:burn:

2.Rechner kannste knicken da ich:
a) keine "sauberen" Systeme mit einem Infiziertem in Kontakt bringe,:straf:
b) keinen 2. Rechner habe und zuguterletztein:
c) ich hier an einem Laptop sitze was Festplattentausch etwas "spannend" gestaltet :nerv:

Danke durchaus für Gedankenanstöße, der Rest ist gerne eingeladen teilzunehmen

Hoffnungsvoll (und sich über Kirika's Signatur-schlapplachend) ;

Hikaru

P.S:
Keine Sorge, jedes der genannten A-vir's wurden semi genutzt,
damit hatten wir auch schon unsere lehrreichen Nächte ^^

 

[Loxagon]

Protecus Security Forum - Computer und Internet Sicherheit Hilfe und Tipps

Da sitzen Profis die dir besser helfen können. Aber ich rechne mal mit:

"Dein PC ist gehimmelt"

 

[Redwolf]

Meine Recherche ergab das:

Es handellt sich um den W32.Bagz@mm Wurm der erstmalig 2004 auftrat.

Siehe: http://www.sarc.com/avcenter/venc/data/w32...valinstructions

5min Google

Lade dir die Bart CD herunter und cleane dein System.
http://www.avast.com/eng/avast_bart_cd_downlo.html

Besser noch sicher deine Files und mache es Platt!

Updates und Dienstekonfiguration solltest du auch nicht vergessen.

##Nachtrag:
Es gibt auch ein Cleaner Tool:
Antivirus und Internet Security Software - BitDefender Virenschutz

Habe das Problem auch gehabt!!!

als allererstes infiziert dieser Virus alle .exe dateien!!

Das heisst installierte Programme sowie Installer sind davon betroffen!

Ihr müsst jede .exe auf eurem rechner ausfindig machen und löschen!!

geht auf start->suchen-> alle laufwerke ausser c:/->.exe


Die .exe Dateien von irgendwelchen Programmen die ihr installiert habt und nicht auf der neuen windows Partition waren sind infiziert!!

Daher empfehele ich alle alten exe Dateien zu löschen!!

bevor ich das erkannt habe, musste ich mein system 3 mal neuinstallieren um wieder festzustellen das 1 klick auf einer der exe Dateien den virus wieder von vorn arbeiten lässt!!


Musste leider meine Jahrelang angelegte Installersammlung löschen... Sad

In Kurz:

System neu machen was Musik,Videos und Dokumente angeht die könnt ihr retten alles andere muss weg!

Wenn ihr system neu gemacht habt klickt auf keine exe die ihr nicht mit dem neuinstallierten system heruntergeladen bzw installiert habt!

Ladet euch Kaspersky runter und scannt die Files die ihr als backup aufgehoben habt!!

Er wird bestimmt den einen oder anderen Virus finden!

Habt ihr bis hierher alles so gemacht so seit ihr virenfrei alles andere den rechner zu retten ist müll...

Die exe dateien die infiziert wurden gehen eh nicht mehr da der Virus den Quellcode bzw Programmiercode komplett ändert!!

Ich hoffe ich konnte euch helfen bis dahin der r0e

Masterboot Record (MBR) formattieren

Du solltest die Platte formatieren. Dabei aber zunächst (Über Windows XP Home CD) alle Laufwerke löschen und neu anlegen (sonst könnten sich auf der Platte eine versteckte Partition befinden). Danach nochmal hochfahren und mit der Reperaturkonsole (Taste R drücken) und dem Befehl

fdisk /mbr

und

fixboot

und

fixmbr

eingeben. Damit wird der Masterboot Record formatiert und neu angelegt.

Vorher solltest du aber auf einer externen Platte deine Daten sichern.

XP installieren und updaten

Installier danach XP wie gewohnt schließe aber deine externe Platte und Internetzugang ab.

Sorge dafür, dass du alle wichtigen Windows Updates hast bevor du deinen Rechner wieder ans internet anschließt. Eine alte Windows CD zur Installation enthält nicht alle neuen Updates so dass du dir eventuell schon was einfängst bevor du überhaupt in der Lage bist ein Update durchzuführen. Dazu kannst du dir ein Updatepack von Winfuture herunterladen.

Update Pack für Windows 7, Windows Vista und Windows XP - WinFuture.de

Installiere einen Virenscanner zum beispiel Antivir. Als Firewall ist Comodo Firewall zu empfehlen. Beide Programme sind für den Privatgebrauch gratis.

Autorun von Datenträgern deaktivieren

Es ist möglich, dass sich der Virus nicht nur auf deinem Rechner, sondern auch auf externen Datenträgern wie deine externe Platte oder USB-Sticks breitgemacht hat und jetzt die autostart Funktion des Datenträgers nutzt um sich zu verbreiten. Diese Funktion benutzen zum Beispiel Spiele, welche von CD installiert werden um einen Startbildschirm anzuzeigen. Die solltest du deaktivieren bevor du diese anschließt.

Deaktivieren der Windows Autostart-Funktion für USB und CD

Alte Exe-,Msi-,Com-,Bat,Lnk-,Pif-Dateien meiden

Was ich den obigen Posts entnehmen kann ist, dass sich der Virus über infizierte Exe-Dateien verbreitet. Es wäre also wichtig, dass du alle exe-Dateien löschst (auch von der externen Platte) und nicht alte Setupdateien benutzt um dein System neu aufzusetzten. Filmdateien und Bilder brauchst du normalerweise nicht löschen. Verknüpfungen (Nicht sichtbare Dateiendung .LNK) sollten dir aber auch Sorge bereiten. Zuletzt gab es da eine LNK-Lücke über die sich was Verbreitet hat, selbst wenn die Datei nur im Windows-Explorer angezeigt wird.

 

[Hikaru]

Oha, ist ja fast ein Buch ^^
Aber es macht mich stolz zu sehen wie sich hier dafür engagiert wird!

So, vorweg: Der Virus/Wurm/Whatever mag vor 5-6 Jahren aufgetaucht sein und damals für Laien selbst noch lösbare Hindernisse geschaffen haben.

Warum auch immer, Win wurde ja dann Vista, der Wurm blieb XP aber nun der Gag:
Er wurde verbessert, und zwar drastisch!
Er bricht atm jegliche Installation von A-Vir-Programmen ab :grmpf:
und - ich dacht am Anfang das mich n Pferd beisst - er dupliziert wahllos ausgeführte Task's. UNENTWEGT!!
Mag sich nicht schlimm anhören, aber wenn er es schafft 2 GB ram innerhalb von Sekunden auf 70MB zunterzuhämmern, is das schon so ne Sache.
Dieser Meinung ist auch mein Windows...:grmpf:

Davon abgesehen haben wir eine Software- beanspruchende GraKa die mir dann tierisch heiss läuft weil sie ja immerhin 15x läuft....:burn:
Wehe ich krieg n Hardware-schaden, weil ich diesen Saftsack finden werde.....und dann [zensiert]!!!!

Aber genug gewütet, bleiben wir bei Fakten:

Wie sich herausstellte - und ich empfehle euch definitiv davon vernzubleiben!! - kann man unsre heißgeliiebte "DL.EXE" auch mal geschwind in eine Textdatei umwandeln...:ne:
Ich kopier mal schnell den Text hier rein zur Veranschaulichung, nochmals: NICHT BESUCHEN!!!!!

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://utenti.multimania.it/vx9/dl.exe">here</a>.</p>
</body></html>

Jaja, richtig gelesen, es ist eine Website vermerkt.
Bin da etwas unerfahren, aber "IT" = Italien?!

@Redwolf :

Werde mir nun deine MBR-tips aufschreiben -drucken is ja netmehr-
und eine neue Runde in die Formations-Schlacht ziehn....
Was für mich aber mal viel interessanter wäre....,
wie finde ich heraus welches Programm diese DL.exe konstant erneut erstellt? Sys-Rec is schon aus, das war meine 1. Vermutung.

Erhöhe Kopfgeld auf geballte 50 €;
kein Gag, Aprilwitz, e.t.c.!hab sie mir grad hier an die Wand gepinnt!

Aus Anfangs "Rettet meine Musik" wird nun schlichtweg:

"Rettet MICH!!":ne:

Hikaru

 

[Redwolf]

Der Link zur DL.exe den du in der DL.exe auf deinem System gefunden hast existiert nicht mehr. Da er zu keinem eigenen Server, sondern zu einem freien Webspaceanbieter (Multimania, ehemals Tripod) führt, gehe ich davon aus, dass über den Link auch nicht versucht wird ein Browserexploit unterzuschieben.

wie finde ich heraus welches Programm diese DL.exe konstant erneut erstellt? Sys-Rec is schon aus, das war meine 1. Vermutung.

Auf dem kompromitierten System warscheinlich gar nicht. Ist dein Betriebssystem erstmal vervirt, kann der Virus z.B. wichtige Kernel-Dlls umbiegen, so dass er gar nicht mehr von nachher installierten Virenscannern gefunden wird.

Siehe auch:

YouTube - Kanal von SemperVideo

YouTube - Kanal von SemperVideo

Du kannst aber mal versuchen den Rechner über die Antivir Boot CD zu überprüfen. Die Boot-CD startet dabei ein eigenes Betriebssystem und scannt alles durch.

Avira AntiVir Rescue System

 

[Hikaru]

Nun, das sind wieder 1-2 neue Brotkrumen auf der Suche nach meinem Zuhause.

Aber die Probleme sind etwas tiefgeschichteter wie ich anfangs annahm..

1.) Der Virus schreibt selbstständig und natürlich ungefragt auf DVD/CD- RW, was das anlachen von diversen "rettungs-CD-geschichten schlicht unmöglich für mich macht.

2) er frisst exe!! jop, tatsache, bei letzter Runde ging unter anderem "Explorer.exe"
u.s.w.

Er infiziert nicht einfach und nutzt das als Startpunkt für weitere Attacken oder nerft mit irgendwelchen Lache-Gesichtern wie wir sie aus der Fernsehwerbung für ein bekanntes PC-Heft kennen, nein er will einfach zerstören! Nicht nur Soft -sondern besonders gern Hardware! Und das Internet ist einfach gespickt mit unbeendeten Foreneinträgen, Dummlaberei über DOSBOX-Games obwohl er ganz klar meine symptome auflistet.

Und zu deinen Youtube-links....
Nett das du da was gefunden hast aber solange existiert nicht meine Firefox.exe nicht als das ich mit geballter 10kb/s diese videos streamen könnte um sie mir anzusehn -_-
Könntest du falls es nicht etwas heftig kommt kurz und übersichtlich erklären was die da tun, was sie verwenden und wo ich dieses herbekomme?
Und könnte mir vlt jemand gepackt!!(ganz wichtig) die datei "msconfig" schicken?
Email ist ohne die ganzen @@@ auser dem richtigem :

@@@ dschenni22 @@@ @arcor @@@ .de

Hikaru


P.S:
Sagt, bin ich total noob oder seit wann gibt es eine "run32dll.exe"?
Ach, der Bösewicht hört btw auf die bezeichnung "w32/stanit" falls das irgendjemandem hilft mir zu helfen.

 

[Loxagon]

Wie gesagt, geh ins verlinkte Forum, dort sitzen Fachkräfte die vielleicht noch besser helfen können

Oder: Kauf einen neuen PC, falls du es dir leisten kannst. Darauf läufts wohl eh hinaus, leider ...

 

[Deathjester]

Neuen PC?
Wenn alle Stricke reißen investiert man nen 50er (oder mehr, je nachdem ) in ne neue Festplatte und gut is es. War sicher net ernst gemeint XD
Allerdings wär dann ja noch der Datenverlust, wobei ich davon ausgehe, das man den Virus normalerweise mit jemanden, der bissl Ahnung davon hat, ohne Zwischenfälle von nem anderen PC aus entfernen kann.

Hatte diesen Virus übrigens auch mal vor ein paar Monaten, als ich das ".exe fressen" gelesen hab, hats klick bei mir gemacht. War echt Spassig, nach der 3. Neuinstallation hatte ich dann endlich die Datei gefunden, die den Mist verursacht, danach war alles wieder ok. Wenn du allerdings nicht weißt, wo der Verursacher sitzt, und vielleicht unbewusst diesen immer wieder ausführst (so wars in meinem Fall) schauste in die Röhre.
Sonst waren bei mir aber keine Daten betroffen (.mpg, .jpg. .txt usw.)

Und zu den Rettungs-Cds: Lad dir da doch was bei nem Freund oder so runter, wo ein sauberes System herrscht, wenn es bei dir ja wohl nicht klappt. Sollte sich doch wer finden, oder?
Viel Erfolg weiterhin

 

[Hikaru]

Nun, habe ihn erstmal auf "eis" legen können und bin nun ca 9 Std durchgehend am "laufen" ohne blue-jokes.
Er hat sogar mithilfe einer autostart CD von vor fast 5 jahren ein linux(??) auftreiben können das in der lage war avira zu patchen.
Meine Aussage das der Virus/Wurm/whatever die exe frisst erwies sich als falsch, atm weis ich das AVIRA selbst das hungrige Biest in Ketten war, das auch noch ich von der Leine ließ.
Der Clou war eine 2. Installation von Win auf der Master ohne die 1. zu begraben.

Es wäre kein Problem den Bösewicht totzuschlagen, indem wir einfach alles totschlagen, aber eben genau das versuchen wir verzweifelt zu verhindern.
Nicht weil die Daten aus Gold wären sondern weil das erneute Auftreiben eben jener Daten mit Hilfe einer 10kb/s -Verbindung JAHRE dauern würde.

 

[Loxagon]

Ich scherze nicht. Die Viren können auch durchaus auf der GraKa etc heimisch werden!

 

[Hikaru]

Dann soll der Ersteller dieses Virus zu allen Göttern beten die ihm grade einfallen
das ich never herausfinde wer es war und wo ich ihn finde,
denn was dann abgeht ist weitweg von jeglichem gesundem Geisteszustand und für ihn ein gesichtertes langes Leben in nicht vorstellbarer Qual und Pein.
Jaja, dummes Gepose mag mancher denken aber sein Leben wird auf Rotten oder Konsorten per Livestream die Welt in Atem halten. Ich sitze nun seit Tagen an der Scheisse, habe sogar den Graka-treiber deinstalliert die nun mit dem 0-8-15-treiber von Win läuft mit geballter 800'er auflösung und einem Mauszeiger der aussieht als wär er aus stein gemeisselt -_-
Atm haben wir ca 25 Dvd-rohlinge gebrannt um stück für stück mein herzgold zu exportieren.
Mein Frooty is schon draufgegangen, all meine Games, saves, ach, ich fienz schonwieder.

 

[Proto]

Da Hikaru offenbar noch öfters anwesend ist, würde mich interessieren, ob er das Problem lösen konnte.

 

[Hikaru]

^^
Anscheinend nicht deutlich genug ausgedrückt, kein ding, hier die bestmöglichste wiederholung^^

Das "fiese Ding" liess sich durch eine Doppelinstallation von Windoof verwirren was dir die chance gibt ein Avir zu installieren.
Sys-rec. aus, update, fullscan, restart mit windoof-cd, totaldampf-hammer=
*puff*- weg war er
Seitdem Ruhe

P.S:
Die arme Sau mit "rec.-partition" auf dem Lap weil diverse Firmen zu fein für CD/DVD's sind....
Acer damit speziell im Auge....

 

[Proto]

Mein PC hat was ganz feines, was aber nicht bei Viren usw. hilft: Wenn das System Probleme hat, lädt er automatisch (!) eine Systemwiederherstellung von vor ein paar Tagen.

Hat mir einmal den PC gerettet, nachdem ich am virtuellen DVD-Laufwerk die Option für Analog-Sound aktiviert hatte (auch wenn ich sie natürlich nicht gebraucht hätte), weil ein Spiel deshalb gezickt hat. Danach ging gar nichts mehr...

 

[Hikaru]

Also wie erwähnt, wenn ich hier auf ne Recovery angewiesen wäre hätt ich total verloren. Weil für dieses "Genie" von Mistding eine versteckte Partition auch nur eine Frage eines Neustartes ist...