niggel Geschrieben 3. Februar 2002 Geschrieben 3. Februar 2002 hi zusammen. hat einer von euch erfahrungen mit dem loveletter virus gemacht??? wenn ja, meldet euch bitte dringend bei mir, ich habe mir den virus eingefangen und er hat mir exakt 5244 bilddateien der formate: *.jpg, *.gif und *.bmp unbrauchbar gemacht. weiß von euch vielleicht jemand, ob es da noch irgendeine hoffnung gibt? danke im voraus gruß niggel email an mich... *decke wieder über kopf zieh und weiterheul* Zitieren
Thanks-and-Goodbye Geschrieben 3. Februar 2002 Geschrieben 3. Februar 2002 oh-oh.... das sieht böse aus... The contents of most of these files are replaced with the source code of the worm, destroying the original contents. The worm also appends the .vbs extension to each of these files. For example, image.jpg becomes image.jpg.vbs. However, files with .mp2 and .mp3 extensions are merely hidden and not destroyed. Norton SystemWorks users can recover these files if NProtect is running at the time of infection (quelle) The virus creates a new file with the same name for files with the following extensions: ".js", ".jse", ".css", ".wsh", ".sct" and ".hta". The only difference is that the extension of the new file is ".vbs". The original file will be deleted. After this has been done, the the virus locates files with ".jpg" and ".jpeg" extensions, adds a new file next to it and deletes the original file. Then the virus locates ".mp3" and ".mp2" files, creates a new file and hides the original file. In both cases the new files created will have the original name with the additional extension ".vbs". For example, a picture named "pic.jpg" will cause a new file called "pic.jpg.vbs" to be created (quelle) sach mal niggel, keinen aktuellen virenscanner laufen gehabt???? Zitieren
niggel Geschrieben 3. Februar 2002 Autor Geschrieben 3. Februar 2002 Original geschrieben von Chief Wiggum oh-oh.... das sieht böse aus... sach mal niggel, keinen aktuellen virenscanner laufen gehabt???? hi chief, danke mal für deine antwort, so weit war ich auch schon... einen aktuellen virenscanner habe ich immer am laufen, nur hatte der sich ca. 2 minuten vorher aufgrund einer "ungültigen frag mich nicht was" verabschiedet und ich wollte eh gerade mal wieder alles neu booten... meine frage ist eher, ob sich nicht noch irgendwo auf der platte die original datei-informationen befinden und man diese irgendwie wieder herstellen könnte, zur not auch mit hd's irgendwo einschicken. oh man, ich krieg noch die krise... gruß niggel Zitieren
bimei Geschrieben 3. Februar 2002 Geschrieben 3. Februar 2002 Hi niggel, hast Du schon mal hier http://www.zdnet.de/news/report/lovelettervirus/lovelettervirus-wc.html und hier http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/tools.asp nachgesehen? *niggel knuddel* Zitieren
Thanks-and-Goodbye Geschrieben 3. Februar 2002 Geschrieben 3. Februar 2002 *wühl...* *krams* falls es hilft, ich hab hier die freewareversion von lostandfound noch rumdümpeln. könnte ich dir zumailen. Zitieren
niggel Geschrieben 3. Februar 2002 Autor Geschrieben 3. Februar 2002 Original geschrieben von bimei Hi niggel, hast Du schon mal hier http://www.zdnet.de/news/report/lovelettervirus/lovelettervirus-wc.html und hier http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/tools.asp nachgesehen? *niggel knuddel* hi bimei *freu* danke für die links, aber das ist nicht ganz das, was ich eigentlich suche... also, ich habe die dateien alle isoliert, mein antiviren-proggi hat die auch alle gefunden. aber die originaldateien sind nun alle umbenannt in *.jpg.vbs und *.jpeg.vbs alle dateien sind einheitlich 13 kb groß. wenn ich sie mit dem editor anschaue, steht da nur der quelltext des scripts. ich bräuchte hauptsächlich die info, ob dieser virus die dateien gleich löscht, oder ob die noch irgendwo versteckt auf der hd sind bzw. kann man ja auch gelöschte dateien wieder retten. wenn das der fall wäre, müsste es rein theoretisch möglich sein, diese dateien wieder herstellen zu können. oh mann, das ist doch alles verniggelt... trotzdem mal danke ciao niggel ...die sich jetzt mal sinnlos besaufen geht... Zitieren
niggel Geschrieben 3. Februar 2002 Autor Geschrieben 3. Februar 2002 Original geschrieben von Chief Wiggum *wühl...* *krams* falls es hilft, ich hab hier die freewareversion von lostandfound noch rumdümpeln. könnte ich dir zumailen. danke chief, mach das mal... brieftaube ich möchte es aber momentan noch nicht ausprobieren, nicht daß ich dann mal hören muss: "tja, wir hätten noch was machen können, wenn sie alles so gelassen hätten wie's war..." Zitieren
Thanks-and-Goodbye Geschrieben 3. Februar 2002 Geschrieben 3. Februar 2002 Original geschrieben von niggel danke chief, mach das mal... taube ist unterwegs... viel erfolg. Zitieren
Polli Geschrieben 4. Februar 2002 Geschrieben 4. Februar 2002 ...und wenn alles nicht hilft schick dein Pladde zu uns. Unser Hacker Leiter ähhhhh Entwicklungs Leiter ist sozusagen ein Orakel was sowas betrifft......der baut aus vielen Nullen und Einsen wieder Bildchen, schöne bunte Bildchen :D Dann kannste mir mal eine Brieftaube schicken p.s. Kai, tröste mal Mama, sind ja bestimmt auch Bilder von Dir Zitieren
tgb Geschrieben 4. Februar 2002 Geschrieben 4. Februar 2002 Hi Niggel! Quelle Heise: "MP2- und MP3-Dateien kopiert der Wurm vor dem Überschreiben, kennzeichnet diese Backups aber als "versteckt". Mit attrib -h c:*.mp* /s lassen sie sich wieder sichtbar machen. Die anderen Dateitypen werden hingegen von LoveLetter überschrieben und sind verloren." Klingt alles nicht so vielversprechend, was die Datenrettung Deiner Bilder angeht.... Zitieren
beebof Geschrieben 4. Februar 2002 Geschrieben 4. Februar 2002 also wenn ich den quelltext richtig verstanden habe, löscht der alles... und wie schon gesagt, kopiert er sich selbst in "dateiname".vbs (und zwar mit jeglicher *.jpg, *.gif, *.mp*, *.css, *.js, *.vbs (hier keine neue endung) und *.htm* ) (wenn du willst, kann ich dir gerne mal den quelltext zumailen...) Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.