Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
hab an laptop, aktuelle nav installed und jetzt hat der an virus. und zwar an irc trojaner namens Backdoor.IRC.flood.dr
der nav hat des zwar checked, oba runter geht er trotzdem nimmer.
dürft ausserdem ziiiemlich "frisch"sein, denn auf da symantec hp gibts no kane gscheidn infos dazu.
aüssern tut sich der schas dadurch, dass beim starten nach der anmeldung im win2k net der explorer kommt, sondern des fut irc programm!!!!!!! *oasch-drecks-fut-beitl-sau-schwein-wurm* ![[Bild: icon_evil.gif]](https://www.downhill-board.com/images/graemlins/icon_evil.gif) ![[Bild: mad.gif]](https://www.downhill-board.com/images/graemlins/mad.gif)
hat ewig dauert bis i draufkomman bin, dass sich der explorer über den taskmanager starten lässt... bloß i bring de sau net weg! hab scho 4 mal compl. scan gmscht und auch die sysreg scho a bissl durchforstet... hab aber anfoch kan plan mehr...
HHHHHHHHIIIIIIIIIIIIIIIIILLLLLLLFFFFFFFFFEEEEEEEEEEEEEEE!!!!!!!!!!!!!!!!!!!!!
P.S. des kummt aussa wenn frauen an eigenen laptop hobn...
Beiträge: 2,057
Themen: 159
Registriert seit: 2001-11-25
Bewertung:
0
hi,
das selbe Prob hatte ich im Sommer auch....
Ich hab dann das IRC zeug aus der Registry gelöscht und dann nochma den NAV scan rueberlaufen lassen und dann ging wieder alles normal.
Du hast geschrieben dass du schon die Sysregistry abgesucht hast?
![[Bild: confused.gif]](https://www.downhill-board.com/images/graemlins/confused.gif)
Mh...was man da etz noch probieren könnte fällt mir grad net ein! *an Kopf schlag--->nachdenken*
Zeigt die Norton net an wo sich die infizierte "Datei" befindet ??
Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
doch, hat er eh getan. war übrigens scrsaver.exe im c:\winnt\system32\
hat der nav auch isoliert, doch des bringt jo nix, da sich des backdoorprogramm scho längst installiert hat und resistent irgendwo ummahockt!!!
zu allem überdruss funzt zur zeit des live uapdate vom nav bei mir net so 100%...
es is zum haare ausraufen!!!!
Beiträge: 5,791
Themen: 224
Registriert seit: 2001-06-29
Bewertung:
0
uaa, wos i do so les gfoit ma gor ned.
also wenn i nochmal zamfassen darf: nav kennt den virus zwar, er isoliert ihn, aber es bringt nix. der virus hat sich als shell eingetragen und startet sich so immer automatisch.
hui, i bin jetz ehrlich gsagt auf die gache sehr überfragt, i schau mal gach wo die shell in windows definiert wird.
also dass nav amal a system ned retten kann o.ä. is ma noch nie passiert. bist sicher dasst die aktuellen virendefinitionenen hast? (liveupdate?)
die screensvr.exe oda wie die heißt... bringts was wennst die löscht?
a idee hätt ich noch, is aber ned unbedingt erfolgsversprechend - du schaust da die dateigröße (in bytes, wichtig) der datei an, und suchst dann im normalen windows suchtool nach einer datei mit der glechen größe. wennst eine findst, und dir die datei auch komisch vorkommt (sprich exe, scr usw) dann post mal da und lösch sie gegebenenfalls. kann sein dass des die datei is aus der sich der virus immer wieder neu ersetzt.
i schau jetz mal a bissl wo die shell eintragen is etc. ![[Bild: icon_rolleyes.gif]](https://www.downhill-board.com/images/graemlins/icon_rolleyes.gif)
Beiträge: 7,110
Themen: 103
Registriert seit: 2001-07-02
Bewertung:
0
oiso bei mit hod da nav nie nie wos repariern kinna ![[Bild: wink.gif]](https://www.downhill-board.com/images/graemlins/wink.gif)
isoliert a imma nur
Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
im grossen und ganzen hast des problem vollkommen richtig erkannt!!!
des problem is, das i des file von dem der virus ursprünglich aushangen is, scho eliminiert hob. des schwein sitzt scho irgendwo anders...
aussadem is der virus so neig, dass symantec nur auf die aktuelle definition verweist, näheres is no net bekannt!!!
des is a bissl seeehr blöd...
Beiträge: 5,791
Themen: 224
Registriert seit: 2001-06-29
Bewertung:
0
so shell findest folgendermaßen raus (Wemma glück ham findest damit de verseuchte datei)
=> gehst in die registry (mit ausführen im startmenü oder halt mim ausführen im taskmanager wenn da explorer spinnen sollt)
und dort gehst unter
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon
dort findest an wert namens Shell, den Eintrag dieses wertes post dann da bitte mal. des is die datei, die immer stattm explorer aufgrufen wird. änders bitte noch ned gleich um, aber sobaldst postet hast oda notiert hast, kannstas schon in explorer.exe umändern.
dann schau unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
obst die datei irgendwo siehst, wenn ja gleich löschen, wenn ned, schau obst andere einträge findest die da komisch vorkommen, und posts dann auch da.
danach kannst die datei, musst da halt notiert haben wo die auch is (klar ) löschen. aber bitte mit umschalt+DEL löschen, ned inan papierkorb verschieben.
dann mal schaun wies system rennt, also neu starten. ![[Bild: icon_twisted.gif]](https://www.downhill-board.com/images/graemlins/icon_twisted.gif)
Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
schauma moi!
ajooo... a ganzas edv nackerbatzl bin i eh ned...
Beiträge: 5,791
Themen: 224
Registriert seit: 2001-06-29
Bewertung:
0
ja ich weiß, sorry, aber i hab die angewohnheit dass wenn i was erklär des so mach, dass auch a DAU versteht... tut ma leid, aber des kommt davon, dass i viel öfter mit so daus zu tun hab als mit leut die sich auskennen.
hoff dich störts ned allzusehr
Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
in der shell steht nur der explorer.exe drin
in der local machine folgendes:
LoadQm wert: loadqm.exe
medialoads installer wert: progr./downloadware/dw.exe
promulgate wert: programme/delfin/promulgate/pgmontir.exe
savenow wert: progr/savenow/savenow.exe
in der current user:
internat.exe wert: internat.exe
ois andare is unverdächtig...
Beiträge: 5,791
Themen: 224
Registriert seit: 2001-06-29
Bewertung:
0
oiso des find i moi org... wie startet sich des programm dann stattm explorer? orge gschicht.
des loadqm.exe keine ahnung was des is.
medialoads, prmulgate und savenow san ois spyware programme de eigentlich ungfährlich wärn.
internat.exe is in jedem windows vorhanden.
i fürcht fast, jetzt steh i an ![[Bild: icon_sad.gif]](https://www.downhill-board.com/images/graemlins/icon_sad.gif)
Beiträge: 7,868
Themen: 130
Registriert seit: 2001-06-28
Bewertung:
0
Du hast 2 Möglichkeiten:
a) Computer im geschützten Modus hochfahren und dann NAV laufen lassen (kann aber sein, dass der dann nicht starten geht)
b) auf gescheite Seite gehen ( http://www.nai.com) und dort suchen (der könnte Deiner sein: http://vil.nai.com/vil/content/v_99379.htm)
Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
Haaaa!!!! schurken! i hob wos verdächtiges!!! und a scho gekillt!!!!
i hob amoi noch da explorer.exe gsuacht... und siehe da es gab 2 von ihnen!!! äusserst verdächtig hob i ma docht...
die originale liegt im c:\winnt und die foische sau wor im c:\winnt\system32
dann hob i auf meim rechner gschaut, es gibt nur EINE explorer.exe. jetzt hab is ausgführt, 3 moi derfst roten wos aufgangen is!!! genau, der irc!!!! jetzt hob i eam amoi glöscht, moi schaun...
Beiträge: 3,254
Themen: 107
Registriert seit: 2001-07-02
Bewertung:
0
danke, oba wos glaubst hob i scho ca. 10 moi gmocht???
Beiträge: 5,791
Themen: 224
Registriert seit: 2001-06-29
Bewertung:
0
siagst die idee hob i zerst eh a ghobt oba daun drauf vergessen. jojo s'a gscheida schurke. oba eigentlich miasasts jetz mim spuk vorbei sei
|
