|
hallo @all! unter w2k sp3 sollte eine testversion des programms „Spy Sweeper“ aufgesetzt werden. das setup wurde mit dieser windows-fehlermeldung abgebrochen: Der Prozedureinsprungpunkt „Set Handle Context“ wurde in der DLL „KERNEL32.dll“ nicht gefunden. ein erneuter download und installationsversuch brachte dasselbe ergebnis. dafür meldet „Anti-trojan Shield“: virus "ultimaterat_-_version_2_1_wp.sCry" detected in c:\Programme\WinAce\sfxlib.dll besteht da ein zusammenhang :confused: lt. NOD32 trialversion mit update von gestern ist das system allerdings virenfrei verwirrend weiters: das prog, wo der virus sein soll, befindet sich seit etwa einem jahr auf dem rechner. das system ist wie erwähnt dzt. mit NOD32 geschützt, davor lief antivr-pe, noch früher norton. sonst scheint das system normal zu sein – sofern unter windows möglich ;) wer weiß rat? danke schon jetzt für eure hilfe! |
Also bei ultimaterat handelt es sich um einen Trojaner. Wie der jetzt plötzlich dein WinAce infiziert hat, ist mir jetzt auch nicht klar. Vielleicht eine Fehlmeldung? |
das prog wurde auf diesem rechner schon wochenlang nicht aufgerufen. NOD32 soll trojaner ja nicht optimal erkennen. werd zur sicherheit noch mit anti-trojan scannen. hinzugefügt: inzwischen onlinescan mit pandasoftware gemacht, ergebnis virenfrei :confused: |
seltsam... anti-trojan 5.5 hat auch nichts gefunden, neuer check mit anti-trojam-shield findet jetzt auch nichts. also doch fehlalarm??? das andere problem ist allerdings geblieben. beim versuch, programme zu installieren. nicht bei jedem, aber eben bei "Spy Sweeper" auch bei neuerlichen downloads, so daß es an einem fehler beim runterladen eigentlich nicht liegen kann, und bei downloads von der macromedia-homepage kommt die ganz oben genannte windows-fehlermeldung und läßt ein installieren nicht zu. |
hi leo.pold, das "ungeliebte Kind" in diesem Board AVPE hat von ultimaterat.zip folgendes "erzählt: </font><blockquote>Zitat:</font><hr /> ULTIMATERAT.ZIP ArchiveType: ZIP --> ultimaterat\uratedit.exe Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Urat.10.C --> ultimaterat\uratserv.exe Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Urat.10.A --> ultimaterat\UltmateRAT_v1.1.exe Enthält Signatur der Backdoor-Steuersoftware BDC/Urat.11. </font>[/QUOTE]...alles klar? |
@Rene-gad: Was soll das? Das das ein Trojaner ist wissen wir schon, gratuliere die hast ihn runtergeladen und gescannt. [img]graemlins/daumenhoch.gif[/img] Du bist mein Held. Eine Antwort auf leo.pold's Frage hast du ja nicht gegeben. |
@ll </font><blockquote>Zitat:</font><hr />Original erstellt von Apache: ...Also bei ultimaterat handelt es sich um einen Trojaner...</font>[/QUOTE]..und jetzt wir wissen um welchen; und jetzt schlage ich vor, mit dem RAV-OnlineScan das Vieh zu töten... @leo.pold </font><blockquote>Zitat:</font><hr /> ..anti-trojan 5.5 hat auch nichts gefunden, neuer check mit anti-trojam-shield findet jetzt auch nichts. also doch fehlalarm??? </font>[/QUOTE]...kann anti-trojan 5.5 auch die zip-Archive durchsuchen? Ich weiß es nicht genau, aber vermute -nein! Wenn schon um Online-Scan geht, dann Bitdefender, Trendmicro oder RAV, oder von mir aus Trojan Scanner von GFI [ 20. Juni 2003, 20:31: Beitrag editiert von: Rene-gad ] |
hi apache & rene-gad! zunächst danke für die mithilfe. über den trojaner hab ich mich mittlerweile auch schon schlau gemacht, hilft mir nur nicht weiter, weil der jetzt auf dem rechner nicht mehr zu finden ist. naja, vielleicht war er auch nie da, aber warum dann aus heiterem himmel fehlalarm in einem so gut wie nie benützten programm? dazu das quasi zeitgleiche auftauchen eines windows-fehlers, der offenbar bestimmte programme nicht installieren läßt. das ist das letzte ergebnis des gfi-online-scans: Starting scan at 21:47:11:28... Scan Memory Memory not infected Scan folder: 'C:\', recursive Unable to scan C:\System Volume Information - Zugriff verweigert Finished scan at 22:23:11:315 Total number of files is 63429, number of infected files is 0 Average files per second is 29, average file size is 2551681 also alles in ordnung wie es scheint, mit ausnahme der ungereimtheiten. wenn euch noch was dazu einfällt, ich bin für jede reaktion dankbar. |
hi leo.pold ...es ist gut so :D . |
tja... vielleicht sollt ich einen neuen thread aufmachen, aber ich poste es erst mal hier: obwohl mir mehrere voneinander unabhängig eingesetzte antivir-progs und trojanerscanns gezeigt haben, daß es wahrscheinlich fehlalarm (weswegen auch immer...) war und das system clean ist, scheint da doch irgendwas nicht zu stimmen. die datei KERNEL32.dll dürfte manipluiert worden sein (siehe erstes posting). sie wird z.b. mit "datum der letzten änderung" mit einer in der zukunft liegenden uhrzeit angezeigt, konrekt um 21.05, obwohl es grad mal 14 uhr vorbei ist. systemzeit bei mir stimmt. frage daher: welcher virus oder trojaner manipuliert die KERNEL32.dll und wozu? falls wirklich der ultimaterat auf dem system war, ich hab nirgendwo einen hinweis auf einen möglichen zusammenhang gefunden. und welche möglichkeit gibt es, diese .dll auf korrektheit zu überprüfen (hat auf diesem system 772kb)? danke schon jetzt den experten [img]smile.gif[/img] |
hi leo.pold, imo soll kernel32.dll nur Herstellungsdatum/Urzeit haben (Baujahr/Monat/Tag so zu sagen ;) ): d.h. die Datei ändert sich Betrieb gar nicht. Schau mal bitte in "Eigenschaften Erstellt/Geändert/Letzter Zugriff". Wenn das letzte Datum früher liegt, als erstes - das wäre ein Grund zum Nachdenken. Unter Registerkartei "Version" soll Mikisoft stehen und nix anderes. |
hi, nö - nur das datum der letzten änderung ist mit uhrzeit 21.05, der letzte zugriff korrekt mit 14.51. :confused: mittlerweile hat mich wer darauf aufmerksam gemacht, daß es meherere dateien in windows gäbe, die ein zukünftiges datum hätten, das sei so... [img]graemlins/crazy.gif[/img] ich fänds ja auch irgendwie merkwürdig, würd ein backdoor eine komplett "unwichtige" datei manipulieren. andererseits: was heißt dann: "SetHandleContext" nicht gefunden, wenn man ein ganz normales prog installieren will? gab auf diesem system früher nie probleme damit... |
Hab hier mal ein bisschen was dazu gefunden, bist nicht der einzige mit dem Problem: http://techsupt.winbatch.com/TS/T000001056F52.html Hier ein Workaround von MS: http://support.microsoft.com/default...EN-US;Q300179& |
danke fürs erste mal für die unterstützung, bin erst wieder gegen ende der woche an dem rechner, um dens geht und probier dann mal die .dll zu löschen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:05 Uhr. |
Copyright ©2000-2024, Trojaner-Board