|
Hallo Hab mir leider einen Trojaner eingefangen. Hab mir bei emule eine Datei gezogen und obwohl sie verdächtig war, dummerweise gestartet. Die Exe-Datei sieht wie das Batmansymbol aus und nennt sich funb0y oder so ähnlich. Ich hab die gepackte Datei noch hier und kann sie gerne jemanden schicken, wenn das eine Hilfe wäre. Ich hab die Exe also gestartet und mitten während der Installation ist Antivir drauf angesprungen. hab dann natürlich auf löschen gedrückt. trotzdem konnte ich danach kein Programm mehr starten. Nach einem Neustart ging wieder alles. Allerdings erhalte ich immmer die Fehlermeldung von Windows: Die folgende Datei kann nicht geöffnet werden: Datei: (Dann stehen oben zwei Punkte wie Gänsefüsschen, nur eben Punkte, mehr nicht) Das Programm, von dem diese Datei erstellt wurde, muss bekannt sein, damit sie geöffnet werden kann. Die Suche kann online erfolgen, oder sie können manuell ein Programm aus der Liste der auf dem Computer vorhandenen Programme auswählen. Wie möchten sie vorgehen? - Webdienst für die Suche nach einem geeigneten Programm - Programm aus einer Liste auswählen Meine Frage ist jetzt: Kennst das Teil einer? Wie bekomme ich die Fehlermeldung weg? Was sollte ich noch wissen? Hab jetzt schon Antivir, Antitrojan und Trojanhunter laufen lassen. Bin soweit sauber. Hauptsächlich nervt die Fehlermeldung. Nachtrag: Hab WinXP. W |
|
Schick mir mal das Teil zu Gladiator@Gladiator-Antivirus.com |
Mich würde mal interessieren, welcher Virus/Wurm/Trojaner oder so, es denn war. Björn :confused: |
...vielleicht bloß ein bildschirmschoner, ein game,....oder 'n joke "virus"...... mal sehen was rauskommt....... gruss rock |
wenn antivir das ding gefunden hat kann es nix aktuelles sein...man wird dir also helfen können.. was es denn gewesen ist interessiert mich auch... |
Also... Ich hab es mal zum Online Scan von KAV geschickt - der findet nix. (siehe Screenshot) GAV 4 springt jedoch drauf an und meldet Malware. Da ich die Heuristic heute erst "entschaerft" habe ist ein Fehlalarm so gut wie ausgeschlossen. Ich schaue mir das heute abend mal in Ruhe an was das ist und melde mich dann hier noch mal. Auf jeden Fall ist es was "haessliches" :D http://www.gladiator-antivirus.com/gfx/malware.jpg Gruss Michael |
Subseven Dropper / Server gepatcht :D Gutes GAV, Brav :D :D :D |
Guten Abend, TrojanHunter erkennt das teil als SubSeven falls es im Speicher geladen ist. Die Datei wird mit der nächsten Update auch erkannt. |
Ok das GAV-3 Nacht-Not-Update ist oben - lade Dir mal GAV runter mach ein Online Update (wichtig) und scanne dann mal. Der Backdoor wird jetzt auch mit GAV 3 ohne die Trojan Heuristic erkannt. :D |
Von all den Programmmen, die ich über das File gejagt habe, hat nur McAfee erkannt, daß es Malware war. Es hat es auch als Sub7 bezeichnet. |
@Gladiator Ziemlich mutig, sich mit dem Screenshot hierher zu trauen... ich meine das Symbol direkt links neben der Uhr... ;) [img]graemlins/lach.gif[/img] |
Das Teil ist bei emule übrigens auch als "Freelancer.NOCD.patch-ziNe.rar" zu finden - genauso wie eine diesbezügliche Warnung "Freelancer.NOCD.patch-ziNe.rar is a trojan.txt". [img]smile.gif[/img] |
looooool, gladiator is ja cooooool, :D :D :D |
</font><blockquote>Zitat:</font><hr />Original erstellt von forge77: @Gladiator Ziemlich mutig, sich mit dem Screenshot hierher zu trauen... ich meine das Symbol direkt links neben der Uhr... ;) [img]graemlins/lach.gif[/img] </font>[/QUOTE]Das ist Outpost was dort laeuft - ich habe nur das ZoneAlarm Icon reingepatcht - schliesslich will ich auch das Gefuehl von Sicherheit haben ;) |
...ausflüchte, nix als ausflüchte, zonealarm....loooooool |
Ich bedanke mich mal für die schnellen Antworten [img]smile.gif[/img] Aber viel schlauer bin ich jetzt nicht :( Hab immer noch die Fehlermeldung und weiß immer noch nicht was ich jetzt machen soll. |
Also so wie sich die Situation darstellt besteht immer noch der Autostartaufruf irgendwo im System. Da du die Datei die gestartet werden soll jedoch gelöscht hast, kommt diese Fehlermeldung. Du solltest also den Autostarteintrag finden und löschen. Programme können sich jedoch an verschiedensten Orten verstecken um von dort automatisch bei jedem Systemstart gestartet zu werden. Diese Orte solltest du mal abklappern! Oder mal im Netz suchen wo sich Subseven in den Autostart schreibt. Gruss Der Zatu |
Hab mitlerweile noch McAfee VirusScan installiert und siehe da, er findet die "zwei Punkte oben"-Datei (wie mach ich eigentlich zwei Punkte oben?) und erkennt sie tatsächlich als sub7-Virus. Habs natürlich gleich gelöscht. Die Fehlermeldung vom Anfang ist weg, dafür hab ich eine Neue: "zwei Punkte oben" konnte nicht gefunden werden. stellen sie sicher, dass sie den Namen korrekt eingegeben haben und wiederholen sie den Vorgang. Klicken sie auf "Start" und anschleißend auf "Suchen" um eine Datei zu suchen. [OK] Daher 2 Fragen: 1. Bin ich den jetzt los? Ich meine AntiVir ist ja auf ihn angesprungen, hat ihn aber scheinbar nicht vollständig gekillt. Und dann ist auch noch McAfee VirusScan auf ddiese verdächtige Datei angesprungen und auch diese ist jetzt gelöscht. Eigentlich sollte ihn ja schon AntiVir zumindestens schon entfunktioniert haben. 2. Wie bekomm ich den Rest weg? Die Fehlermeldung nervt eben. Die ini Dateien und das Register "scheinen" sauber zu sein, soweit ich das nach diversen Anleitungen als Neuling überprüfen konnte, aber es ist ja noch was da :( |
Die Autostarteinträge kannst Du komfortabel mit Trojancheck kontrollieren und ggf. deaktivieren. Wenn Du das damit noch nicht gemacht hast, ist es einen Versuch wert. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Hab ich jetzt gemacht und folgende sehen verdächtig aus: rundll32 ... "zwei Punkte oben" (das wirds wohl sein) und NvCplDaemon ... RUNDLL32.EXE NvQTwk,NvCplDaemon intilaiize (wegen dem rundll auch verdächtig) Was mach ich jetzt? Nur Häckchen entfernen? Und wie weiß ich das da nicht noch mehr "Blödsinn" drauf ist? |
Zum zweiten Punkt hab ich folgendes gefunden: NvCplDaemon: This loads the System Tray icon used to change display settings, change the clock rate and memory speed for nVidia based graphics cards. This is unnecessary since you can easily configure these settings the way you want them in the Display Properties and not have to mess with them again. Wenn Du also eine nVidia-basierte Graka hast, wird der Eintrag ok sein. rundll32.exe ist im Prinzip ok. Der erste Eintrag sieht nicht gut aus. Kannst Du evtl. mal den entspr. Eintrag aus dem Report hier posten (Copy & Paste), damit hier der genaue Dateiname steht. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Copy and Paste funzt leider net, habs daher mal abgeschrieben: HKEY_LOCAL_MACHINE (Hauptschlüssel) Software\Microsoft\Windows\CurrentVersion\Run (Schlüssel) rundll32 (Wert) "die Zwei Punkte oben" (Inhalt) Auch seltsam: C:\WINDOWS\system.ini (Dateiname) shell (Wert) Explorer.exe "wieder die 2 Punkte oben" (Inhalt) PS:Hab ne Geforce, daher ist der 2te Eintrag wohl ok. |
Entferne die gefundenen Zwei-Punkte-Einträge. Basta. |
Welche Fehlermeldung genau? Wenn der Schädling selbst noch auf der Platte ist und nur der Autostart entfernt wurde, sollte natürlich der Virenscanner bei einem Scan der gesamten Platte die Datei finden und dann lässt man sie halt löschen. Wenn der Schädling schon gelöscht ist, aber noch einer der Autostarteinträge vorhanden ist, gibts logischerweise eine Windows-Fehlermeldung, weil Windows die Datei nicht findet, da sie ja gelöscht wurde. |
Leider bleibt auch dann die Fehlermeldung. |
"zwei Punkte oben" konnte nicht gefunden werden. stellen sie sicher, dass sie den Namen korrekt eingegeben haben und wiederholen sie den Vorgang. Klicken sie auf "Start" und anschleißend auf "Suchen" um eine Datei zu suchen. [OK] Hab diesen rundlI32 Registereintrag auch gelöscht, aber immer noch die Fehlermeldung. Wie gesagt der Virus scheint gelöscht, aber die Startdatei des Viruses wird eben noch gesucht. Weiß jetzt gar nicht mehr wie ich Fehlermeldung noch wegbekommen soll. Welche Version von subseven hab ich eigentlich erwischt? Würde das endgültige löschen erleichtern. [ 05. Mai 2003, 21:19: Beitrag editiert von: fryster ] |
Das wurde doch nun bereits mehrfach erklärt. Entferne den Aufruf der nicht mehr vorhandenen Datei. Entweder er befindet sich in den RUN-Schlüsseln der Registry oder in einer der anderen Startdateien wie WIN.INI, SYSTEM.INI usw. |
Alson es ist genau folgende Version: Sub7 2.1.Muie.a |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board