Geschrieben von Dj Math am 07.01.2004 um 22:20:
ich hatte auch mal so ein virus der ganz äöhnluchwie deiner reagiert hat nur bei mir war er in einemanderem verzeichnis,versuch mal den virus so wegzubekommen,wenns nicht klappt tut es mir leid!
Hier nun also eine Anleitung wie du mit ein paar Handgriffen das Ding los wirst.
Da das Ding kompletten Zugriff auf deinen PC bietet solltest du dies dringend tun.
Die "per Hand entfernen" Anleitung:
1. Da dein Taskmanager (strg+alt+entf) nicht mehr funktionieren dürfte, musst du dir
das folgende Freeware Tool runterladen: Process Explorer (Freeware!)
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
(Downloadlink ist am Ende der Seite)
2. Internetverbindung Trennen!!! So bist du erstmal sicher.
3. Entpacke das Programm irgendwohin und führe die Datei procexp.exe aus.
4. Du klickst in dem Programm auf den "Process" Header (Spaltenüberschrift) und
sortierst die Prozesse damit nach ihrem Namen.
5. Bei "S" siehst du nun mindestens 3 mal den Prozess "svchost.exe"
Dies ist ein wichtiger Systemprozess, was die Datei genau macht kann hier
nachgelesen werden:
http://support.microsoft.com/default.aspx?scid=kb;de;314056
Dieser Prozess ist in /windows/system32 oder /winnt/system32 zu hause, aber definitiv
nicht im Verzeichnis /win*/system32/os2
6. Nun die "Path" Ansicht per Menü einschalten: View -> Select Columns -> Kreuz bei
"Image Path", dann ok. Anschliessend in der Ansicht oben auf den "Processes" Header
klicken um alle Prozesse nach ihrem Namen zu sortieren.
7. Rechts auf "Path" schauen. System32\svchost.exe ist der Prozess von MS.
System32\Os2\svchost.exe ist die backdoor die nur 1x da ist.
8. Mit der rechten Maustaste auf die falsche svchost.exe klicken und "suspend"
auswählen.
9. _Eventuell_ ist da auch eine nav.exe (Dies ist nicht Norton Antivirus!) einfach
den Pfad überprüfen. Hier auch wieder mit der rechtrn Maustaste draufklicken und
"suspend" anklicken.
10. Nachdem nun alle suspended sind nochmal rechtsklick auf die 2 drauf und "kill"
anklicken
Spätestens jetzt sollte dein Taskmanager schonmal wieder funktionieren,
wenn nicht hast du vermutlich noch andere Trojaner drauf, dann solltest
du wirklich anschliessend noch einen Virenscan machen.
11. Da du den Prozess nun beendet hast, geh' nun in dein Windows Verzeichnis und dann
ins Verzeichnis "System32" hier findest du ein Verzeichnis mit Namen "OS2"
Dort findest du die Datei "svchost.exe" und evtl "nav.exe"
Schaut Dir an was die Datei für ein Symbol hat (Totenkopf oder Zipfile Symbol)
Lösche diese, und NUR diese Dateien.
12. Nun müsst du den Autostart Eintrag entfernen:
Start -> Ausführen -> regedit
(Dies ist der Windows Registrierungseditor, alle Schlüssel sind hier in einer
Baumstruktur angeordnet.)
Falls dieser sich nicht starten lässt bist zu zusätzlich noch mit "SpyBot"
infiziert, der kann hier online entfernt werden:
http://security.symantec.com/ssc/vc_scan...id=sym&plfid=23
Klick dich bis hier hin durch.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
13. Wenn du den "run" ordner angeklickt hast siehst auf
der rechten Seite jede menge Zeugs.
Irgendwo da drinne steht eine Zeile die in etwa so aussieht:
I-Services "C:\Windows\System32\Os2\svchost.exe"
Diese (und nur diese) Zeile musst du löschen.
14. Da es sich der Trojaner wahrscheinlich bei dir installiert hat indem
er den Windows Media Player im Programme Order überschrieben hat,
musst du diesen eventuell auch löschen (nur die exe wenn er nicht von windows
automatisch wiederhergestellt wurde.
Der original MediaPlayer von WinXP (c:\Programme\Windows Media Player\wmplayer.exe) ^
ist ca. 508kb groß. Ist die Datei dort deutlich kleiner ist es vermutlich die Backdoor.
Es sei denn du hast den Media Player 9 installiert, der ist nur 72kb groß-
Wenn die .exe so ein schwarzes Icon/winzip icon hat ist der Fall eh klar, löschen!
wenn nicht:
Um sicherzugehen kannst du das recht einfach testen:
Klick doppelt Drauf und schau ob sich der Mediaplayer öffnet, wenn nicht musst du
die Schritte oben leider wiederholen.
Eventuell funkt auch die WinXP Systemwiederherstellung dazwischen
und stellt die Backdoor wieder her, die musst du falls das der Fall
ist vorher abschalten.
Weitere Fragen:
Falls du gerade auf irc.quakenet.org bist: /join #hilfe.zur.selbsthilfe
Da sammel ich (ex)infizierte damit die sich gegenseitig helfen können.
Falls das gerade nicht der Fall ist: Mail an:
drones.20.chromix@spamgourmet.com
So... ich hoffe das hat geholfen.
Geschrieben von PygoscelisPapua am 07.01.2004 um 22:51:
| Zitat: |
Original von MORFEUS
vorbeugen:
2.eine gute firewall kaufen
|
Nein! Eine Firewall schütz einem nicht vor Virenbefall! Ebenfalls nicht vor Trojanerbefall. Eine Firewall filtert nur den Datenstrom der raus und reingeht. Wenn ich mir nen Virus/Trojaner runterlade, so tu ich das gewollt über Port 80, oder 25, welcher von der Firewall freigegeben ist. Es wird NICHT geprüft, WAS da runtergeladen wird [das geht auch garnich, das is ja alles schön in kleine IP-Päcken zerteilt]
Wenn der Trojaner nun aber aufm PC ist, und port 27374 benutzten will, und die firewall das nicht erlaubt, dann kann er nicht kontakt mit dem client aufnehmen...
wenn ein virus sich aber installiert, brauch der normalerweise auch keinen port mehr nach draußen.
Folglich bietet eine Firewall
KEINEN schutz vor viren, trojaner, etc.
ich sag das jetzt so deutlich, weil das ein irrglauben vieler ist: ich kauf mir ne firewall und mir kann nichts mehr passieren. Aber das ist nunmal nicht so: eine Firewall ist nur n Packetfilter und Portüberwacher.
Mein Tip: alle Downloads per Virenscanner prüfen,
bevor man sie öffnet, und diesen immer up to date halten. Gleiches gilt für Attachments.ganz klar sollte auch sein, das dubiose Quellen/eMails vermieden werden.
hmm....