[HaBo]

autoburny · 20.11.06, 12:20

Hallo
ich habe wieder mal ein Problem,und zwar habe ich einen Bösartigen Code in Datei C:Windows\System32\Ntswrl32.dll.
Ich habe schon in verschiedenen Foren gesucht aber leider keine zufriedenstellende Lösung gefunden.Mein F-Secure findet den Virus/Trojaner nach jedem Systemstart neu obwohl es immer gelöscht oder umbenannt wird.Ich habe es auch mit Stinger und Spybot ohne Erfolg versucht.Gibt es nicht ein Programm welches schon vor dem Virus/Trojaner startet?Ich weiss selbst das man sich nicht auf den (Gefährlichen Seiten)rumtreiben sollte aber mal ehrlich wem ist so etwas noch nicht passiert? :rolleyes:
Auch muss ich zugeben das ich das Vieh wahrscheinlich selbst installiert habe. 8o
Leider sehe ich bisher keinen ausweg als Format C:
Was passiert denn wenn ich mich einfach nicht weiter drum kümmere?Mein System läuft stabil und es würde mich nicht weiter stören nach jedem Hochfahren das Vieh zu löschen.
Was ich auch nicht verstehe ist das ich das Programm das ich installiert habe zuerst Gescannt habe und keinen Virus fand.
Es würde mich freuen wenn ihr eine Idee hättet wie ich ums Formatieren drumherumkommen würde.Na ja das nächste mal werde ich mit einem geschützten Benutzerprofil ins Internet gehen.
Was sehen die Programmierer solcher schädlichen Software für ein Sinn darin unerfahrenen Internetbenutzern wie mir so ein Vieh zu verpassen?,ich denke mal das sich richtige Profis die wichtige Sachen auf dem Rechner haben sich sowieso zu schützen wissen,bei mir ist doch eh nichts zu holen.

Gruss Autoburny

Snake? · 20.11.06, 12:31

Hi, versuchs mal mit HijackThis und poste das log file in dem dazu vorgesehenen Thread.

Anzeige

- Anzeige -

**lightsaver** · 20.11.06, 12:58

Zitat:

Gibt es nicht ein Programm welches schon vor dem Virus/Trojaner startet?

da bräuchtest du ne live-cd. gibt hätte da einen link mit 3 möglichkeiten
http://www.livecdlist.com/?pick=All&...ws%20antivirus

oder du bestellst dir heft nr. 21/06 der ct nach, da ist knoppicillin mit drauf was extra für solche fälle wie bei dir ist
https://www.heise.de/abo/ct/hefte.shtml

Zitat:

Ich weiss selbst das man sich nicht auf den (Gefährlichen Seiten)rumtreiben sollte aber mal ehrlich wem ist so etwas noch nicht passiert?

mir! zum einen, weil ich dann nicht den ie benutze und nicht auf alles klicke sondern extrem vorsichtig bin was ich klicke und starte.

Zitat:

Leider sehe ich bisher keinen ausweg als Format C:

das wäre sicherlich die beste variante um den schädling sicher zu entfernen

Zitat:

Was passiert denn wenn ich mich einfach nicht weiter drum kümmere?Mein System läuft stabil und es würde mich nicht weiter stören nach jedem Hochfahren das Vieh zu löschen.

tja, weißt du denn was du dir da genau eingefangen hast, was der virus anstellt, was der vielleicht noch nachladen tut? es ist schon ein risiko, wenn man das system gereinigt hat, dass da noch was verstecktes übriggeblieben ist. aber gar nichts zu machen?!? sehr naiv! nicht umsonst wird oft vorgeschlagen, windows bei einem befall komplett neu aufzusetzen ;-)

Zitat:

Na ja das nächste mal werde ich mit einem geschützten Benutzerprofil ins Internet gehen.

was ist für dich ein geschütztes benutzerprofil? ein account mit eingeschränkten rechten statt einem mit adminrechten? wäre auf jeden fall ein guter anfang ;-) zudem solltest du vielleicht mal überlegen, alternative browser zu verwenden, falls du dies nicht schon tust, da besonders diese von dir gefährlich genannten seiten besonders sicherheitslücken im ie ausnutzen. (das heißt aber nicht, dass andere browser dort sicher sind, aber im regelfall werden die noch weniger ausgenutzt!)

ansonsten kannst es natürlich mit dem tip mit hijackthis probieren

autoburny · 20.11.06, 13:05

Ich benutze eigentlich immer Firefox aber da ich den Virus höchstwahrscheinlich selbst installiert habe ist der Explorer in diesem Fall unschuldig

Ich werde dann wohl oder übel Formatieren müssen(und zwar nicht das erste mal)

Ich verstehe aber immer noch nicht was man davon hat einen fremden Rechner zu schrotten? ?(
Zuerst werde ich es mal mit der Systemwiederherstellung versuchen Temp habe ich schon gelöscht.
Vielleicht helfen mir ja auch die Links weiter.
Danke

**lightsaver** · 20.11.06, 13:08

also, ich habe dir dein log ausgewertet. ist wirklich ein trojaner. habe dir einen link zur info gepostet. dann wirst auch sehen, wieso ich formatieren empfehle und was die authoren von diesen dingern haben. ist nämlich unter anderem ein keylogger. und das macht ihn in meinen augen besonders gefährlich. wenn du nämlich nicht wirklich alles von dem aus dem system bekommst (und das kann dir niemand garantieren, nicht mal nach nem virenscan!) besteht die möglichkeit, dass der doch noch versteckt aktiv bleibt!

Snake? · 20.11.06, 13:14

Für die Zukunft rate ich dir, wenn du auf Seiten gehts, welche nicht 100% sicher sind wirklich eine, wie lightsaver schon erwähnte, Live CD ala Knoppix oder ähnlichen zu verwenden.

**lightsaver** · 20.11.06, 13:17

hmmm, hab ich zwar nicht für solche zwecke erwähnt, wäre aber natürlich noch sehr viel sicherer

beim ausführen musst du dann aber ja doch in windows rein und da musst du dann doch wieder vorsichtig sein. man bekommt leider auch oft trojaner zum dl angeboten so wie jetzt scheinbar bei dir.

autoburny · 20.11.06, 13:25

Habe leider vergessen meine neue Emailadresse anzugeben.
Minschbuj@web.de
Übrigens habe ich Knoppix hier noch irgendwo rumfliegen aber auf die Idee bin ich noch garnicht gekommen.Danke

Mir sollte mal so ein Viruserfinder übern weg laufen

jorey · 20.11.06, 14:46

eine moeglichkeit zur vorbeugung fuers (hoffentlich nicht vorhandene) naechste mal: installier dir in ner vmware nen windows. wenn du irgendwas machen wills wo du dir unsicher bist teste es in selbigem

**CDW** · 20.11.06, 18:07

Zitat:

Was sehen die Programmierer solcher schädlichen Software für ein Sinn darin unerfahrenen Internetbenutzern wie mir so ein Vieh zu verpassen?,ich denke mal das sich richtige Profis die wichtige Sachen auf dem Rechner haben sich sowieso zu schützen wissen,bei mir ist doch eh nichts zu holen.

bei "Kids" ist die Motivation wohl "Spieltrieb", Voyerismus, Steam/SpieleAccounts bzw. Serials für Onlinespiele klauen.
Ansonsten werden auch von den "Großen" gerne Bot-Netze
aufgebaut http://de.wikipedia.org/wiki/Botnetz mit denen sich eben viele "tolle" Sachen machen lassen: Spamversenden, irgendwelche Konkurennten "flooden" bzw. auch mal Firmen erpressen (meine ich zumindest irgendwann mal gelesen zu haben - nach dem Motto "Schutzgeld, oder es gibt ein ddos http://de.wikipedia.org/wiki/Denial_of_Service )
Desweiten dann im großen Stil Paypal bzw. Bankingzugangsdaten suchen oder auch mal als "Datenlager" missbrauchen.
Angeblich sind in Deutschland ca. 1Mio PCs Mitglieder eines Botnetzes. Hab jetzt aber leider nicht die Zeit, den Heiseartikel herauszusuchen.
Mein "liebstes" Beispiel:
http://groups-beta.google.com/group/...?output=gplain

autoburny · 20.11.06, 20:50

Hallo

danke für die ganzen Informationen ich habe zwar schon überall rumgesucht aber erst hier
gute Antworten erhalten.Ich habe mich entschlossen das System zu formatieren,weil auch wenn ich den Trojaner wegbekommen sollte würde ich mich immer (Beobachtet)fühlen.
Das nächste mal werde ich vorsichtiger sein und nicht alles runterladen was sich gut anhört

Danke

Anzeige

- Anzeige -

20.11.06, 12:20	#1 (permalink)
autoburny Registriert seit: 19.07.06 Likes: 2	bösartiger Code im System32 Anzeige Hallo ich habe wieder mal ein Problem,und zwar habe ich einen Bösartigen Code in Datei C:Windows\System32\Ntswrl32.dll. Ich habe schon in verschiedenen Foren gesucht aber leider keine zufriedenstellende Lösung gefunden.Mein F-Secure findet den Virus/Trojaner nach jedem Systemstart neu obwohl es immer gelöscht oder umbenannt wird.Ich habe es auch mit Stinger und Spybot ohne Erfolg versucht.Gibt es nicht ein Programm welches schon vor dem Virus/Trojaner startet?Ich weiss selbst das man sich nicht auf den (Gefährlichen Seiten)rumtreiben sollte aber mal ehrlich wem ist so etwas noch nicht passiert? :rolleyes: Auch muss ich zugeben das ich das Vieh wahrscheinlich selbst installiert habe. 8o Leider sehe ich bisher keinen ausweg als Format C: Was passiert denn wenn ich mich einfach nicht weiter drum kümmere?Mein System läuft stabil und es würde mich nicht weiter stören nach jedem Hochfahren das Vieh zu löschen. Was ich auch nicht verstehe ist das ich das Programm das ich installiert habe zuerst Gescannt habe und keinen Virus fand. Es würde mich freuen wenn ihr eine Idee hättet wie ich ums Formatieren drumherumkommen würde.Na ja das nächste mal werde ich mit einem geschützten Benutzerprofil ins Internet gehen. Was sehen die Programmierer solcher schädlichen Software für ein Sinn darin unerfahrenen Internetbenutzern wie mir so ein Vieh zu verpassen?,ich denke mal das sich richtige Profis die wichtige Sachen auf dem Rechner haben sich sowieso zu schützen wissen,bei mir ist doch eh nichts zu holen. Gruss Autoburny __________________ Es ist besser hell auszubrennen, als langsam zu verblassen.

20.11.06, 13:05	#4 (permalink)
autoburny Themenstarter Registriert seit: 19.07.06 Likes: 2	Ich benutze eigentlich immer Firefox aber da ich den Virus höchstwahrscheinlich selbst installiert habe ist der Explorer in diesem Fall unschuldig Ich werde dann wohl oder übel Formatieren müssen(und zwar nicht das erste mal) Ich verstehe aber immer noch nicht was man davon hat einen fremden Rechner zu schrotten? ?( Zuerst werde ich es mal mit der Systemwiederherstellung versuchen Temp habe ich schon gelöscht. Vielleicht helfen mir ja auch die Links weiter. Danke __________________ Es ist besser hell auszubrennen, als langsam zu verblassen.

20.11.06, 13:25	#8 (permalink)
autoburny Themenstarter Registriert seit: 19.07.06 Likes: 2	Habe leider vergessen meine neue Emailadresse anzugeben. Minschbuj@web.de Übrigens habe ich Knoppix hier noch irgendwo rumfliegen aber auf die Idee bin ich noch garnicht gekommen.Danke Mir sollte mal so ein Viruserfinder übern weg laufen __________________ Es ist besser hell auszubrennen, als langsam zu verblassen.

20.11.06, 20:50	#11 (permalink)
autoburny Themenstarter Registriert seit: 19.07.06 Likes: 2	Hallo danke für die ganzen Informationen ich habe zwar schon überall rumgesucht aber erst hier gute Antworten erhalten.Ich habe mich entschlossen das System zu formatieren,weil auch wenn ich den Trojaner wegbekommen sollte würde ich mich immer (Beobachtet)fühlen. Das nächste mal werde ich vorsichtiger sein und nicht alles runterladen was sich gut anhört Danke __________________ Es ist besser hell auszubrennen, als langsam zu verblassen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

20.11.06, 12:31	#2 (permalink)
Snake? Registriert seit: 25.01.05 Likes: 0	Hi, versuchs mal mit HijackThis und poste das log file in dem dazu vorgesehenen Thread.

20.11.06, 13:08	#5 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	also, ich habe dir dein log ausgewertet. ist wirklich ein trojaner. habe dir einen link zur info gepostet. dann wirst auch sehen, wieso ich formatieren empfehle und was die authoren von diesen dingern haben. ist nämlich unter anderem ein keylogger. und das macht ihn in meinen augen besonders gefährlich. wenn du nämlich nicht wirklich alles von dem aus dem system bekommst (und das kann dir niemand garantieren, nicht mal nach nem virenscan!) besteht die möglichkeit, dass der doch noch versteckt aktiv bleibt!

20.11.06, 13:14	#6 (permalink)
Snake? Registriert seit: 25.01.05 Likes: 0	Für die Zukunft rate ich dir, wenn du auf Seiten gehts, welche nicht 100% sicher sind wirklich eine, wie lightsaver schon erwähnte, Live CD ala Knoppix oder ähnlichen zu verwenden.

20.11.06, 13:17	#7 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	hmmm, hab ich zwar nicht für solche zwecke erwähnt, wäre aber natürlich noch sehr viel sicherer beim ausführen musst du dann aber ja doch in windows rein und da musst du dann doch wieder vorsichtig sein. man bekommt leider auch oft trojaner zum dl angeboten so wie jetzt scheinbar bei dir.

20.11.06, 14:46	#9 (permalink)
jorey Registriert seit: 22.11.05 Likes: 0	eine moeglichkeit zur vorbeugung fuers (hoffentlich nicht vorhandene) naechste mal: installier dir in ner vmware nen windows. wenn du irgendwas machen wills wo du dir unsicher bist teste es in selbigem

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
system32	Sven	(In)security allgemein	5	01.11.05 22:57
vrchntu.exe (System32) ???	Gizmo22	Windows	5	30.07.04 13:58
System32 Ordner	Dj_Sefil	Windows	2	26.01.04 10:02
System32 Ordner zu groß	Tommek	Windows	7	17.12.03 21:04
XP Datei System32\Config beschädigt	Pütz	Windows	12	30.03.03 23:46

[HaBo]

bösartiger Code im System32