[HaBo]

Callisto · 22.05.07, 12:39

Hallo!

Mein Virenprogramm hat heute eine Datei (Trojaner, Dailer?) mit dem Namen A0024051.exe im Systemverzeichnis gefunden :(

Löschen oder säbern lässt sie sich nicht...

Ich bitte deshalb um Hilfe... habe angst, dass es was schlimems ist...

LG Callisto *ziemlich verzweifelt*

zero-9 · 22.05.07, 12:50

hast du es denn schonmal im abgesicherten modus versucht oder mit einer live-cd.

der dateiname erinnert mich irgendwie an all die dateien, die die Windows-Systemwiederherstellung in einem vertsekcten verzeichnis ablegt, um sie wiederherzustellen, wenn sie gebraucht wird.

hast du denn die systemwiederherstellung bei dir aktiviert? notfalls mal deaktivieren und nochmal versuchen zu löschen.

Anzeige

- Anzeige -

22.05.07, 12:51

Hallo,
Wenn du über ein ADSL Internet Zugang verfügst, ist es nicht so tragisch.

Um die Datei zu löschen, kannst du z.B. Eraser verwenden:
(Eraser ist eigentlich zum "sicheren" löschen von geheimen Files da, aber er wird, wenn die Datei unter verwendung steht beim nächsten System Start die Datei löschen.

Eraser runterladen, dann auf die Exe Rechtsklick und "Erase" wählen.

Dann machst du noch ein Hijackthis Log und postest es. (im richtigen Forum.)

Gruss
IsNull

Callisto · 22.05.07, 12:53

Ähm ich hab so gut wie keine Ahnung von Computern... sprich: Wo finde ich die Systemwiederherstellungsdateinen bzw. deren Einstellungen?

Was mir eben allerdings aufgefallen ist: Falls es ein Dialer sein sollte "funktioniert" er nicht, da mein Virenprogramm eine Liste über Fehlermeldungen des systems führt. Fast jede Sekunde versucht sich ein RAS-Dienst zu verbinden, kann es aber nicht. Ich weiß allerdings nicht, ob es etwas mit der angegebenen Datein zu tun hat...

ich verfühe über DSL Zugang... was ist ADSL? Ich komme mir gerade furchtbar unterbelichtet vor.

22.05.07, 13:10

sry, meinte eigentlich dsl (heisst bei uns in den Bergen^^ ADSL

)

Versuch es mal mit Eraser, solte eigentlich funktionieren. (Gut, bei einem Dailer ist dann natürlich die ein oder andere Dll auch noch infiziert...) Was hast du für ein Antivirus Programm?

Spybot Search & Destroy (freeware) mal probieren Spybot Search & Destroy, der sollte das entfernen können, sofern er es findet. -Dürfte der einfachste Weg sein.

Gruss
IsNull

b4ck · 22.05.07, 13:31

*g den hatte ich auchmal... isn stinknormaler bifrose trojaner gewesen sofern ich mich erinnern konnte.. am besten wirklich mit ner live distro starten und löschen, das ding is oft auch in dem System Volume Information Ordner zu finden

1550 · 22.05.07, 14:27

Zitat:

Spybot Search & Destroy (freeware) mal probieren Spybot Search & Destroy, der sollte das entfernen können, sofern er es findet. -Dürfte der einfachste Weg sein.

Die freeversion findet doch nur und tötet nicht! das macht der nur in der lizensierten version!oder?

22.05.07, 14:43

Zitat:

Die freeversion findet doch nur und tötet nicht! das macht der nur in der lizensierten version!oder?

Nein.

2Bios · 22.05.07, 20:26

argh die datei wurde scheinbar mal gelöscht (auf nicht-windowsisch: nach \system volume information verschoben) und wurde danach wieder rausgefischt. da der standard windows benutzer (auf nicht-windowsisch: administrator) keine zugriffsrechte für diesen ordner besitzt und die löschroutinen im userspace aufgerufen werden, kann ich mir vorstellen dass deswegen jede lösch oder säuberungsaktion fehlschlägt :O

starte mit psexec einen dateimanager deiner wahl im system account (solange es nicht der windows explorer ist (meine wahl: speedcommander)) und suche mit diesem diese datei in dem ordner "system volume information" (befindet sich im wurzelverzeichnis von jeder(?) ntfs-partition. falls nicht, musst du alle laufwerke so nach dieser datei durchsuchen)

und jetzt nochmal zum mitschreiben:
1. psexec runterladen und in das windows\system32-verzeichnis kopieren
2. start -> ausführen -> datei von deinem dateimanager auswählen und davor dann ein psexec -s mit leerzeichen danach einfügen
3. versteckte dateien anzeigen lassen
4. datei suchen und löschen

evtl musst du den prozess davor abtöten

wenn das alles nüscht hilft kannst du auch mit einer bartpe-cd booten und die datei so suchen und löschen

viel erfolg

Callisto · 22.05.07, 23:17

Hm ich verwende Mc Affee und habe, es nachdem ich Spybot und das mit Eraser versucht habe, es nochmal scannen lassen. es hat nichts mehr gefunden... ich hoffe damit ist das Problem wirklich behoben

Vielen Dank für eure schnelle und kompetente Hilfe

@edit: Wäre es ein bifrose Trojaner würde er sich doch nicht so einfach löschen lassen... die Dinger sind sehr sehr böse soweit ich gehört habe. Es soll möglich sein von einem remtote rechner den kompletten pc "fernzusteuern".

Wie ist das mit den .dll Dateinen? Muss mein virusprog die erkennen, oder erkennt es nur die .exe version?

DAs mit der live Disc habe ich so übrigens nicht verstanden^^ geht das nochmal gaaanz langsam?^^

23.05.07, 07:32

Hi,

Zitat:

@edit: Wäre es ein bifrose Trojaner würde er sich doch nicht so einfach löschen lassen... die Dinger sind sehr sehr böse soweit ich gehört habe. Es soll möglich sein von einem remtote rechner den kompletten pc "fernzusteuern".

Wichtig ist ja nicht, was die Malware für (Schad)Funktionen enthällt, sonder wie sie sich vor Antivirussoftware schützt.

Zitat:

Wie ist das mit den .dll Dateinen? Muss mein virusprog die erkennen, oder erkennt es nur die .exe version?

Ja, erkennen sie auch. (Zumal beide Dateien (exe + dll) im PE Format vorliegen)PE = Portable Executable

Zitat:

DAs mit der live Disc habe ich so übrigens nicht verstanden^^ geht das nochmal gaaanz langsam?^^

Nun das ist so: Dateien können nicht gelöscht werden, wenn sie gerade verwendet werden (exe is z.B. gestardet.). Darum kann man z.B. im Abgesicherten Modus booten (dann werden viel weniger Dienste und Programme geladen) und dann die Datei löschen.

Ist aber eine Haupt-Windows Datei infiziert, bringt das auch nichts, da diese auch im abgesicherten Modus geladen wird. -Oder, es ist eben eine Datei, auf welche Windows grundsätzlich den Zugriff verbieted. (System Volume Information -Ordner z.B.)

Eine Life CD ist nichts anderes als ein Betriebssystem auf einer CD (ob Windows oder Linux ist egal) - somit werden also keine Dateien auf der Festplatte geladen. Man kann aber dann durchaus auf die Festplatte zugreifen und Dateien löschen/modifizieren. u.a. dann auch wichtige Windows Dateien oder eben den System Volume Information Ordner öffnen und da mal rein schauen.

Gruss
IsNull

gkl · 23.05.07, 08:59

@1550:

spybot s&d:
es gibt KEINE andere version außer der freewareversion.

und wenn du aufgefordert würdest, dafür zu bezahlen (und ich meine nicht freiwillige spende), kann es sich nur um ein unlauteres programm handeln.

lg
gkl

23.05.07, 10:13

Zitat:

ein unlauteres programm

wtf ist das?

gkl · 23.05.07, 11:05

unlauteres verhalten: gegen die guten sitten verstoßen; sich unfair verhalten

meinte damit, das es böse jungs gibt, welche unter dem namen spybot ein programm anbieten (vllt sogar verkaufen), welches die gegenteilige wirkung von spybot s&d hat.

23.05.07, 11:13

ach so

Dieses Wort habe ich noch nie gehört

anyway, thx für den Deutschunterricht.

Anzeige

- Anzeige -

22.05.07, 12:39	#1 (permalink)
Callisto Registriert seit: 09.10.06 Likes: 0	A0024051.exe?! Anzeige Hallo! Mein Virenprogramm hat heute eine Datei (Trojaner, Dailer?) mit dem Namen A0024051.exe im Systemverzeichnis gefunden :( Löschen oder säbern lässt sie sich nicht... Ich bitte deshalb um Hilfe... habe angst, dass es was schlimems ist... LG Callisto ziemlich verzweifelt

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

22.05.07, 12:50	#2 (permalink)
zero-9 Registriert seit: 08.12.06 Likes: 0	hast du es denn schonmal im abgesicherten modus versucht oder mit einer live-cd. der dateiname erinnert mich irgendwie an all die dateien, die die Windows-Systemwiederherstellung in einem vertsekcten verzeichnis ablegt, um sie wiederherzustellen, wenn sie gebraucht wird. hast du denn die systemwiederherstellung bei dir aktiviert? notfalls mal deaktivieren und nochmal versuchen zu löschen.

22.05.07, 12:51	#3 (permalink)
IsNull Guest Likes:	Hallo, Wenn du über ein ADSL Internet Zugang verfügst, ist es nicht so tragisch. Um die Datei zu löschen, kannst du z.B. Eraser verwenden: (Eraser ist eigentlich zum "sicheren" löschen von geheimen Files da, aber er wird, wenn die Datei unter verwendung steht beim nächsten System Start die Datei löschen. Eraser runterladen, dann auf die Exe Rechtsklick und "Erase" wählen. Dann machst du noch ein Hijackthis Log und postest es. (im richtigen Forum.) Gruss IsNull

22.05.07, 12:53	#4 (permalink)
Callisto Themenstarter Registriert seit: 09.10.06 Likes: 0	Ähm ich hab so gut wie keine Ahnung von Computern... sprich: Wo finde ich die Systemwiederherstellungsdateinen bzw. deren Einstellungen? Was mir eben allerdings aufgefallen ist: Falls es ein Dialer sein sollte "funktioniert" er nicht, da mein Virenprogramm eine Liste über Fehlermeldungen des systems führt. Fast jede Sekunde versucht sich ein RAS-Dienst zu verbinden, kann es aber nicht. Ich weiß allerdings nicht, ob es etwas mit der angegebenen Datein zu tun hat... ich verfühe über DSL Zugang... was ist ADSL? Ich komme mir gerade furchtbar unterbelichtet vor.

22.05.07, 13:10	#5 (permalink)
IsNull Guest Likes:	sry, meinte eigentlich dsl (heisst bei uns in den Bergen^^ ADSL ) Versuch es mal mit Eraser, solte eigentlich funktionieren. (Gut, bei einem Dailer ist dann natürlich die ein oder andere Dll auch noch infiziert...) Was hast du für ein Antivirus Programm? Spybot Search & Destroy (freeware) mal probieren Spybot Search & Destroy, der sollte das entfernen können, sofern er es findet. -Dürfte der einfachste Weg sein. Gruss IsNull

22.05.07, 13:31	#6 (permalink)
b4ck Registriert seit: 13.02.06 Likes: 1	*g den hatte ich auchmal... isn stinknormaler bifrose trojaner gewesen sofern ich mich erinnern konnte.. am besten wirklich mit ner live distro starten und löschen, das ding is oft auch in dem System Volume Information Ordner zu finden

22.05.07, 20:26	#9 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	argh die datei wurde scheinbar mal gelöscht (auf nicht-windowsisch: nach \system volume information verschoben) und wurde danach wieder rausgefischt. da der standard windows benutzer (auf nicht-windowsisch: administrator) keine zugriffsrechte für diesen ordner besitzt und die löschroutinen im userspace aufgerufen werden, kann ich mir vorstellen dass deswegen jede lösch oder säuberungsaktion fehlschlägt :O starte mit psexec einen dateimanager deiner wahl im system account (solange es nicht der windows explorer ist (meine wahl: speedcommander)) und suche mit diesem diese datei in dem ordner "system volume information" (befindet sich im wurzelverzeichnis von jeder(?) ntfs-partition. falls nicht, musst du alle laufwerke so nach dieser datei durchsuchen) und jetzt nochmal zum mitschreiben: 1. psexec runterladen und in das windows\system32-verzeichnis kopieren 2. start -> ausführen -> datei von deinem dateimanager auswählen und davor dann ein psexec -s mit leerzeichen danach einfügen 3. versteckte dateien anzeigen lassen 4. datei suchen und löschen evtl musst du den prozess davor abtöten wenn das alles nüscht hilft kannst du auch mit einer bartpe-cd booten und die datei so suchen und löschen viel erfolg

22.05.07, 23:17	#10 (permalink)
Callisto Themenstarter Registriert seit: 09.10.06 Likes: 0	Hm ich verwende Mc Affee und habe, es nachdem ich Spybot und das mit Eraser versucht habe, es nochmal scannen lassen. es hat nichts mehr gefunden... ich hoffe damit ist das Problem wirklich behoben Vielen Dank für eure schnelle und kompetente Hilfe @edit: Wäre es ein bifrose Trojaner würde er sich doch nicht so einfach löschen lassen... die Dinger sind sehr sehr böse soweit ich gehört habe. Es soll möglich sein von einem remtote rechner den kompletten pc "fernzusteuern". Wie ist das mit den .dll Dateinen? Muss mein virusprog die erkennen, oder erkennt es nur die .exe version? DAs mit der live Disc habe ich so übrigens nicht verstanden^^ geht das nochmal gaaanz langsam?^^

23.05.07, 08:59	#12 (permalink)
gkl Registriert seit: 30.11.03 Likes: 0	@1550: spybot s&d: es gibt KEINE andere version außer der freewareversion. und wenn du aufgefordert würdest, dafür zu bezahlen (und ich meine nicht freiwillige spende), kann es sich nur um ein unlauteres programm handeln. lg gkl

23.05.07, 11:05	#14 (permalink)
gkl Registriert seit: 30.11.03 Likes: 0	unlauteres verhalten: gegen die guten sitten verstoßen; sich unfair verhalten meinte damit, das es böse jungs gibt, welche unter dem namen spybot ein programm anbieten (vllt sogar verkaufen), welches die gegenteilige wirkung von spybot s&d hat.

23.05.07, 11:13	#15 (permalink)
IsNull Guest Likes:	ach so Dieses Wort habe ich noch nie gehört anyway, thx für den Deutschunterricht.

[HaBo]

A0024051.exe?!