Hab nen Virus im "Archiv"

[pennah]

Moin,

hab seit ein paar Tagen einen Virus aufm Rechner.

Wurde gefunden von AntiVir, aber ich kriege die Meldung das sich der Scheisskerl im Archiv befindet und AntiVir ihn nich entfernen kann.

Laut angedeutetem Pfad müsste er in

C:\Dokumente und Einstellungen\....\HFBRTXSE

Als Detection zeigt er Virus TR/Dldr.JH

In einem kleinen Zusatzfenster hat er noch andere Dateinamen angezeigt:

cax[1].cab...Ole32ws.dll

Einer von Euch ne Ahnung? Hab schon mit allen oben erwähnten Dateinamen Suchen aufm Rechner durchgeführt, nix! :grr: Auch zu Fuß bin ich ma in den Ordner, aber auch nix.

,..pennah!

[André@T5]

Hallo,

dann wird der Virus/Trojaner wahrscheinlich ausgeführt!

Schau mal in den Taskmanager und beende die Anwendung!

Dann sollte er sich löschen lassen!

Gruß, André

[pennah]

Nee, unter Anwendung is nur die Seite hier und mein Einwählprogramm. Vielleicht bei Prozesse?

,..pennah!

Bearbeitet 9. Dezember 2004 von pennah

[André@T5]

Hallo,

öhm, jo dat meinte ich eigendlich auch!

Unter Prozesse kannste die Anwendung, wenn sie denn dort ist, beenden!

Ansonsten die Datei mal suchen und mit Rechtsklick anklicken und dann Eigenschaften, da dann mal schauen, ob die schreibgeschützt ist!

Glaub ich aber eher nicht!

Gruß, André

Bearbeitet 9. Dezember 2004 von André@T5

[pennah]

Da hab ich keine vergleichbare Bezeichnung gefunden, genauso wie zu Fuß. Da hat die Suche auch nix ergeben.

,..pennah!

[André@T5]

Hallo,

versuch mal:

http://www.trojaner-info.de/hijacker/escan.shtml

Oder:

http://www.trojaner-info.de/hijacker/entfernung.shtml

Oder hier soll sehr gut sein:

http://de.trendmicro-europe.com/consumer/p...usecall_pre.php

Gruß, André

[pennah]

Muss ich echt das System neu machen um ihn zu killen?? Muss doch nochn anderen Weg geben...

,..pennah!

[Lacknase]

1.) Alle "snapshot"- oder "Systeminstallationsrücknahme"- oder "Du darfst Dir auch ins Knie schießen BlaFasel"-Optionen ausschalten.

2.) Rechner im abgesicherten Modus hochfahren. Noch besser mit einer Recovery-CD a la BartPE.

3.) Virenscan durchlaufen lassen, AntiHijack-Tools etc., Stinger, AdAware, InternetExplorer- und Outlook-Deinstallationsprogramm, und dann hoffen, daß es das mit Trojanern, Viren etc. war.

Wobei ich zu bedenken geben möchte, daß streng genommen aus security-Perspektive bereits alles zu spät ist, wenn etwas auf das System draufkam. Was es da gemacht hat, kann man nicht wissen. Krasser Antivirenschutz mit 3-fach Shielding hin, fett geil blinkender Sicherheits-Schieberegler anna "Firewall" her. Normalerweise wäre jetzt nur noch Forensik angesagt, um herauszufinden, wo das das Loch ist, und dann neu aufsetzen. Bevorzugt mit gleichzeitigem "Stopfen" des Loches.

[pennah]

1.) Alle "snapshot"- oder "Systeminstallationsrücknahme"- oder "Du darfst Dir auch ins Knie schießen BlaFasel"-Optionen ausschalten.

Kannste mir das nochma näher erklären?? Bitte...

,..pennah!

[Lacknase]

Arbeitsplatz -> RechteMausTaste: Eigenschaften -> Systemwiederherstellung:

"Systemwiederherstellung allen Laufwerken deaktivieren" anklicken. (Heißt womöglich auch "Systemüberwachung" oder so ... weiß es nimmer auswendig.)

Wenn es klappt, würde ich aber im Mindesten ernsthaft über einen Browser-/Mailclient-Wechsel nachdenken.

[pennah]

Also meine Mails mach ich schon nich über Outlook auf, immer auf der Yahoo-Seite und öffnen tu ich auch nur welche die ich wirklich kenne.

Browser-Wechsel, meinst Modzilla, Opera oder so?

,..pennah!

[Lacknase]

firefox, MODzilla, Opera, whatever. Hauptsache kein ActiveX und keine Systemprivilegien.

[pennah]

Ok, dann werd ich die verschiedenen Tipps ma testen heut abend.

Danke, schonma...

,..pennah!

[pennah]

Moin,

hab jetz diverse Scanner (Stinger, SpyBot, SpySubstract) rüberlaufen lassen, keiner hat ihn gefunden.

AntiVir hat ihn wie immer gefunden, aber kann ihn ja nich entfernen

@Lacknase Hab die Sache mit der Systemwiederherstellung deaktiviert, aber getan hat sich nix.

So langsam glaub ich doch das ich Windows neumachen muss...

,..pennah!

[Mozzer]

wie hast du antivir eingestellt? datei isolieren, reparieren versuchen, ohne rückfrage löschen?

hatte mal ein ähnliches problem wie du.

kann es nicht sein, dass antivir nur noch den eintrag im archiv anzeigt, obwohl der virus selbst bereits entfernt ist? das würde auch erklären, warum die anderen tools nix finden.

[Lacknase]

Aaaalso. Das Ding ist wohl ein Download-Applet eines Pornodialers. ( ) Leider hast Du den genauen Archiv-Pfad ausgelassen. Kann es sein, daß das Ding noch im Browsercache/ActiveDesktopDirectory herumschwirrt?

Mach mal bitte Folgendes:

1.) Alle Browserfenster ebenso wie die des "normalen" Explorers schließen.

2.) "Festplatte aufräumen" unter Zubehör->Systemprogramme wählen. Alle Datentypen auswählen. Insbesondere "Offlinecache" oder "Offlinedateien" (wie auch immer das heißt). Alte Daten komprimieren (wie auch immer das heißt) nicht wählen.

3.) DANACH InternetExplorer starten und den kompletten Cache inkl. Cookies etc. auch da nochmal unter Internetoptionen (glaube "Privatsphäre" oder "Sicherheit" heißt das) leeren.

Sollte das nichts bringen, mußt Du das im abgesicherten Modus von Hand machen. Wenn Du weitere Hilfe brauchst, wäre es gut, den exakten Pfad der "bösen Datei" anzugeben. Bzw. des CAB-Files. Dann kann man sehen, ob man das einfach löschen darf ...

Bearbeitet 10. Dezember 2004 von Lacknase

[pennah]

Superdanke Leude!! Er is weg!! AntiVir findet ihn jedenfalls nich mehr.

,..pennah!