Hi @ all,

ich hoffe Ihr könnt mich mit weiteren Informationen versorgen?!?!?

Ich habe mir den "Virus.Win32.Bube.d" eigefangen. Leider kann ich zu diesem Virus keine Informationen finden. Habt Ihr mehr Informationen für mich?

AVK 2004 findet diesen Virus, kann Ihn aber weder in Quarantäne verschieben, bzw. löschen. Es kann lediglich der Zugriff gesperrt werden.
Befallen ist die EXPLORER.EXE.

NAch Neustart des PCs unter XP Pro fährt der Rechner jetzt nicht mehr richtig hoch mit der Fehlermeldung, dass die EXPLORER.EXE nicht i.o. sei!

Vielen Dank für Eure Hilfe!

cu
WernerSen

oh... ein virus der exedateien befällt.. ich habs doch gewusst das da bald was neues erscheint
ich kann dir nicht informationen zu bube.d geben. allerdings zur variante a vom bube-virus.
nämlich hier
eventuell musst du nun anders vorgehen:
-gehe in den abgesicherten modus mit eingabeaufforderung (F8 beim start drücken und auswählen)
-gebe dort sfc /scannow ein
-lege die von windows gefragte CD ein.
-warte bis er fertig ist, starte neu und poste ob die warnmeldung verschwunden is.

Bei Symantec heisste eine andere Variante des Schädlings so:

http://securityresponse.symantec.com...admincash.html

Ich würde angesichts der doch erheblichen potentiellen Auswirkungen eigentlich dazu neigen, eine Neuinstallation zu empfehlen:

http://www.trojaner-info.de/report_i...nleitung.shtml

Alternativ könntest du auch mal AVK im abgesicherten Modus laufen lassen, evtl. kann es dort die Datei desinfizieren. Aber wie gesagt, dieser Schädling ist doch vergleichsweise gefährlich.

Zitat:

Ich würde angesichts der doch erheblichen potentiellen Auswirkungen eigentlich dazu neigen, eine Neuinstallation zu empfehlen:

Würde ich auch. Ich habe ihm nur einen lösungsweg beschrieben (ob das der beste ist, wage ich extrem zu bezweifeln)
jep is wohl doch besser neuzuinstallieren. ich wusste auch zum bube.d kaum was. (bube.a is trojan-downloader) deswegen schloss ich darauf das bube.d das gleiche is.

Vielen Dank für Eure Hilfe!!!!

Ich werde gleich mal den ersten Vorschlag verfolgen und post, ob diese Variante Abhilfe schafft. Posting wird folgen!

Ist diese Virusvariante neu? Kann es ansonsten sein, dass mit einem Signaturupdate von AVK evtl. dieser Virus doch noch via AVK gelöscht werden kann?

1000Dank!

WernerSen

P.S.: Nach Prüfung der Symantec-Seite bin ich mir nicht sicher, ob das wirklich der gleiche Virus ist. Hier steht z.B. das eine Datei mit dem Namen EXPLORER.NEW angelegt wird, dies ist bei mir nicht der Fall.

Außerdem ist diese Variante schon bei Symantec seit Januar bekannt. Wohingegen bei Antiviruslab oder Sophos erst eine Erkennung erst vor wenigen Tagen, bzw. seit gestern definiert worden ist.

Den Rechner neu aufzusetzen ist sicher die BESTE und SAUBERSTE Lösung, allerdings müsste ich noch ein paar Tage so mit dem System arbeiten müssen!

cu
WernerSen

Nein, es ist nicht exakt derselbe, ich habe ja auch geschrieben, dass es sich um eine andere Variante, ich glaube Bube.b handelt. Es ist aber nicht davon auszugehen, dass eine neuere Version weniger gefährlich ist oder aber sich wesentlich von den anderen unterscheidet, sonst hätten sie wahrscheinlich einen komplett neuen Namen bekommen. In der Regel variieren die Namen der kreierten Dateien.

Ich denke, dass AVK im abgesicherten Modus die Datei desinfizieren könnte, müsstest du testen.

Vielen Dank! Werde ich heute mal antesten und einen kleinen Erfahrungsbericht posten!

cu
WernerSen

So,

habe bis jetzt mal die EXPLORER.EXE via Erdcomander gegen eine "originale" ausgetauscht. Scheint soweit zu funzen. Der Rechner läuft und findet jetzt auuch keinen Virus mehr (nur der BAckup-Datei der alten EXPLORER.EXE). Registry-Einträge wie bei Symantec angegeben kann ich nicht finden.......

Sollte sich noch was tun erfolgt Meldung!!!!

Vielen Dank

WernerSen

Hi,

hab mir auch diesen Trojaner eingefangen. Woher bekomm ich den Erdcomander? Funktioniert das auch ohne Erdcomander? Wenn ja, wie denn?

Schon mal danke für die Hilfe im voraus!

Cheers

Alex