|
NAV 2005 melde "Trojan Horse" bei system32.exe Hallo, Norton ANtivirus hat gerade bei mir gemeckert, dass C:\WINDOWS\System32\system32.exe ein "Trojan Horse" wäre. Ich bin immer davon ausgegangen, dass das zu Windows gehört und nicht gelöscht werden darf. Was soll ich nun tun? |
Hallo daruler, unter Windows gibt es das Verzeichnis "System32"... aber keine system32.exe. Das ist ein Virus, um genauer zu sein ein Wurm, der ziemlich gefährlich ist. Du findest hier einige Info dazu: W32/Mari , lies auch unter "Description". Welches Betriebssystem hast Du denn? Win Me und XP: deaktiviere die Systemwiederherstellung C:\WINDOWS\System32\system32.exe in die Windows Suche übertragen -> löschen! Nach dem löschen die Systemwiederherstellung wieder aktivieren. Wenn Du ein anderes Betriebssystem hast, kannst Du die Datei einfach löschen. Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste (kopieren STRG + C und einfügen STRG + V) : http://www.trojaner-board.de/51130-a...ijackthis.html SD |
Hallo, es gibt viel Malware die sich unter einen seriös klingenden Namen in den System32 Ordner ablegt. Meine Vermutung: Eine Bot Variante. Als was wurde diese Datei identifiziert? |
Hallo Cidre, Du hast recht .. man sollte diesen Wurm zwar dringend und sofort löschen, aber das befallene Betriebssystem ist sehr wahrscheinlich kompromittiert. Ich habe da noch was dazu gefunden: Process File: system32.exe: "system32.exe is a process which is registered as the TROJ_SUA.A Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process." Schön, Dich hier an Board zu sehen @ Cidre .. http://www.trojaner-board.de/images/smilies/party.gif --> Feier schön ;-) SD |
Hi @ SD, Zitat:
|
Zitat:
SD |
Zitat:
Eine Google-Suche kann hilfreich sein, muss es aber nicht... Nur weil es 'zufällig' eine Beschreibung im Web gibt, in der der 'passende' Prozessname auftaucht, muss es sich nicht automatisch um den in dieser 'Description' genannten Wurm/Virus/... handeln. Zitat:
Mein Vorschlag an daruler: Überprüfe die Datei C:\WINDOWS\System32\system32.exe unter http://www.kaspersky.com/de/scanforvirus.html und alternativ auch unter http://virusscan.jotti.org/de und teile uns das Scan-Ergebnis mit. Bei einem 'positiven Befund' lösche die Datei manuell und/oder scanne Dein komplettes System mit NAV im abgesicherten Modus und folge den Anweisungen des Scanners. Je nachdem, wie Du die weitere Vorgehensweise bei Virenfunden in NAV eingestellt hast, wird NAV Dir vorschlagen, die Datei zu löschen oder in Quarantäne zu nehmen, wenn eine Desinfektion nicht möglich ist (wovon imho in diesem Fall auszugehen ist). Ansonsten ein Frohes Fest! :heilig: |
Hallo, danke erstmal für die zahlreichen Antworten. Ich wollte heute wie vorgeschlagen die system32.exe auf den online-AntiVirSites checken, doch die datei war nicht mehr da! NAV kann sie nicht gelöscht habe, da er irgendetwas von "gescheitert" geschrieben hat. Ausserdem heißt der Ordner, in der die Darei war, jetzt nicht System32, sondern system32. Wirklich sehr eigenartig... Hier ist mein HijackThis-Log: Code: Logfile of HijackThis v1.99.0 |
Hallo, du hast einen Trojaner der Bot Familie auf deinem Rechner: http://www.sophos.de/virusinfo/analy...2forbotaa.html Mein Tipp daher: http://www.trojaner-board.de/showpos...28&postcount=2 Gruss und Frohe Weihnachten! |
Also escan + HijackThis + NAV2005 melden mir jetzt nichts Verdächtiges mehr. Die system32.exe kann ich auch nicht mehr finden...besteht immer noch ein Risiko, dass mein PC infiziert ist. Ist halt sehr komisch, dass die system32.exe plötzlich verschwunden ist. Das Einzige wie ich mir das erklären könnte, wäre die Funktion bei escan (ich meine, es wäre dort), dass es beim Neustart einige infizierte Dateien entfernt bzw. umbennent. |
Da ist dieser Eintrag,der mich etwas stutzig macht in dem Log: O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe Wenn escan nichts mehr findet im abgesicherten Modus,scheint es i.O zu sein! Gruss |
googlen ist eine Möglichkeit, etwas zu finden. Es gibt mehr Möglichkeiten, gezielt zu suchen, beispielsweise www.processlibrary.com - wie aus meinem Posting an Cidre hervorging. @ daruler, Dein Logfile von heute nachmittag 15:19 zeigt die betreffende Datei als weiterhin vorhanden auf. Poste doch bitte mal das Ergebnis des eScan wie folgt: "Öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und folge Lutz Empfehlung, die Datei C:\WINDOWS\System32\system32.exe online zu überprüfen. Die Links dazu findest Du in Lutz' Posting. SD |
Zitat:
Nachdem Neustart kann die Systemwiederherstellung, falls gewünscht, wieder aktiviert werden. - björn |
Zitat:
Zitat:
O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe, jedoch keinen Hinweis darauf, dass die Datei noch vorhanden ist. @daruler 'Irgendwo' schreibt doch NAV eine Log-Datei. Schau doch bitte mal dort nach, was mit der Datei gemacht wurde. |
@ Lucky, danke für den Hinweis .. ich hatte das als bekannt vorausgesetzt. @ Lutz " Vielleicht habe ich jetzt 'Weihnachtstomaten' auf den Augen, aber ich sehe nur den Aufruf in der Zeile O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe, jedoch keinen Hinweis darauf, dass die Datei noch vorhanden ist." Bedingt ein Aufruf nicht das Vorhandensein der Einträge auf einem Rechner? Woher nimmt das Programm Hijack This die Information über ein System, wenn nicht vom System selbst? Es ist übrigens überflüssig, zwei Online-Scans machen zu lassen, wie ich vor kurzem selbst erfahren habe, da ich ebenfalls "Jotti" und "Kaspersky" als online-Überprüfung angeboten hatte. "Jotti" enthält u.a. den Scan bei Kaspersky. Shadowdance |
Zitat:
Das würde ja bedeuten, das Du das ganze 'System' (noch immer) nicht verstanden hättest. :( Der Aufruf in den Run-Einträgen bedeutet lediglich, dass die Malware auf dem Rechner gewesen ist. Ob diese noch aktuell vorhanden ist, lässt sich daraus nicht ablesen, da es sich eben lediglich um den Versuch handelt, den Prozess zu starten. Dieser Run-Eintrag bleibt aber in der Registry auch dann bestehen, wenn man die Datei als solche löscht. Deswegen beten wir doch immer die Litanei des Bereinigens der Registry mittels HijackThis und der Entfernung der eigentlichen Malware... Zitat:
Ich schrieb: Zitat:
|
sorry - Doppelpost! |
Zitat:
Aufgrund einiger Probleme mit der Board-Software konnte ich Deinen Beitrag nicht noch einmal lesen, um zu erkennen, ob Du beide Online-Scans nebeneinander oder alternativ angeboten hattest. Somit war mein Hinweis überflüssig. |
Die HijackThis Log war noch fälschlicherweise von dem Vortag. Ich habe momentan keine system32.exe mehr drauf, was ein aktuelles HJT-Log bestätig. Nach einem erneuten Durchlauf von eScan wurde jedoch in der Log folgendes gefunden: Code: File C:\WINDOWS\System32\adimage.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.Was bringt denn die Umbennenung eines Files? Wird diese dadurch unbrauchbar/deaktiviert? |
Hi! Ich hatte mir auch gerade dieses Pferdchen eingefangen, konnte es aber dank eurer Hilfe gleich wieder löschen - THX! Ich wurde leider nur darauf aufmerksam, weil meine FW die system32.exe blocken wollte und weil msconfig nicht mehr ging! Was mir etwas schleierhaft ist, warum findet mein Virescaner, einen seid 2004 exestierenden Trojaner nicht und warum auch nicht die Onlinedurchsuchung? Ich benutze Avira AntiVir und zur Onlinedurchsuchung nutzte ich diese Adresse [http://www.virustotal.com/de/] Früher nutze ich Norton, auf Grund des Resourcen-Verbrauchs und der Kosten schwenkte ich auf Avira. Ist man damit nur so zufrieden, weil man die meisten Angriff gar nicht erst bemerkt?! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board