|
hallo leute : habe grade einen megalangen scan mit antivirenkit 12 hinter mir und folgendes wurde entdeckt : Backdoor:IRC/SdBot.P JS/Seeker-based.gen* beide viren lassen sich nicht säubern. wie kann ich sie eleminieren. reicht ein einfaches deleten aus ?? thx |
Hallo Tabasco, willkommen im Trojaner-Board! </font><blockquote>Zitat:</font><hr />Original erstellt von Tabasco: habe grade einen megalangen scan mit antivirenkit 12 hinter mir und folgendes wurde entdeckt : Backdoor:IRC/SdBot.P</font>[/QUOTE]Wo genau wurde er gefunden? Welcher Pfad, welche Datei? Klar, "säubern" geht nicht, da es sich bei dieser Datei um die Malware selbst handelt! Aber nochmal die Frage: Wo gefunden? Es kann nämlich sein, dass der Trojaner bereits aktiv ist, und als laufender Prozess von Windows geschützt wird. Dann müsstenst du den laufenden Prozess erst beenden (mittels Strg + Alt + Entf) zum Beispiel, oder auch mit Hilfe von Trojancheck 6 ( http://trojancheck.de ). Nun lässt sich die Datei sicher löschen. Ergänzungsfrage: Hattest du den Hintergrundwächter abgeschaltet? Eigentlich verhindert dieser eine Infektion bei bekannter oder von der Heuristik erkannter Malware zuverlässig. </font><blockquote>Zitat:</font><hr />JS/Seeker-based.gen*</font>[/QUOTE]Nicht weiter bedenklich, insbesondere dann nicht, wenn du _nicht_ den Internet Explorer nutzt. Leere den Cache deines Browsers. |
Hi Boarders, was ich mir mal überlegt hatte und hier auch kurz zur Ansprache kam....so gesehen, kann man sich einen Virus ja auch mit einem noch so guten Browser wie dem Mozilla locker durch den Browsercache einfangen.... oder richtet der da keinen Schaden an? |
Hallo! [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know: kann man sich einen Virus ja auch mit einem noch so guten Browser wie dem Mozilla locker durch den Browsercache einfangen.... oder richtet der da keinen Schaden an? </font>[/QUOTE]Genau, ein in einer HMTL-Seite eingebettetes bzw. über diese aufgerufenes (explizit schadhaftes) Script richtet in aller Regel nur beim bzw. über den IE "Schaden" an. Hierbei kommt es allerdings a) auf den "Patchgrad" und die Version des IE, b) auf die Einstellungen in diesem (Active Scripting ein oder aus) und c) die Tatsache an, ob ein AV-Scanner mit Scriptchecker im Hintergrund läuft, der derartige Vorgänge erkennt und ggf. blockiert. Wird so ein Script weder blockiert noch wird dessen Ausführung durch eine entsprechend aktuelle und gepatchte IE-Version verhindert, so können die daraus resultierenden Effekte vielfältig sein: Beim Seeker wäre es z.B. das Verändern der Startseite im IE durch Manipulation der Registry, also gewissermaßen durch unmittelbaren Eingriff in das Betriebssystem. Manche Scripte lassen aber auch unzähle Fenster aufpoppen, und sorgen so schlimmstenfalls für einen Absturz des Betriebssystems. Bei Mozilla z.B. sieht es anders aus. 1.) Verwendet er nicht das von Microsoft erweiterte JScript, VBScript kennt er erst gar nicht, und 2.) gibt es die Möglichkeit, für JavaScript nur bestimmte Aktionen zuzulassen, sowie nicht manuell durch Klick angeforderte Pop-Up-Fenster gleich zu blocken. Dass Mozilla nicht so eng mit dem Betriebssystem verwoben ist wie der IE, tut das Übrige zu einer spürbaren Steigerung der Sicherheit - natürlich auch, aber nicht so entscheidend wie aufgrund der prinzipbedingten Sicherheitsvorteile (kein Active X, kein VBScript, kein JScript), die geringere Verbreitung des Mozilla im Vergleich zum IE. |
hallo mmk ! ich habe den antiviruskit seit gestern erst neu insalliert. vorher hatte ich die freeware antivir personal edition und der hatte wohl leider dieses nicht entdeckt. zu den pfanden : Backdoor:IRC/SdBot.P : C/System Volume Information/_restor (lange nummer aus zahlen und buchstaben) JS/Seeker-based.gen* : C/Dokumente und Einstellungen/Anmeldename/Lokale Einstellungen/Temorary Internet Files/Content.IE5/KVLZUIB5 werde es mal mit trojancheck 6 testen... |
</font><blockquote>Zitat:</font><hr />Original erstellt von Tabasco: Backdoor:IRC/SdBot.P : C/System Volume Information/_restor (lange nummer aus zahlen und buchstaben) </font>[/QUOTE]Hi, du musst die WinSystemwiderherstellung ausschalten, um den Fiesling aus dem RESTORE-Ordner loszuwerden.. XP-Tipps s.u. [c] Thx to FataMorgana für dieses häufig auftretende Standard-Problem hat FataMorgana jetzt endlich einen vorgefertigten Antworttext verfasst (Spezielle XP-Tips s.u.) Frage: In meinem Windows-ME-System wurde ein Virus in den Dateien der Systemwiederherstellung gefunden ( x:\_restore\..., x=Laufwerksbuchstabe, i. d. R. c: ). oder In Win XP wurde ein Virus AntiVir PE kann es nicht löschen. Was kann ich tun? Antwort: Hier gibt es in jedem Fall mehrere Möglichkeiten. Zunächst ist es unwahrscheinlich bis ausgeschlossen, dass ein Virus ausschließlich in den Dateien der Systemwiederherstellung sitzt, ohne jemals an anderer Stelle im Windows-System aufgetaucht zu sein (z. B. in einer E-Mail oder einem „Temporary Internet File"). In so einem Fall spricht einiges für einen Fehlalarm. Um diesen auszuschließen kann man einen zweiten Virenscanner benutzen oder die Datei zur Analyse an H+BEDV einschicken. Wenn man aber vermutet, dass es sich nicht um einen Fehlalarm handelt, sondern um ein echtes Virus handelt, sollte man dieses löschen. Damit verhindert man die versehentliche Wiederherstellung des Virus aus x:\_restore\... WICHTIGER HINWEIS: Das Manipulieren der Systemwiederherstellungsdateien kann zum Verlust von Wiederherstellungspunkten führen. Es kann daher nur bei einem stabil laufenden System empfohlen werden. Bei einem instabilen System besteht auch die Möglichkeit, das Virus zunächst einfach zu belassen. Es kann erst bei einer Systemwiederherstellung wieder aktiv werden. Wenn man also eine solche durchführen muss, während sich ein Virus in x:\_restore\... befindet, sollte man hinterher das System besonders gründlich auf Viren prüfen. Es gibt prinzipiell zwei verschiedene Wege, die infizierte Datei zu löschen: über DOS oder Windows. In jedem Fall sollte man sich aus dem AntiVir-PE-Report den genauen Pfad und Namen der Datei notieren, um diese später auffinden zu können. Die DOS-Methode geht i. d. R. schneller und einfacher, wenn man eine Startdiskette hat oder schnell erstellen kann und über einige DOS-Grundkenntnisse verfügt. Nun die beiden Wege im Detail: 1. DOS: Den Computer mit der Startdiskette in DOS booten. Das betroffene Verzeichnis (s. Report) mit Hilfe der Befehle x:, cd _restore, cd ... usw. aufsuchen. Mit dem Befehl del dateiname.erweiterung die betroffene(n) Datei(en) löschen. Die Diskette rausnehmen und den Computer mit Strg+Alt+Entf wieder mit Windows hochfahren. Einen neuen Wiederherstellungspunkt unter Start -> Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung erzeugen. Manchmal muss man die Systemwiederherstellung erst wieder aktivieren (Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale -> Dateisystem -> Problembehandlung -> Häkchen vor „Systemwiederherstellung deaktivieren" entfernen). In diesem Fall wird man aber beim Versuch, den Wiederherstellungspunkt zu erzeugen, darauf hingewiesen. 2. Windows: Hierzu muss man zunächst die Systemwiederherstellung vorübergehend deaktivieren. Dies geschieht unter Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale -> Dateisystem -> Problembehandlung -> Häkchen vor „Systemwiederherstellung deaktivieren" setzen. Dann muss der Computer neu gestartet werden. Nun sucht man im Windows Explorer die betroffene(n) Datei(en) auf. Die Verzeichnisse der Systemwiederherstellung sind versteckt, daher muss man unter Extras -> Ordneroptionen -> Ansicht das Häkchen vor „Geschützte Systemdateien ausblenden" entfernen und unter „Versteckte Dateien und Ordner anzeigen" die Option „Alle Dateien und Ordner anzeigen" wählen. Bei dieser Gelegenheit kann man gleich das Häkchen vor „Dateinamenerweiterung bei bekannten Dateitypen ausblenden" entfernen, da diese Option ein Sicherheitsrisiko darstellt (Verkennen von Dateinamen mit doppelter Erweiterung). Dann kann man durch Klick auf „Wie aktueller Ordner" diese Ansicht für alle Ordner aktivieren. Nun die Datei(en) über den Explorer löschen und den Papierkorb leeren. Eine bebilderte Anleitung zum Deaktivieren der Systemwiederherstellung gibt es hier: http://www.free-av.de/merestore.htm Jetzt auf umgekehrten Wege die Systemwiederherstellung wieder aktivieren (Häkchen entfernen) und den Rechner neu starten. Dann gleich einen Wiederherstellungspunkt erzeugen. Sollte dieses Verfahren nicht funktionieren, kann dies daran liegen, dass die betreffenden Dateien auch von der PCHealth oder dem StateMgr benutzt werden. Man kann die genannte Vorgehensweise dann noch folgendermaßen erweitern (nur für erfahrene Anwender empfohlen): Nach dem Deaktivieren der Systemwiederherstellung über Start -> Ausführen msconfig aufrufen. Unter „Autostart" PCHealth und *StateMgr deaktivieren. Den Rechner neu starten und wie oben beschrieben weiter vorgehen. Dann auf gleichem Wege alle drei Funktionen (PCHealth, StateMgr und Systemwiederherstellung) wieder aktivieren, neu starten und einen Wiederherstellungspunkt erzeugen. WEITERER WICHTIGER HINWEIS: Die Systemwiederherstellung von Windows ME enthält einen Bug (Fehler). Dieser bewirkt, dass Wiederherstellungspunkte, die nach dem 8. September 2001 erzeugt wurden, nicht für eine Wiederherstellung genutzt werden können. Dieser Fehler kann nur durch ein Patch von Microsoft behoben werden. Dieses ist über „Windows Update" oder die Website von Microsoft erhältlich: http://support.microsoft.com/default...;EN-US;q290700 (hier auch detaillierte Informationen zu diesem Fehler) Windows XP: Wie oben außer dass DOS-Löschen mit NTFS nicht geht.. evtl muss auch noch PcHealth ausgeschaltet werden.. Bei XP gibt es die Möglichkeit, über die Datenträgerbereinigung > Weitere Optionen, alle Systemwiederherstellungspunkte bis auf den letzten zu löschen. Also (bei sonst sauberem System) einfach einen neuen SWH-Punkt anlegen und die älteren löschen... P.S.: für den anderen Fiesling sollte leeren des IE-Caches reichen ;) |
vielen dank für die ausführliche hilfeleistung !!! Tabasco |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board