|
hi, ich hab mir irgend so ein teil eingefangen, heisst "Download. Magicon". hab auch norton schon laufen lassen, der löscht es auch, doch beim nächsten start des internets, gibt norton wieder alarm!!!! Wie bekomme ich dieses lästige teil denn los? ich hab auch schon im abgesicherten modus den pc neugestartet und dann norton drüberlaufen lassen, auch hab ich die systemwiederherstellung deaktiviert, ich bekomm das teil einfach nicht los! thx für eure hilfe |
|
hi, danke, das hab ich schon gelesen, nur ist das alles englisch!! und das übersteigt meine kenntnisse bei weitem...... :( gibts da nix deutsches dazu? thx |
Hi, wo wurde das ding denn gefunden (kompletter PFad und Dateiname samt -erweiterung) ? Welches Win hast Du ? was steht alles im Win-Startup (s. MSCONFIG oder externe startupViewer) ? Scanne das Ding (bzw dein ganzes System) mal mit Onlinescannern von Trend, KAV, RAV.. vielleicht gibt's da mehr Info.. Ansonsten den PC im abgesicherten Modus (F8-Boot ) starten und die Datei löschen ;) |
Ist ein Trojaner Aus IRONs link: # Disable System Restore (Windows Me/XP). Systemwiederherstellungsoption ausschalten wenn Du XP oder ME nutzt # Update the virus definitions. Virusdefinitionen Updaten # Restart the computer in Safe mode or VGA mode. PC im Abgesicherten Modus starten lassen # Run a full system scan and delete all the files detected as Download.Magicon. Den PC mit NAV komplet scannen lassen und alles löschen was nach Download.Magicon riecht. Was anderes wichtiges steht eigentlich nicht drin |
hi, genau so hab ich das auch gemacht, doch sobald ich den pc neu starte und wieder ins internet gehe, kommt die meldung wieder: Objektname: (1. datei) C:\Dokumente und Einstellungen\Frank\Lokale...\2_simcss[1].dll (2.datei) c:\WINDOWS\simcss\2_simcss.dll Virenname: Download.Magicon Aktion: Die Datei wurde automatisch gelöscht! Hab auch einen online scann durchgeführt mit TrendOnlineScan, das programm hat auch 2 dateien gefunden (ADM_TENGET.A und TROJ WINTRIM.A)hab dann beide gelöscht. hab dann nochmal den OnlineScann gemacht, hat auch angegeben, dass es nichts gefunden hat. doch nach einem neustart und die verbindung inst internet kam die meldung wieder..... [img]graemlins/headbang.gif[/img] Mein System WinXP, sorry wegen dem bild....aber wie hätte ich sonst das win-startup zeigen sollen ;) http://www.ravenshieldplanet.de/pic/start.jpg |
- benutze start->ausführen->msconfig, um die startups herauszufinden - google nach den entsprechenden Dateinamen und deaktiviere so viel wie möglich unnötiges zeug - Hast du die Entfernungsanleitungen für tenget und wintrim befolgt ? wenn du die o.g. Malwarenamen auf www.trendmicro.de oder auf www.sophos.de eingibst, gibt's evtl auch ne deutsche Info - Scanne den PC mal mit onlinescanner von www.ravantivirus.com - Leere TEMP-Ordner und TIF=IE-Cache; incl offline-Dateien - Setze die Sicherheitseinstellungen im IE so hoch wie möglich und klick nicht alles, was sich bewegt.. ansonsten jemand dazuholen, der english kann & was von der Materie versteht.. ;) |
Hast Du ganz sicher die Systemwiederherstellung deaktiviert? Also Häkchen gesetzt? (Systemsteuerung => System => Systemwiederherstellung) |
Trend's Wintrim ist evtl dein Magicon, und die Entfernung sieht da etwas komplizierter aus, als Norton es darstellt--> da musst du durch ;) |
Sag mal, welche Startseite ist bei Dir fürs Internet eingestellt? Vielleicht sind deine Sicherheitseinstellungen so (verstellt), dass Du Dir das Zeug jedesmal neu runterlädst! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares: Trend's Wintrim ist evtl dein Magicon, und die Entfernung sieht da etwas komplizierter aus, als Norton es darstellt--> da musst du durch ;) </font>[/QUOTE]http://de.trendmicro-europe.com/ente...TROJ_MAGICON.A Unter Umstände löscht aber NAV die "bösen" Registry-Einträge selber (deshalb auch Systemwiederherstellung deaktivieren) und der Autostarteintrag wird durch Start im abgesicherten Modus nicht ausgeführt. Wenn Du dich traust in der Registry per Hand was zu ändern, übersetze ich dir die wichtigen Passagen, die Handle-Keys sind aber englisch wie deutsch identisch [img]tongue.gif[/img] [ 27. Oktober 2003, 11:54: Beitrag editiert von: Shadow ] |
hi, ja das häkchen ist bei systemwiederherstellung deaktiviert. ;) der witz an der sach ist, dass ich schon 4 mal norton drüber gejagd habe und er nie etwas findet, aber sobald ich mich in netz eingewählt habe kommt die meldung wieder. als startseite hab ich meine eigene hompage festgelegt. ich mach grad den andere online scann, folgendes bisher entdeckt: C:\Dokumente und Einstellungen\Frank\.jpi_cache\jar\1.0\ar.jar-24c8383a-36c0d4e5.zip->V.class - Java/Bytverify -> Infected C:\Dokumente und Einstellungen\Frank\.jpi_cache\jar\1.0\proc.jar-55765d5f-70c07099.zip->Jvb.class - Java/Bytverify -> Infected ...das mit der registry trau ich mir nicht zu, nachher ist alles im Ar***..... hab jezt die dateien in der registry gelöscht, waren alle vorhanden bis auf diese: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ TypeLib\{BA49BD6A-039C-428E-AF33-8C1288D75A7B} ist das problem damit eigentlich behoben? kann ich die o.a. infizierte dateien löschen? oder werden die gebraucht? [ 27. Oktober 2003, 14:03: Beitrag editiert von: Surfer ] |
AFAIK sind die Dateien alle vom Würmchen... |
hi, äääää blöde frage, was heisst AFAIK??? kann ich die unten aufgeführten dateien löschen? C:\Dokumente und Einstellungen\Frank\.jpi_cache\jar\1.0\ar.jar-24c8383a-36c0d4e5.zip->V.class - Java/Bytverify -> Infected C:\Dokumente und Einstellungen\Frank\.jpi_cache\jar\1.0\proc.jar-55765d5f-70c07099.zip->Jvb.class - Java/Bytverify -> Infected oder wie ist jetzt die weitere vorgehensweise? ich mein aufspüren ist eine sache...aber was nun???? er hat noch eine datei gefunden: C:\WINDOWS\system32\H@tKeysH@@k.DLL Virus: Keylogger/Win32.HatKeys thx! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Surfer: C:\Dokumente und Einstellungen\Frank\.jpi_cache\jar\1.0\ar.jar-24c8383a-36c0d4e5.zip->V.class - Java/Bytverify -> Infected C:\Dokumente und Einstellungen\Frank\.jpi_cache\jar\1.0\proc.jar-55765d5f-70c07099.zip->Jvb.class - Java/Bytverify -> Infected </font>[/QUOTE]Löschen (es handelt sich um Dateien im Java-Cache). </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\H@tKeysH@@k.DLL Virus: Keylogger/Win32.HatKeys</font>[/QUOTE]Zunächst weitere Informationen einholen. Afaik wird HotKeysHook nicht immer unbeabsichtigt installiert, sondern manchmal auch für Spiele o.ä. benötigt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board