|
Hallo Ich hoffe, das ich niemanden langweile, aber für mich ist das Problem alleine nicht lößbar. Ich habe verschiedene Viren auf meinem PC. Wie : Win32/MTX.B.dll oder I-Worm.MTX.d und Win32/MTX.D@m Die bekomme ich mit meinem Virenprogramm aber nicht runter. Kann mir jemand Helfen? |
Hallo Nelli,schreibe bitte mal welches System und welche AV Programme du hast und keine Panik.... ;) |
Hallo Nangie Ich hab win 98. Was ist AV ? |
AV steht für AntiVirus, also welches AntiVirus-Programm du hast. Ich rate dir KAV (eine Testversion) runterzuladen, zu updatnen und dein System zu scannen und zu säubern. ciao, Cyber |
O Sorry! Hab den Anti Viren Kit Professional. Der hilft aber nicht. |
@Nelli: Dann solltest du kein KAV brauchen. Was heisst bei dir, du bekommst die Viren nicht weg? Du kannst sie doch in Quarantäne stecken und dann löschen :confused: ciao, Cyber [ 14. Februar 2003, 15:03: Beitrag editiert von: CyberFred ] |
D.H. Mein Anti Virenprogramm erkennt die Vieren, kann Sie aber nicht Deaktivieren oder löschen. |
Was passiert aber mit den Dateien an denen Sie hängen? Einige davon enthalten Daten, die ich brauche. Andere sind Windows Dateien. |
Hi, probier mal Tools von www.symantec.de oder www.f-secure.com , jeweils unter downloads zu finden oder www.fprot.org/fr_boot.htm mit letzterem klappts bestimmt.. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Nelli: Was passiert aber mit den Dateien an denen Sie hängen? Einige davon enthalten Daten, die ich brauche. Andere sind Windows Dateien.</font>[/QUOTE]Kannst du mal bitte konkretisieren, was du damit meinst? Was hängt woran? ciao |
Es handelt sich um einen Datei infizierenden Schädling, der die Systemdatei WSOCK32.DLL verändert, um unbemerkt Mails verschicken zu können. Ebenso sucht der Virus nach Netzlaufwerken mit Freigaben. W32/MTX@M ist eine Kombination von Virus, Wurm und Backdoor. -Wurm/Backdoor Teil: Da er Mail-Fähigkeiten besitzt, könnte der User eine Mail mit Anhang empfangen, wobei der Name des Anhangs variabel wäre, aber oft z.B. so aussehen kann: I_am_sorry_doc.pif, or zipped_files.exe usw. Unabhängig von angezeigtem Namen und Dateiendung ist die Datei tatsächlich aber eine EXE-Datei. -Virus Teil: Der Virus modifiziert ausführbare Dateien wie z.B. .EXE und .DLL Dateien im Windows-Ordner. Versendet sich der Virus per Mail, könnte es sich um einen der folgenden, zufällig gewählten Namen handeln: ALANIS_Screen_Saver.SCR ANTI_CIH.EXE AVP_Updates.EXE BILL_GATES_PIECE.JPG.pif BLINK_182.MP3.pif ' FEITICEIRA_NUA.JPG.pif FREE_xxx_sites.TXT.pif FUCKING_WITH_DOGS.SCR Geocities_Free_sites.TXT.pif HANSON.SCR I_am_sorry.DOC.pif I_wanna_see_YOU.TXT.pif INTERNET_SECURITY_FORUM.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif JIMI_HMNDRIX.MP3.pif LOVE_LETTER_FOR_YOU.TXT.pif MATRiX_2_is_OUT.SCR MATRiX_Screen_Saver.SCR Me_nude.AVI.pif METALLICA_SONG.MP3.pif NEW_NAPSTER_site.TXT.pif NEW_playboy_Screen_saver.SCR Protect_your_credit.HTML.pif QI_TEST.EXE READER_DIGEST_LETTER.TXT.pif SEICHO-NO-IE.EXE Sorry_about_yesterday.DOC.pif TIAZINHA.JPG.pif WIN_$100_NOW.DOC.pif YOU_are_FAT!.TXT.pif zipped_files.EXE Symptome: Existenz folgender Dateien im Windows-Ordner: IE_PACK.EXE MTX_.EXE WIN32.DLL WSOCK32.MTX Die Datei WININIT.INI wird verändert, um den Aufruf der regulären wsock32.dll durch die wsock32.mtx nach dem nächsten Neustart zu ersetzen. MTX_.EXE wird durch einen Aufruf in der Registry bei jedem Windows-Start geladen und ist speicherresident nach dem ersten Start des Virus. MTX_.EXE läuft als Hintergrundprozess und verursacht alle 2 min Datenverkehr auf TCP Port 1137. Um die originale WSOCK32.DLL wiederherzustellen, ist folgendes zu tun: Windows 98/ME - (NUR Win98) Klicke START/Ausführen, tippe SFC und klicke OK. Wähle "Eine Datei von der Installationsdiskette extrahieren" - (NUR WinME) Klicke START/Ausführen, tippe SFC und klicke OK. Klicke den Datei extrahieren... Button (Win98/ME) - Tippe C:\WINDOWS\SYSTEM\WSOCK32.DLL in das Textfeld and klicke Start. - In das Feld "Wiederherstellen von" tippe C:\WINDOWS\OPTIONS\CABS oder durchsuche das Win98 (oder WinME) Verzeichnis auf deiner CD - Klicke OK und folge den weiteren Anweisungen. Wsock32.dll liegt in Precopy1.cab auf der Windows-CD. |
eigentlich müsste eine ständig aktuell gehaltene av-software (vor allem mit der kaspersky engine) mtx locker "weggeputzt" haben, ohne dass es zu einer infektion gekommen wäre... da das system aber (anscheinend) infiziert ist, ist klar, warum die av-software nicht anschlägt (der virus kickt die av-software)... hier hilft nur das scannen über eine (aktuelle) av-bootdisk durch deine av-software (für die automatische erstellung ist es jetzt zu spät) bzw. das downloaden von f-prot (siehe link von who cares) und manuellem "basteln" einer solchen av-bootdisk... [edit] den f-prot-teil abgeändert... [/edit] [img]graemlins/teufel3.gif[/img] [ 14. Februar 2003, 16:15: Beitrag editiert von: n_dot_force ] |
Könnte man die exe Datei von AVK nicht umbennen, so dass der Virus den scanner nciht mehr erkennt und "rauskicken" kann? |
Nelli, unabhaengig davon, dass du die Viren momentan nicht wegbekommst, hast du ne Idee warum die Viren nicht erkannt wurden als das System noch gesichert war? Hast du die staendigen Updates der Antivirensoftware gemacht? Viel Glueck Gregor |
@ I_wanna_know: Schön wärs, aber so funktioniert das nicht. Der Virenscanner hat UNABHÄNGIG von seinem DATEINAMEN einen PROZESSNAMEN und an dem wird er vom Virus erkannt. Da du durch Ändern des Dateinamens NICHT den Prozessnamen ändern kannst, nützt Umbenennen also rein GAR NICHTS. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board