|
Hallo Ich hoffe, das ich niemanden langweile, aber für mich ist das Problem alleine nicht lößbar. Ich habe verschiedene Viren auf meinem PC. Wie : Win32/MTX.B.dll oder I-Worm.MTX.d und Win32/MTX.D@m Die bekomme ich mit meinem Virenprogramm aber nicht runter. Kann mir jemand Helfen? |
Hallo Nelli,schreibe bitte mal welches System und welche AV Programme du hast und keine Panik.... ;) |
Hallo Nangie Ich hab win 98. Was ist AV ? |
AV steht für AntiVirus, also welches AntiVirus-Programm du hast. Ich rate dir KAV (eine Testversion) runterzuladen, zu updatnen und dein System zu scannen und zu säubern. ciao, Cyber |
O Sorry! Hab den Anti Viren Kit Professional. Der hilft aber nicht. |
@Nelli: Dann solltest du kein KAV brauchen. Was heisst bei dir, du bekommst die Viren nicht weg? Du kannst sie doch in Quarantäne stecken und dann löschen :confused: ciao, Cyber [ 14. Februar 2003, 15:03: Beitrag editiert von: CyberFred ] |
D.H. Mein Anti Virenprogramm erkennt die Vieren, kann Sie aber nicht Deaktivieren oder löschen. |
Was passiert aber mit den Dateien an denen Sie hängen? Einige davon enthalten Daten, die ich brauche. Andere sind Windows Dateien. |
Hi, probier mal Tools von www.symantec.de oder www.f-secure.com , jeweils unter downloads zu finden oder www.fprot.org/fr_boot.htm mit letzterem klappts bestimmt.. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Nelli: Was passiert aber mit den Dateien an denen Sie hängen? Einige davon enthalten Daten, die ich brauche. Andere sind Windows Dateien.</font>[/QUOTE]Kannst du mal bitte konkretisieren, was du damit meinst? Was hängt woran? ciao |
Es handelt sich um einen Datei infizierenden Schädling, der die Systemdatei WSOCK32.DLL verändert, um unbemerkt Mails verschicken zu können. Ebenso sucht der Virus nach Netzlaufwerken mit Freigaben. W32/MTX@M ist eine Kombination von Virus, Wurm und Backdoor. -Wurm/Backdoor Teil: Da er Mail-Fähigkeiten besitzt, könnte der User eine Mail mit Anhang empfangen, wobei der Name des Anhangs variabel wäre, aber oft z.B. so aussehen kann: I_am_sorry_doc.pif, or zipped_files.exe usw. Unabhängig von angezeigtem Namen und Dateiendung ist die Datei tatsächlich aber eine EXE-Datei. -Virus Teil: Der Virus modifiziert ausführbare Dateien wie z.B. .EXE und .DLL Dateien im Windows-Ordner. Versendet sich der Virus per Mail, könnte es sich um einen der folgenden, zufällig gewählten Namen handeln: ALANIS_Screen_Saver.SCR ANTI_CIH.EXE AVP_Updates.EXE BILL_GATES_PIECE.JPG.pif BLINK_182.MP3.pif ' FEITICEIRA_NUA.JPG.pif FREE_xxx_sites.TXT.pif FUCKING_WITH_DOGS.SCR Geocities_Free_sites.TXT.pif HANSON.SCR I_am_sorry.DOC.pif I_wanna_see_YOU.TXT.pif INTERNET_SECURITY_FORUM.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif JIMI_HMNDRIX.MP3.pif LOVE_LETTER_FOR_YOU.TXT.pif MATRiX_2_is_OUT.SCR MATRiX_Screen_Saver.SCR Me_nude.AVI.pif METALLICA_SONG.MP3.pif NEW_NAPSTER_site.TXT.pif NEW_playboy_Screen_saver.SCR Protect_your_credit.HTML.pif QI_TEST.EXE READER_DIGEST_LETTER.TXT.pif SEICHO-NO-IE.EXE Sorry_about_yesterday.DOC.pif TIAZINHA.JPG.pif WIN_$100_NOW.DOC.pif YOU_are_FAT!.TXT.pif zipped_files.EXE Symptome: Existenz folgender Dateien im Windows-Ordner: IE_PACK.EXE MTX_.EXE WIN32.DLL WSOCK32.MTX Die Datei WININIT.INI wird verändert, um den Aufruf der regulären wsock32.dll durch die wsock32.mtx nach dem nächsten Neustart zu ersetzen. MTX_.EXE wird durch einen Aufruf in der Registry bei jedem Windows-Start geladen und ist speicherresident nach dem ersten Start des Virus. MTX_.EXE läuft als Hintergrundprozess und verursacht alle 2 min Datenverkehr auf TCP Port 1137. Um die originale WSOCK32.DLL wiederherzustellen, ist folgendes zu tun: Windows 98/ME - (NUR Win98) Klicke START/Ausführen, tippe SFC und klicke OK. Wähle "Eine Datei von der Installationsdiskette extrahieren" - (NUR WinME) Klicke START/Ausführen, tippe SFC und klicke OK. Klicke den Datei extrahieren... Button (Win98/ME) - Tippe C:\WINDOWS\SYSTEM\WSOCK32.DLL in das Textfeld and klicke Start. - In das Feld "Wiederherstellen von" tippe C:\WINDOWS\OPTIONS\CABS oder durchsuche das Win98 (oder WinME) Verzeichnis auf deiner CD - Klicke OK und folge den weiteren Anweisungen. Wsock32.dll liegt in Precopy1.cab auf der Windows-CD. |
eigentlich müsste eine ständig aktuell gehaltene av-software (vor allem mit der kaspersky engine) mtx locker "weggeputzt" haben, ohne dass es zu einer infektion gekommen wäre... da das system aber (anscheinend) infiziert ist, ist klar, warum die av-software nicht anschlägt (der virus kickt die av-software)... hier hilft nur das scannen über eine (aktuelle) av-bootdisk durch deine av-software (für die automatische erstellung ist es jetzt zu spät) bzw. das downloaden von f-prot (siehe link von who cares) und manuellem "basteln" einer solchen av-bootdisk... [edit] den f-prot-teil abgeändert... [/edit] [img]graemlins/teufel3.gif[/img] [ 14. Februar 2003, 16:15: Beitrag editiert von: n_dot_force ] |
Könnte man die exe Datei von AVK nicht umbennen, so dass der Virus den scanner nciht mehr erkennt und "rauskicken" kann? |
Nelli, unabhaengig davon, dass du die Viren momentan nicht wegbekommst, hast du ne Idee warum die Viren nicht erkannt wurden als das System noch gesichert war? Hast du die staendigen Updates der Antivirensoftware gemacht? Viel Glueck Gregor |
@ I_wanna_know: Schön wärs, aber so funktioniert das nicht. Der Virenscanner hat UNABHÄNGIG von seinem DATEINAMEN einen PROZESSNAMEN und an dem wird er vom Virus erkannt. Da du durch Ändern des Dateinamens NICHT den Prozessnamen ändern kannst, nützt Umbenennen also rein GAR NICHTS. |
@ IRON: Hmmmm achso. Tja, man lernt halt ne aus...ich klinge alt lol. Aber an sich war die Idee doch gut? Kann man denn nicht den Prozessnamen auch ändern? Ansonsten würde ich mal Freunde fragen, AVK zu installieren, udzudaten, ne Boot CD zu brennen und dann alle Viren wegböllern :cool: |
</font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force: hier hilft nur das scannen über eine (aktuelle) av-bootdisk durch deine av-software (für die automatische erstellung ist es jetzt zu spät) bzw. das downloaden von f-prot (siehe link von who cares) und manuellem "basteln" einer solchen av-bootdisk... </font>[/QUOTE]Dabei hilft das Programm AVDisk. Dann braucht man nicht so viel basteln. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Bist du Programmierer? Kennst du den Quellcode des Programms? Wenn nein, dann kannst du den Prozessnamen wohl auch nicht ändern. Da Hauptproblem besteht nun mal darin, es gar nicht erst soweit kommen zu lassen, dass ein Virus gestartet wird. Entweder der Virenscanner war nicht auf dem Laufenden - dann kann er natürlich auch nicht schützen, oder der User startet dank unsicherem Mailclient oder zu großer Neugier eine Datei trotz Warnung des AVs - dann hat er es nicht anders verdient. |
@yopie: naja... man kann ja nicht alles wissen... [img]graemlins/daumenhoch.gif[/img] dass wissen um die eigene unwissenheit ist IMO ein stück weisheit... *dg* [img]graemlins/teufel3.gif[/img] |
@ n_dot_force Es ist schön, einem richtigen Experten mal was Neues zeigen zu können. :D Jemand, der weiß, daß er nichts weiß, weiß mehr als derjenige, der nicht weiß, daß er nichts weiß. Oder so ähnlich... ;) Das Tool nutze ich schon seit einiger Zeit. Habs zwar selbst noch nicht anwenden müssen, aber wenn man wegen Virenalarm gerufen wird und zufällig Windows98 betroffen ist, gibts hinterher immer mindestens einen dankbaren Gesichtsausdruck. [img]graemlins/dummguck.gif[/img] Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@IRON: Rate doch mal. Natürlich bin ich kein Programmierer, aber was soll diese rethorische Frage? Willst du mich ärgern, mir sagen, dass ich sowieso keine Ahnung hab? Dann mach dass, nur beißt du bei mir auf Granit. |
@yopie: im bereich viren/trojaner/wurm-sektor würde ich mich _nicht_ als experte einstufen, da haben andere mehr wissen als ich... ich würde mich hier eher als 'advanced user' deklarieren... /me ist mehr auf der linuxseite zu hause -> und da sind rootkits mehr die 'feinde'... *g* [img]graemlins/teufel3.gif[/img] |
@n_d_f: Was ist ein rootkit? :confused: ciao, Cyber |
</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know: Willst du mich ärgern, mir sagen, dass ich sowieso keine Ahnung hab? </font>[/QUOTE]Nein, Diese rhetorische Frage kam, weil ich dir bereits im Posting davor schrieb, dass das nicht geht und du NOCHMAL fragtest. |
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: Was ist ein rootkit? </font>[/QUOTE]vereinfacht gesagt: sowas wie ein trojaner (meistens unter linux/unix) merkmale von rootkits sind häufig, dass befehle, die darüber aufschluss geben könnten, dass ein schädliches programm auf dem rechner läuft, durch modifizierte versionen ersetzt werden. beispielsweise das programm "netstat", was einem offene ports anzeigt, durch eines, was den offenen port des rootkits nicht anzeigt, aber sonst genauso funktioniert usw. .cruz [ 14. Februar 2003, 18:01: Beitrag editiert von: cruz ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: ... Was ist ein rootkit? :confused: ...</font>[/QUOTE]hier eine IMO gute erklärung... und diese erklärung ist ein weiterer hinweis darauf, warum man sein system immer auf den aktuellen stand gepatched (upgedatet) haben sollte (egal ob windows oder linux!)... [edit] cruz war schneller *g* [/edit] [img]graemlins/teufel3.gif[/img] [ 14. Februar 2003, 18:02: Beitrag editiert von: n_dot_force ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Nelli: Hab den Anti Viren Kit Professional. Der hilft aber nicht.</font>[/QUOTE]Die CD von AVK ist "bootbar". Falls Dein Rechner nicht allzu alt ist, dann kannst Du AVK mit der CD booten und dies sollte den Virus beseitigen. wizard |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board