Hiiiilfe - Virus

[Volker]

Hallo ihr Spezialisten,

auf meinem Computer ist ein Virus!
Er wurde zwar von meinem Norton Antivirus erkannt, kann auch isoliert und dann gelöscht werden, kommt aber bei jedem Neustart wieder. Einen Schaden hat er noch nicht angerichtet.
Folgende Daten sagt mir Norton:

Element: nnctl.exe
Name: Keylogger.Trojan
Reparatur fehlgeschlagen

C:\WINDOWS\SYSTEM\systemie.dat
C:\WINDOWS\SYSTEM\systemie.dll (oder dII)

Ich habe das neueste Update des Norton und auch die anderen Programme von Euch (Ad-aware6.0, Spybot Search & Destroy sowie Internet Cleanup) haben ihn nicht rausbekommen. Habe das Ding auch schon an Norton geschickt.

Was tun?

Volker

[dieter]

...bin schon auf der suche... hab aber noch nichts gefunden.... solltest du ganz was neuer gefangen haben....???....


hier gibts immer gute infos....

http://www.tu-berlin.de/www/software.../aktuell.shtml

[Volker]

Na so neu kann er doch nicht sein, sonst hätte ihn der Norton doch nicht erkannt!?!
Aber Du weisst ja, was für ein Laie ich bin.
Mein Problem ist etwas, dass das einzige, was ich ausser dem Forum angeklickt habe das Filmchen vom Ammersee-Treffen war (das bei mir aber auch nicht funktionierte) - sonst habe ich nichts anderes gemacht!!!!!

Gruß
Volker

Zitat:

Zitat von Volker

Na so neu kann er doch nicht sein, sonst hätte ihn der Norton doch nicht erkannt!?!
Aber Du weisst ja, was für ein Laie ich bin.
Mein Problem ist etwas, dass das einzige, was ich ausser dem Forum angeklickt habe das Filmchen vom Ammersee-Treffen war (das bei mir aber auch nicht funktionierte) - sonst habe ich nichts anderes gemacht!!!!!

Gruß
Volker

Hallo Volker,

also diese nnctl.exe ist mir völlig unbekannt.

Kann ich auch unter:

http://www.reger24.de/prozesse.html

nicht finden.
Schau einfach, wo die Datei liegt und benenne sie erstmal um. Mach aus *exe" z.B. *ede*.

Ich denke es wird sich z.B. Markus noch melden.

[dieter]

...auch diese dateien Systemie.dat usw. sind bei keiner vireninfo zu finden.....

wie kommst du auf diese daten.... öffne mal norton und sieh mal in den berichten nach, ob du da einen hinweis (protokollanzeige) auf den gelöschten virus finden kannst... und stell die daten hier rein...

[Volker]

Wenn ich das nnctl.exe bei Suchen eingebe, findet er es nicht. Kann natürlich sein, dass ich es ja rauslöschen muss, denn sonst startet mein Computer nicht. Es ist ja so, dass, wenn ich den Computer anschmeisse, mir irgendwann der Norton-AV das Procedere stoppt und dann muß ich die beiden Dateien, die ich oben geschrieben habe, isolieren. Dann erst fährt er weiter hoch.

Demzufolge (denke ich) findet er das Ding auch beim Suchen nicht. Wenn ich ihn aber neu starte, geht das Spiel von vorne los!

Gruß

Volker

Zitat:

Zitat von Wolf

Zitat:

Hallo Volker,

also diese nnctl.exe ist mir völlig unbekannt.

Kann ich auch unter:

http://www.reger24.de/prozesse.html

nicht finden.
Schau einfach, wo die Datei liegt und benenne sie erstmal um. Mach aus *exe" z.B. *ede*.

Ich denke es wird sich z.B. Markus noch melden.

Schau bitte unter dieser URL vorab:

http://spotlight.de/cgi-bin/forum_se...logger.Trojan+

[Volker]

Dieter: genau diese daten, die ich angegeben habe, sind vom NortonAV aus diesem roten Protokoll, das aufleuchtet, wenn er was gefunden hat.
Genauer gesagt:
ich habe den Norton erst mal upgedatet, dann habe ich meine Festplatten durchgecheckt. Da hat er das nnctl.exe gfunden und das Wort Keylogger.Trojan und Reparatur fehlgeschlagen. Ich habe das Zeugs dann da isoliert und gelöscht.

Die beiden Dateien, die dann im SYSTEM aufgeführt wurden, kamen beim vorher genannten Hochfahren des Computers. Sie konnten nicht gelösacht werden. Ich habe sie isoliert und dann gelöscht. Aber beim nächsten Hochfahren waren sie dann wieder da.

Gruß

Volker

[dieter]

...mmmmh jetzt war wolf schneller.... aber hauptsache das ist es.... oder ?

[Volker]

Hallo Wolf und Dieter
In diesem Forum steht ja was darüber - aber ich bin zu blöd, um die Anweisungen zu befolgen. das sind ja alles Experten da drin mit Fachausdrücken, die ich zum ersten mal höre....

Volker

[dieter]

... den hast du dir übrigens bei Kazaa eingefangen.... diese tauschbörse ist virenverseucht wie teufel.... also vorsicht...

Zitat:

Zitat von dieter

...mmmmh jetzt war wolf schneller

Sagt meine Frau auch immer....

[dieter]

hallo volker, les mal da weiter....
http://www.trojaner-info.de/

ich muss jetzt leider weg, falls du es nicht lösen kannst gehn wir morgen nochmal ran... sorry aber mein frau klopft schon mit den schuhen....

Zitat:

Zitat von Volker

Hallo Wolf und Dieter
In diesem Forum steht ja was darüber - aber ich bin zu blöd, um die Anweisungen zu befolgen. das sind ja alles Experten da drin mit Fachausdrücken, die ich zum ersten mal höre....

Volker

Na, Volker, ich denke, die tun nur so.
Wie im realen Leben.


Aber völlig durchgelesen hab´ich mir das noch nicht.

[Volker]

Ich war das letzte Mal vor 14 Tagen in Kazaa - und ich denke, mein Norton hätte schon damals aufgejault und nicht erst heute, oder?????

Kann jetzt leider auch nicht weitermachen, da ich morgen ins Krankenhaus gehe und noch packen muss.
Danach habe ich aber viiiiel Zeit. Glaube, das Ding macht in der Zwischenzeit (hoffentlich) keinen größeren Schaden.

Gruß

Volker

Zitat:

Zitat von Volker

Kann jetzt leider auch nicht weitermachen, da ich morgen ins Krankenhaus gehe und noch packen muss.
Danach habe ich aber viiiiel Zeit. Glaube, das Ding macht in der Zwischenzeit (hoffentlich) keinen größeren Schaden.

Gruß

Volker

Alles Gute wünsche ich Dir, nicht nur im Krankenhaus.

Aber is ja nix Schlimmes, nur die Hand.
Da fällt mir natürlich sofort noch einiges zu ein....
Aber lass ich mal lieber.

Man sieht sich.

[Stephan Reuter]

Hmmm.....finde auch kaum was darüber.

Wie dem auch sei, hier mal einige Empfehlungen um in Zukunft sowas nicht mehr erleben zu müssen (zumindest wird die Gefahr minimiert).
Folgende zählt nur für Windows ;)

1. Immer aktuellen Virenscanner benutzen. Norton ist ok, frisst allerdings Ressourcen. http://www.free-av.de ist auch nicht sooo übel
2. Einen Portfilter (im Volksmund Personal Firewall, ist aber eigentlich keine "echte) runterladen, wie z.b. http:// www.zonalarm.com
Hier zum Downloaden: http://www.zonelabs.com/store/conten...d=pdb_zaptrial
3. Spybot Search & Destroy installieren. Erkennt und entfernt zuverlässig Werbespione wie z.B: Gator, Dialer, Spionprogramme, use (ungefähr 10 000 kennt er bereits). Zum Downloaden hier: http://security.kolla.de
4. Internet Explorer raus und stattdessen Mozilla rein (http://www.mozilla.org, oder http://mozilla.kairo.at, eine Zusammenfassung gibts auf http://linux.shiningdeath.de).
5. Email auf Mozilla ändern, kein Outloo Express. Dadurch wird die Scriptvirengefahr eleminiert.

Damit solltest Du Deine Ruhe haben

Btw: Für etwas weitere allgemeine technische Informationen bzg. Computer, Internet, etc hin und wieder auf http://linux.shiningdeath.de nachschauen, dort wird mit der Zeit einiges an technischen Erläuterungen erscheinen.

[dieter]

..also ich würde mal nach und nach diese empfehlungen probieren....

http://www.trojaner-info.de/erkennung.shtml

[Volker]

Hallo Ihr,

ich finde bei mir unter im Windows Explorer unter Windows einen Ordner, den ich vorher nicht gesehen habe:

C:\WINDOWS\2E1054F643C24ABABC76EEBBD3A4885B.TMP

Kann mir einer sagen, was das ist, wo der herkommt, ob der dahingehört oder ob der sich da eingeschlichen hat?
Kann ich den rausschmeissen? Wenn ich ihn anklicke, ist nichts zu sehen daneben und bei Eigenschaften kommt 0 Byte.

Generelle Frage: Kann ich alle solche oder ähnliche Ordner rausschmeissen, die unter Eigenschaften 0 Byte haben? Ich hab da einige drin, da ich den Computer gebraucht gekauft habe.

Gruß

Volker

[Stephan Reuter]

Zitat:

Zitat von Volker

Hallo Ihr,

ich finde bei mir unter im Windows Explorer unter Windows einen Ordner, den ich vorher nicht gesehen habe:

C:\WINDOWS\2E1054F643C24ABABC76EEBBD3A4885B.TMP

Kann mir einer sagen, was das ist, wo der herkommt, ob der dahingehört oder ob der sich da eingeschlichen hat?
Kann ich den rausschmeissen? Wenn ich ihn anklicke, ist nichts zu sehen daneben und bei Eigenschaften kommt 0 Byte.

kannst Du löschen.

Zitat:

Zitat von Volker

Generelle Frage: Kann ich alle solche oder ähnliche Ordner rausschmeissen, die unter Eigenschaften 0 Byte haben? Ich hab da einige drin, da ich den Computer gebraucht gekauft habe.
Gruß
Volker

In der Regel ja. Es gibt aber Programme, die solche Dateien brauchen.
Das kommt daher:
Es gibt mehrere Modi wie Computer/Programme mit Dateien umgehen.
Erstellung, (alles) Löschen, Hinzufügen
z.B. Es kann sein, dass ein Programm diese Datei erstellt hat und zukünftig nur noch hinzufügt. Falls die Datei aber nicht da ist, kann er nichts hinzufügen, ergo Fehler. Ein Programm welches aber keine Überprüfung davor macht zeugt normalerweise von schlechten Programmierstil.

Kommt aber nur relativ selten vor, in der Regel kannst Du solche Dateien löschen.
Nur bei Dateien innerhalb der Systemebene würde ich ein bisschen aufpassen.

[Seekreuzer]

Ja und Nein...

das Ja hat Stephan ja schon erläutert.

Ich sage immer Nein, insbesondere für alles was sich im Windows-Ordner befindet. Und generell: Was man nicht selbst angelegt hat, sollte man auch nicht löschen.
Die Felge am Auto hält auch scheinbar bombenfest, wenn man nur zwei Radschrauben verwendet...

Allerdings ist das dann auch die beste Gelegenheit für:

"Erstelle ein Backup oder gar Image Deiner Platte, dann kannst Du löschen was auch immer Du willst"


Alles was auf temp oder tmp endet, bin ich auch bereit zu löschen... aber nur, wenn Windows nicht läuft! Und das scheidet damit für die meisten User aus

[Volker]

Entschuldigt die dumme Frage - aber das oben geschilöderte ist dann wohl nicht der Trojaner, der bei mir immer noch drauf ist und immer beim Starten vom NortonAV isoliert wird?

Volker

[Stephan Reuter]

Zitat:

Zitat von Volker

Entschuldigt die dumme Frage - aber das oben geschilöderte ist dann wohl nicht der Trojaner, der bei mir immer noch drauf ist und immer beim Starten vom NortonAV isoliert wird?

Volker

Meinst Du die TMP Datei?

Sehr sehr sehr unwahrscheinlich. die Endung TMP ist bei Windows in aller Regel nicht ausführbar. (Zumindest habe ich noch kein Hallo.tmp gesehen, was ein eigenständiges Programm war )

http://www.sophos.de/virusinfo/analyses/

das ist ein ziemlich gutes AV-programm mit umfangreicher virendatenbank.

[Volker]

Hallo Computerspezialisten,
ich habe jetzt - glaube ich - meine Trojanerdatei gefunden, und zwar hat mir ja mein NortonAV immer 2 Dateien aufgezeigt:
C:\WINDOWS\SYSTEM\systemie.dat und ....\systemie.dll
Diese beiden konnte er nicht reparieren, aber isolieren. Aus dem Isolationsbereich konnte ich sie zwar löschen, aber beim nächsten Start waren sie wieder da und das Spiel ging von vorne los.

Auf der Suche nach diesen 2 Dateien bin ich bei dem o.g. Pfad auf eine Datei gestossen
....\systemie.exe (6KB, Anwendung, erstellt am 02.11.03 < Datum kommt hin)

So, und wenn ich diese Datei anklicke, geht sofort mein NortonAV auf und zeigt mir die beiden o.g. Dateien .dat und .dll an.

Was soll/kann ich jetzt damit tun?
Löschen?
Deinstallieren?
Umbenennen? Wie und wo?

Wäre schön, wenn mir jemand das ganz simpel Schritt für Schritt ohne Fachausdrücke, die ich eh nicht verstehe, erklären könnte.

Danke im Voraus

Volker