Hiiiilfe - Virus

[TomM]

Es gibt in einem System keine systemie.dll oder systemie.dat, das sind die Trojanerdaten!

Und... ich hab noch nie ein Problem gehabt weil ich *.tmp oder *.temp gelöscht habe, die Proggies, die das brauchen erstellen die immer neu - und wenn halbwegs sauber Programmiert, dann löscht es auch die nicht mehr benötigten temporären dateien wieder. Alles was sich im Ordner TMP oder TEMP befindet kann eh raus.

Unter Win2K gibt es auch noch einen in "DOKUMENTE UND EINSTELLUNGEN / USER / ALL und in den eingerichteten Usern, dort wohnen auch die cookies und wat noch all.

Einfacher Trick: Umbebennen Windoof neu starten und alle Programme einmal öffen, wenn's geht wech damit.

[le loup]

Zitat:

Zitat von Volker

....aber beim nächsten Start waren sie wieder da und das Spiel ging von vorne los.

Auf der Suche nach diesen 2 Dateien bin ich bei dem o.g. Pfad auf eine Datei gestossen
....\systemie.exe (6KB, Anwendung, erstellt am 02.11.03 < Datum kommt hin)

So, und wenn ich diese Datei anklicke, geht sofort mein NortonAV auf und zeigt mir die beiden o.g. Dateien .dat und .dll an.

Was soll/kann ich jetzt damit tun?
Löschen?
Deinstallieren?
Umbenennen? Wie und wo?

du hast es erkannt, der eigentliche übeltäter ist die *.exe datei.
diese wird beim hochfahren des systems jedesmal gestartet und erzeugt die beiden von norton angemeckerten dateien.

du kannst sie umbenennen in *.ex#
die störenden *.dll von norton "isolieren" lassen
und dann einen neustart machen.

mit etwas glück siehst dann sogar ne fehlermeldung
"datei blahfasel konnte nicht gestartet werden" oder so ähnlich.

nun kommt der zweite teil der reinigung.
höchstwahrscheinlich findest du keinen passenden eintrag im verzeichnis autostart, aber nachsehen kann nicht schaden.

wahrscheinlich ist der startbefehl in der registry versteckt.
also das programm regedit anwerfen,
dann im zweig HKLM suchen nach den schlüsseln "Run" und "RunServices"
dort wirst du wahrscheinlich dein schätzchen finden
und kannst dann den kram löschen.
du kannst auch gleich im zweig HKLM nach dem dateinamen suchen lassen.

vielleicht harmoniert die wartungssoftware "regcleaner" mit deinem system. die findest du in den archiven von pc-welt, zdnet, heise
und ist natürlich freeware
programm anchmeissen, auf schaltfläche [autostart] klicken
und voila - du siehst, was da alles gestartet wird.

auf der homepage http://www.jv16.org/
des finnischen programmierers findest du die nachfolgeversion. die läuft garantiert auch mit WinXP. die shareware bietet 30 tage uneingeschränkte funktion.

viel glück
le loup
[/b]

[Volker]

Also: ich habe die *.exe-Datei wie gesagt umbenannt, die beiden .dat und .dll waren sowieso schon isoliert, weil sonst mein PC nicht vollständig hochfährt. Dann habe ich Neustart hgemacht - und sofort ist NortonAV wieder aktiv geworden. Als ich im Explorer nachsah, war die geänderte Datei schön an ihrem Platz und mit .exe dran (ohne meine Änderung und selbst im Datum hinten hat sich nix getan.

SDann habe ich bei Windows regedit nach HKLM gesucht, aber das gibt es da nicht - es stehen nur 5 oder 6 verschiedene Ordner mit HKEY drin.

Und nu???

Volker
ratlos

[Seekreuzer]

Spiele Dein Backup auf!

(ok...ok... war sarkastisch und nicht ernst gemeint.... )

[Volker]

Jetzt habe ich nochmal vor meinem letzten Posting die Datei geändert, danach noch mal nachgesehen - ohne Neustart - und siehe da: die Änderung war wieder weg! Das exe stand hinten dran als wäre nix geschehen und auch am Datum hat sich nix geändert.

Geändert - runtergefahren - rauf gefahren > wieder NortonAV

@Marcus: weisst Du da was? Kann ich Dich da mal anrufen, wie Du mir angeboten hast? Wenn ja, wann und welche Nummer (PN?)

Hilfloser Volker

Zitat:

Zitat von Volker

Jetzt habe ich nochmal vor meinem letzten Posting die Datei geändert, danach noch mal nachgesehen - ohne Neustart - und siehe da: die Änderung war wieder weg! Das exe stand hinten dran als wäre nix geschehen und auch am Datum hat sich nix geändert.

Geändert - runtergefahren - rauf gefahren > wieder NortonAV

@Marcus: weisst Du da was? Kann ich Dich da mal anrufen, wie Du mir angeboten hast? Wenn ja, wann und welche Nummer (PN?)

Hilfloser Volker

Moin Volker,

Du musst nach "run" suchen, und "ganze Zeichenfolge vergleichen" aktivieren.

Ich bin auch der Meinung, wie Onkel "Lou", von da aus wird das Teil gestartet.

Ruf aber trotzdem Markus an.

[Volker]

Also - ich habe gerade mit telefonischer Hilfe von Seekreuzer-Markus es geschafft, die Datei durch eine andere, gleichnamige, zu ersetzen und diese schreibgeschützt und siehe da: beim Hochfahren spricht mein NortonAV nicht mehr an!

Jetzt habe ich zwar noch den Trojaner irgendwo im System, aber er ist (hoffentlich) unschädlich.

Da er wohl an mehreren Stellen sich festgesetzt hat und sich immer wieder regeniert - schon kurz nach Dateinamensänderung war diese weg und der alte Name stand wieder da (auch ohne Neustart) - wird es wohl ein großes Problem geben, das Ding in all seinen Verstecken aufzustöbern. Wer weiß denn schon, welche Buchstabenkombinationen benutzt werden...


Danke, Markus und alle anderen


Volker

[le loup]

Zitat:

Zitat von Volker

...
Dann habe ich bei Windows regedit nach HKLM gesucht, aber das gibt es da nicht - es stehen nur 5 oder 6 verschiedene Ordner mit HKEY drin.

Und nu???

Volker
ratlos

HKLM ist die Abkürzung für HKEY_LOCAL_MACHINE

offenbar wird zunächst noch was anderes als übeltäter gestatet.

du müsstest die einträge in folgendem pfad finden
(kann aber - je nach version - auch etwas anders sein)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

oder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices

und bei diesen schlüsseln dann die einzelnen einträge ansehen.

hast du denn schon die homepages der diversen antivirenprogrammhersteller abgeklappert?
dort gibt es meist eine suchfunktion.
da trägst du den oder die fraglichen dateinamen ein und wirst dann, bei treffer, zur seite mit entsorgungsanleitung geschickt.



have fun

le loup