win32:Maleware-gen
 

Hallo zusammen!

Ich soll/möche einen PC von einem Virus befreien.
Avir meldet den Win32:Mailware-gen in der Datei C:\windows\system32\netapi32.dll

Zwei Probleme treten dabei auf: Avir kann diese Datei weder reparieren noch verschieben.

Und ich komme mit dem PC nicht ins Internet, weil die ADSL Verbindung nicht reagiert. Und ich kann auch keine neue ADSL Verbindung einrichten. Das System reagiert auf die entsprechenden Eingaben nicht.

Jetzt bin ich ein bisserl ratlos. Könnt ihr mir hier weiterhelfen?

lg Miguel

am besten ein sauberes system von cd/dvd (zb. knoppix) booten und mit den enthaltenen virenscanner den rechner reinigen

Zu pc.nets Tip einige Adressen:

Von CD und Offline:
Avira Rescue System
http://www.avira.de/de/support/support_downloads.html
F-Secure Rescue CD:
http://www.f-secure.com/linux-weblog...rescue-cd-311/
Knoppicillin
http://www.heise.de/software/downloa..._edition/37894
Dr.Web Live CD
http://www.freedrweb.com/livecd/?lng=en

http://www.processlibrary.com/de/dir...netapi32/21334

ist klar, dass du nicht ins Internet kommst, weil dies Avira blockiert
könnte auch sein, dass dies ein Fehleralarm von Avira ist

mit einer LiveCD booten und System von anderen Virenscanner prüfen lassen, ist sicher eine gute Idee, findet diese nichts, würde ich Avira die Datei ignorieren lassen und auf der Webseite zu Avira schicken - wenn es ein Fehlalarm ist, dann wird dies mit einem Signatureupdate behoben.

sobald du die Datei von Avira ignorieren lässt, sollte auch eine Internetzugang wieder funktionieren
Vorsicht, wenn es ein Virus sein sollte, dann hat dieser natürlich auch Zugang zum Netz

schon mal mit dem abgesicherten modus probiert? so kannst sie sicher verschieben, löschen

Danke für die Tipps.

Ich habe von ct' eine Notfalls CD mit Anti Viren Programmen, mit der werde ich als nächstes mein Glück versuchen. Ich denke, dass ich damit auch die infizierte Datei weg bekomme, da diese CD mit einem integrierten Betriebssystem läuft.

Ich frag mich nur, ob ich durch Löschen oder Verschieben dieser Datei die Lauffähigkeit des Ursprungssystems gefährde. Die Netapi32.dll muss ich vermutlich durch eine nicht infizierte Version ersetzen.

Kann es sein, dass die Infektion dieser Datei ausschlaggebend dafür ist, dass sich die ADSL-Verbindungen nicht mehr aktivieren lassen?

Soviele Fragen. Ich werde also zuerst mit der Notfall-CD den Virus beseitigen und dann darauf hoffen, dass das XP halbwegs normal startet. Dann sehen wir weiter.

Ist der Plan so o.k.?

zur Frage ADSL Verbindung, siehe Link von mir 2 Posting oberhalb deines

imho guter Plan, ich würde mir noch die VersionsNr. der netapi32.dll aufschreiben, damit du diese vergleichen kannst, wenn du dir diese downloaden möchtest, zB. hier http://de.nodevice.com/dll/netapi32_dll/item390.html
Eine Überprüfung dieser Datei aus dem Netz ist wahrscheinlich kein Fehler ;)

Hallo zusammen.

Ich sitze jetzt vor dem infiziertem PC.
Ich habe ihn über die Desinfec't CD gebootet und die Autoscan Option gewählt.
Avir hat mit Fehlermeldungen abgebrochen (die Fehlermeldungen lassen auf die nicht funktionierende Internetverbindung schließen)

Zur Zeit lauft (hoffe ich) gerade BitDefender. Leider gibt es hier keinen Fortschrittsbalken oder keine Prozente. Der Durchlauf dauert jetzt schon ca. 1 Stunde. Die Festplatte rattert brav. Also nehme ich mal an, dass der Scan läuft.

Anschließend sollte die Autoscan Option auch noch Kaspersky zum Einsatz bringen (wenn das ohne Internetverbindung funktioniert).

Schauen wir einmal, wie sich das entwickelt.

Ist es normal, dass das Scannen der Festplatte so lange dauert?

Nachdem Bit Defender nach einer Stunde und sechs Minuten fertig war, hat er einen Virenfund gemeldet.
Allerdings hat er den Virus nicht entfernt, wie ein Teststart des Betriebssystems gezeigt hat.

Irgendwie scheint die CD ohne Internetzugang nicht ordentlich zu funktionieren.

Ich versuche jetzt einmal die Datei unter der Linuxoberfläche händisch umzubenennen bzw. zu verschieben. Mal sehen , ob das etwas hilft.

Auf der BootCD in meiner Signatur, OmniBoot, ist auch Avira integriert. Das funktioniert auch ohne Internet, Stand der Virensignaturen ist etwa 25.3.

edit: nicht in der Mini-Version enthalten, sondern nur in Maxi oder Mega

Tja, das umbenennen und verschieben hat dazu geführt, dass xp nicht mehr hochfährt. Jetzt hoffe ich, dass ich das wieder rückgängig machen kann....:eek:

ich habe satt der infizierten Version eine Version aus einem Ordner "LastGood" ins Verzeichnis system32 kopiert.

Jetzt startet der Computer wieder und auch die Internetverbindung ist wieder verfügbar.

Ich muss jetzt nur noch checken, ob der Virus noch da ist. Immerhin ist die infizierte Version der Datei ja noch auf der Festplatte ...

Hast Du keine ältere Sicherung, von der Du eine saubere Datei holen könntest?
Wenn Du mir die Version mitteilst könnte ich Dir die Datei, wenn´s paßt, senden.
Gutes Gelingen jedenfalls!

ah, schade.

Während des finalen checks durch Avast ist der Computer abgestürzt.

Beim Neustart hat checkdiskt "Fehler" korrigiert.

Danach war der Virus wieder vorhanden und die Internet-Verbindung inaktiv.

Ich sehe zwei Möglichkeiten:

1. Zufall: Der Absturz kam zufällig bei 98% des Virusscans (immerhin wurde die von mir umbenannte Datei und ein Exemplar in einem Recovery-Verzeichnis erkannt und in Quarantäne verbannt)

2. Hartnäckigkeit: Der Virus wurde von anderer Stelle (z.B. Registry) wieder aktiviert.

Ich sehe jetzt zwei weitere Vorgangsweisen.

Entweder ich führe das Procedere nochmals durch (infizierte Datei ersetzen)

Oder ich fertige mir eine Antivirus-CD an, die keine Internetverbindung benötigt.

Für Rat und Hilfe bin ich dankbar.

lg Miguel

imho solltest du mit der Desinfect CD Erfolg haben können

ja, die benötigt eine Verbindung zum Internet, aber braucht dafür keine Daten, welche auf der Festplatte vorhanden sind, dh. diese funktioniert auch ohne die Datei von WinXP

Die Konfiguration des Netzwerkanschlusses sollte eigentlich automatisch erfolgen, insbesondere, wenn du dein ADSL Modem als Router verwendest, sonst ist vielleicht ein wenig Handarbeit notwendig

zur Dauer, ja es kann sehr lange dauern, bei einem Notebook einer Bekannten habe ich die drei Scans über die Nacht laufen lassen

wegen Fehlermeldungen beim Scannen, lies dir auch die FAQ auf der Desinfekt Homepage durch

Naja, die desinfect CD ist halt schon ziemlich in die Jahre gekommen. Zudem schien mir, der TO habe kein Internet verfügbar, weil ansonsten kann ich noch hinzufügen, dass Avira auf Omniboot natürlich auch über Internet updatet, falls verfügbar, aber dafür halt auch die moderneren Treiber an Bord hat.

Falls kein Interesse an OmniBoot besteht, Avira-Rescuesystem-CD (täglich top-aktuelle Version)

´
Ihr habt Recht: Der Internetzugang über ADSL sollte eigentlich konfigurierbar sein. Es handelt sich halt um so eine DFÜ-Verbindung, und die sind manchmal ein bisserl mühsam ...

Ich hab mir jetzt einmal die AVIRA-Rescuesystem-CD gebrannt, und werde damit einen Versuch machen.

(Aber irgendwie hege ich noch immer den Verdacht, dass der Absturz in Verbindung mit checkdisk den Virus quasi wiederhergestellt haben ...)

hmm, erschienen mit Heft 2/2010 ist imho noch nicht in die Jahre gekommen,
du meinst wohl Knoppicillin ;)

im Prinzip ist es egal, welche CD/DVD er nimmt, Vorteil bei desinftec´t wäre, dass 3 Virenscanner nach Viren scannen

Das Problem mit dem Internet wird imho daran liegen, dass das ADSL Modem nicht als Router installiert ist und darum nicht automatisch erkannt wird.

die Avira CD wird wohl die einfachste Möglichkeit sein, downloaden, brennen, booten

Das kann schon sein, daher sind Viren nur mit so einer autonom bootenden Lösung sicher zu entfernen.

der Absturz wird die Datei nicht wiederhergestellt haben, imho ist der Virus nicht nur in der einen Datei, sondern versteckt auch in einer anderen
beim Booten wird geprüft, ob die Datei noch infiziert ist, wenn nicht, wird diese wiederhergestellt und das "Spiel" beginnt von vorne

darum empfehlen viele bei Virenbefall das System zu löschen und neu zu installieren

Es wäre natürlich simpler zu identifizieren, wenn jeweils ein Link zum Gemeinten gepostet würde ;)

http://www.heise.de/software/download/desinfect/71642

;)

Verstehe ich das richtig, dass es das nur zur c't dazu gibt und nicht zum freien Download?

jop, aus lizenz-technischen Gründen, wird auf der Homepage erklärt

nach dem Miguel diese DVD zu besitzen scheint, schreibe ich darüber

Alles klar. Steht eh dort ;), sorry. Ich habe bei der Erstellung von OmniBoot nur eine alte Rescue-CD bei c't als download gefunden, die war unbrauchbar für die Integration. Mein Ansinnen ist es ja, an der besten "Repair-CD" auf freeware-Basis zu arbeiten. Da bin ich ganz nervös, wenn ich wo was frei verfügbares übersehen hätte ;)

Und in irgend einer Weise lizenzpflichtiges Zeug, noch dazu gekoppelt an einen Kauf, ist natürlich kein Mitbewerb für OmniBoot :D

sehr mysteriös. Ich habe mit dem Avira Rescuesystem einen Suchlauf durchgeführt. Dabei wurde kein Virus gefunden.

Beim normalen Start des Windows war dann auch nix von einem Virus zu merken.

Ich hab dann noch alles auf Aktualität überprüft.

Bei der Firewall ZoneAlarm wurde mir ein Update angeboten, dass "Schwierigkeiten mit der Internetverbindung im Zusammenspiel mit einem MS Sicherheitsupdate" für XP behebt.

Gestern habe ich unter anderem auch Fehlermeldungen von ZoneAlarm bekommen.

Irgenwie scheint das Problem für mich damit aus drei Kompontenten zu bestehen:

Der Virus
Ein Sicherheitsupdate von MS
die Firewall

Bin schon gespannt, wie sich das weiterentwickelt.

Diese zwei Tools vielleicht versuchen: http://www.wcm.at/forum/showpost.php...9&postcount=31 ?

Es scheint jetzt alles zu funktionieren.

Ich wollte noch das SP2 für XP installieren. Leider bricht die Installation mit Fehler ab....

Der Fehlercode ist 0x800703E7

und deutet auf einen beschädigten Datenträger hin.

Interessant, muss ich mal überprüfen