WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Software (http://www.wcm.at/forum/forumdisplay.php?f=5)
-   -   ist das ein Virus ? (http://www.wcm.at/forum/showthread.php?t=60920)

SuperGrobi 26.06.2002 08:27
ist das ein Virus ?
 
Ich habe mir mit Kazaa einen Virus runtergeladen, der von keinem Virenscanner erkannt wird. Dieser Virus erzeugt Files im Kazaa Shared Folder und darim im certified ordner. Es sind jeweils ca. 156 Files, die den namen von diversen Programmen CloneCD Crack usw. Wenn ich die Files lösche, werden sie wieder neu erzeugt. Die Files haben alle eine Grösse von 20 kb.
Jedes mal beim start von Windows (XP) öffnet sich mehrmals ein DOS Fenster, nachdem falls man die Dateien gelöscht hatte, diese wieder neu erzeugt werden.
Ich hatte mir von Bitcom schon den Benjamin Killer runtergeladen, der hat aber nichts gefunden... Ist das eine neue Version von Benjamin ?

Hab auch schon gelesen, das die Platten bzw. Softwareindustrie selbst solche Files in umlauf bringt, um Kazaa oder andere P2P Börsen kaputt zu machen...

weis jemand, wie ich das teil wieder runterbekomme ?

cu
Grobi

kansas 26.06.2002 08:42
schick die files mal an den hersteller deiner antivirus-software. die können dir sicher weiterhelfen. bei NAI ists zb. webimmune

lg
andi

Ottwald 26.06.2002 10:04
probiers mal dort www.free-av.de

Ottwald 26.06.2002 10:07
probiers mal dort: www.free-av.de

enjoy2 26.06.2002 20:09
http://www.fprot.org/

Freeware Dosdiskette mit aktuellen Virensignatur

SuperGrobi 27.06.2002 08:26
es klappt nicht...

danke für die Hilfe, aber weder mit free-av, noch mit f-prot oder Noton wird der virus erkannt... der bleibt munter auf der platte und installiert sich wieder neu, wenn ich ihn lösche... ich sehe auch keine explorer.scr datei auf dem rechner, was ja eigentlich das markenzeichen vom Benjamin sein sollte...

Hiiiiiiiilfeeee

cu
Grobi

holzi 27.06.2002 08:42
Wie schon gesagt, schick´ das file an einen Antivirenhersteller (Norton, McAfee, f-prot,...) auf deren homepage findet man dei email-addresse für solche Virenmeldungen.

Oder www.kaspersky.com
Vielleicht ist es auch kein Virus, sondern spyware ->neue Version von Adware (www.lavasoft.de)


Wenn alles nichts hilft: Platte neu formatieren!

codo 27.06.2002 08:46
ja das ist ein virus hatte ihn auch schon ausserdem startet jedesmal ein programm mit dem namen explorer.scr und sendet daten durch die gegend scho auf der kazaa lite seite nach dort steht wie du ihn los wirst ich ahb ein update von antivir gemacht und der hat dann den rest von der festplatte eliminiert.
is aber halb so wild weiters solltest du ein update von kazaa auf 1.7.1 machen

Ottwald 27.06.2002 09:12
nimm doch kazaa lite die chip edition! die ist spywarebefreit und funzt genauso! gibts in der downloadabteilung von www.chip.de

SuperGrobi 27.06.2002 20:09
wer lesen kann...
 
wenn ich keine explorer.scr auf dem rechner habe, kann sie wohl auch nicht starten... ausserdem haben die files alle eine grösse von 20 KB beim Benjamin soll das wohl unterschiedlich sein.
ich hab jetzt mit norton ge-e-mailt und schick das teil heut abend da hin... mal sehen, was die sagen.. ich werd euch dann bescheid geben...
achso, kazaa lite benutze ich jetzt auch.. aber das schützt leider nicht davor, sich den virus einzufangen und erst recht nicht, wenn man ihn schon drauf hat... :)

cu
grobi

Ottwald 27.06.2002 20:23
...darum mit dem groben hobel über die festplatte und damm kazaa lite:cool:

Ottwald 27.06.2002 20:24
hoppala - das damm hätte dann heißen sollen. heut is scho so finsta:eek:

Dane 28.06.2002 13:24
Probier folgendes:
Start -> Ausführen -> "msconfig" (OHNE"") eingeben -> auf registerkarte "autostart" wechseln, hier kannst du alle programme die bei sysstart geladen werden deaktivieren!
Da du ja geschrieben hast das sich bei sysstart ein Dos fenster öffnet!

SuperGrobi 28.06.2002 20:12
geschafft !!!
 
Das aktuelle Norton Update findet den Virus jetzt... es ist ein IRC Trojan. Hab anhand der gefundenen virendateien auch den aufruf beim starten ausfindig machen können. der wurde in der registry HKLM\Software\Microsoft\Windows\CurrentVersion\Run mit der Datei Explorer32.exe aufgerufen.. als Schlüssel stand da irgendwas von Windows Update Build 11xy oder so...

Hab jetzt alle Dateien geloscht und auch keine startenden DOS Fenster mehr. Bei Norton stand dazu, das der Virus wohl über IRC Channel Befehle empfängt und je nachdem, wie er programmiert ist, eigentlich per Befehl alles machen kann... entpackt hatte der dann ca. 51 KB reicht wohl schon zum löschen und formatieren der Platte :) aber denke mal eher, der wird files verschickt haben...

Was mir noch aufgefallen ist, im Hauptverzeichnis C: wurde bei jedem start eine Datei moo.txt erzeugt, in der der "Programme" Ordner aufgelistet war... Also alles was im Verzeichnis Programme installiert war, stand in dieser Textdatei...

So langsam glaub ich nicht mehr, das der Virus von einem Hacker oder "Möchtegern" programmiert wurde, sondern eher IFPS oder sowas...
die Files, die erzeugt wurden, hatten alle Englische namen.

Hoffe hiermit auch anderen geholfen zu haben...
Danke Euch trotzdem.

cu
Grobi


Alle Zeitangaben in WEZ +2. Es ist jetzt 05:17 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag