WCM Forum - BDS/Osiris.B

WCM Forum (http://www.wcm.at/forum/index.php)

- Software (http://www.wcm.at/forum/forumdisplay.php?f=5)

- - BDS/Osiris.B (http://www.wcm.at/forum/showthread.php?t=64379)

hallo

ich habe folgenden virus: BDS/Osiris.B

davon befallen ist die \WINNT\SYSTEM32\KERNEL32.EXE datei

mein antivirenprogramm schlaegt vor dass ich die datei loeschen soll, da sie vom virus zerstoert wurde.
das sollte ich eher nicht, oder?

meine frage nun: ist es moeglich die datei kernel32.exe einfach von einem anderen Win2000Prof system auf meinen rechner spielen?

bzw. kann ich die datei im laufenden win200 selbst ueberschreiben?

danke
hurt

löschs die datei hat der virus erzeugt

hi

hab schon die beschreibung gefunden...

Description:
------------
Like other trojans, BDS/Osiris would potentially allow someone with malicious intent backdoor access to your computer and perform various operations (ie. opening and closing the CD-ROM drive). If executed, the trojan adds the following file to the \windows\%system% directory with hidden attributes, "kernel32.exe".

So that it gets run each time a user restart their computer the following registry key gets added:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
Kernel32=C:\WINDOWS\SYSTEM\kernel32.exe
------------

den registry eintrag hat der virenscanner schon beseitigt, und die kernel32.exe kann ich jetz auch einfach loeschen laut description, oder?

hallo nochmal

koennt ihr euch erklaeren warum seitdem ich diesen virus habe (obwohl er jetzt schon wieder weg ist) meine internetverbindung zum vergessen ist???

das nervt wirklich - so alle 3 minuten ist 1 minute stillstand, dann geht es wieder lahm weiter

ich bin froh dass ich diesen eintrag ueberhaupt taetigen konnte

was ist da los?

so, nochmal

hab in der registry noch folgenden eintrag gefunden

unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices

Name - (Standard)
Typ - REG_SZ
Wert - (Wert nicht gesetzt)

Name - KERNEL32
Typ - REG_SZ
Wert - KERNEL32.exe

soll ich diesen eintrag auch loeschen?

hallo nochmal

das problem mit der internetverbindung besteht noch immer (siehe oben)

die datei kernel32.exe ist geloescht und der virenscanner zeigt nichts mehr an

in der registry hab ich noch folgendes gefunden...

--- Suche nach "kernel32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
Name --- Typ --- Wert
(Standard) --- REG_SZ --- (Wert nicht gesetzt)
KERNEL32 --- REG_SZ --- KERNEL32.EXE

--- Suche nach "RunServices"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Applets\Regedit
Name --- Typ --- Wert
(Standard) --- REG_SZ --- (Wert nicht gesetzt)
FindFlags --- REG_DWORD --- 0x0000000e (14)
LastKey --- REG_SZ --- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
View --- REG_BINARY --- "binärer Wert"

---

das suchergebnis von "RunServices" hat also auch was mit der KERNEL32.EXE zu tun ("LastKey"), es ist auch das einzige suchergebnis

Bei "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Applets\Regedit" findet man nur noch einen unterordner "Favorites", also "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Applets\Regedit\Favorites", sonst nichts mehr.

wollte wissen ob ihr diese eintraege auch habt bzw. ob ich sie loeschen soll (Betriebssystem: Windows2000Professional SP2)

bitte um hilfe