Virus backdoor.agent.b

schera · 04.08.2004, 15:50

Hallo habe ein dummes Problem mit einen Trojaner ....
OS: W2K prof.
Dieser Kerl ist automatisch beim Start geladen und lässt sich nicht löschen.
Es kommen andauernd Virusmeldungen vom Symantec-Client.
Habe nun die Instruktionen von Symantec und weiteren Seiten probiert, allerdings lässt sich der Kerl einfach nicht entfernen.
z.B. in der Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
trägt er automatisch den Wert "AppInit_DLLs"="%System%\resmnt.dll" ein.
Wenn ich nun diesen Wert löschen möchte, erstellt sich dieser sofort wieder.
Also habe ich die Kiste im abgesicherten Modus hochgefahren (wo der Trojaner nicht mitgestartet wird) und versucht die dll-Datei manuell zu löschen, welche er mich ja unter einem normalen Start nicht löschen lässt.
Allerdings ist diese nicht mehr vorhanden !?!?
Etwaige Removal tools haben mir auch nichts gebracht.

Hat jemand einen Rat,

Danke & lG, schera

martin1190 · 04.08.2004, 15:58

Hallo

Hatte auch das Problem mit dem Trojaner weder mit Anti VirenKit 2004 oder mit Ad-aware habe ich das Ding weg bekommen nur eine neuinstallation mit sofortigen Virenupdate brachte den erfolg !!

MFG: MArtin

schera · 04.08.2004, 16:45

Phuu, also das ist ein Firmenrechner und den möchte ich sehr ... sehr ungern neu aufsetzen, da ja ansonsten alles funktioniert.
Eigentlich kommt ja nur diese Virenmeldung und der Antivirus ist auf aktuellsten Stand. Nur Symantec kann ihn nicht isolieren geschweige irgendwie säubern.

Gibts da keine andere Möglichkeit??

holzi · 04.08.2004, 16:58

schon mal die onlinescans diverser antivirenhersteller probiert? (mcafee, bitdefender usw.)

schera · 04.08.2004, 17:02

nein eigentlich nicht, aber diverse Removaltools diverser Hersteller.
Die Tools habe ich auch im Abgesicherten Modus ausgeführt ... aber da ist die Datei ja nicht vorhanden bzw. der Trojaner nicht aktiv.

Werde ich aber mal ausprobieren ... wobei mein Optimismus schwindet, da eben besagte Removaltools auch nichts brachten.

holzi · 04.08.2004, 17:06

hilft das auch nicht, probier folgendes:
mcafee superdat file downloaden, auf eine BartPE boot-CD kopieren, damit booten und das system scannen und ggf. bereinigen.

weiters probier noch alle spyware-remover (spybot, cwshredder, hijackthis ...)

holzi · 04.08.2004, 17:18

möglicherweise hast du auch schon irgendeine mutation von dem trojaner erwischt...

hast du schon removal tools von sophos oder datafellows probiert

martin1190 · 04.08.2004, 17:24

Hallo

Anbei ein Link scheinbar bist dun icht der einzige wie schon oben geschrieben bei mir hat nur eine neuinstallation gefunkt !!

http://www.virus-aktuell.de/frame.ph...tml?1090528839

MFG: MArtin

Nando · 04.08.2004, 17:26

Zitat:

Original geschrieben von schera
Die Tools habe ich auch im Abgesicherten Modus ausgeführt ... aber da ist die Datei ja nicht vorhanden bzw. der Trojaner nicht aktiv.

In irgendnem File muss er ja sein...auch im abgesichterten Modus...er kann ja nicht aus heiterem Himmel kommen. Er ist wahrscheinlich nur nicht aktiv, da ja im abgesichterten Modus nur eine Minimalkonfiguration geladen wird. Aber auf der Festplatte selbst muss er in irgendeiner Form vorliegen.

EDIT: Eine Möglichkeit wäre über Knoppix (oder ähnliches) zu booten, und von dort das dll-File zu löschen. Das müsste auf jeden Fall hinhauen.

schera · 04.08.2004, 17:32

Tja, das ist ja das extrem komische.
Ich weiss ja welche DLL da spinnt, allerdings im abgesicherten Modus ist die Datei futsch ...

Werde mal die Removaltools von Shopos & co starten.
Hat da irgendwer einen direktlink ...

danke schera

04.08.2004, 15:50	#1
schera Veteran Registriert seit: 03.07.2000 Alter: 47 Beiträge: 430	Virus backdoor.agent.b Hallo habe ein dummes Problem mit einen Trojaner .... OS: W2K prof. Dieser Kerl ist automatisch beim Start geladen und lässt sich nicht löschen. Es kommen andauernd Virusmeldungen vom Symantec-Client. Habe nun die Instruktionen von Symantec und weiteren Seiten probiert, allerdings lässt sich der Kerl einfach nicht entfernen. z.B. in der Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows trägt er automatisch den Wert "AppInit_DLLs"="%System%\resmnt.dll" ein. Wenn ich nun diesen Wert löschen möchte, erstellt sich dieser sofort wieder. Also habe ich die Kiste im abgesicherten Modus hochgefahren (wo der Trojaner nicht mitgestartet wird) und versucht die dll-Datei manuell zu löschen, welche er mich ja unter einem normalen Start nicht löschen lässt. Allerdings ist diese nicht mehr vorhanden !?!? Etwaige Removal tools haben mir auch nichts gebracht. Hat jemand einen Rat, Danke & lG, schera

04.08.2004, 15:58	#2
martin1190 Master Registriert seit: 13.10.2002 Ort: zurzeit noch Wien vs Kärnten Alter: 50 Beiträge: 616	Trojaner Hallo Hatte auch das Problem mit dem Trojaner weder mit Anti VirenKit 2004 oder mit Ad-aware habe ich das Ding weg bekommen nur eine neuinstallation mit sofortigen Virenupdate brachte den erfolg !! MFG: MArtin

04.08.2004, 16:58	#4
holzi Inventarisierter Pyromane Registriert seit: 18.02.2000 Ort: Smørebrød, Smørebrød, Smørebrød røm, pøm, pøm, pøm, pøm Beiträge: 5.581 Mein Computer	schon mal die onlinescans diverser antivirenhersteller probiert? (mcafee, bitdefender usw.) ____________________________________ Wenn die Bierwirtin ein minderwertiges, dem Getreidepreis nicht entsprechendes Bier verkauft, soll sie überführt und alsdann im Flusse ertränkt werden. Hamurabi, 1768-1686 v. Chr.

04.08.2004, 17:06	#6
holzi Inventarisierter Pyromane Registriert seit: 18.02.2000 Ort: Smørebrød, Smørebrød, Smørebrød røm, pøm, pøm, pøm, pøm Beiträge: 5.581 Mein Computer	hilft das auch nicht, probier folgendes: mcafee superdat file downloaden, auf eine BartPE boot-CD kopieren, damit booten und das system scannen und ggf. bereinigen. weiters probier noch alle spyware-remover (spybot, cwshredder, hijackthis ...) ____________________________________ Wenn die Bierwirtin ein minderwertiges, dem Getreidepreis nicht entsprechendes Bier verkauft, soll sie überführt und alsdann im Flusse ertränkt werden. Hamurabi, 1768-1686 v. Chr.

04.08.2004, 17:18	#7
holzi Inventarisierter Pyromane Registriert seit: 18.02.2000 Ort: Smørebrød, Smørebrød, Smørebrød røm, pøm, pøm, pøm, pøm Beiträge: 5.581 Mein Computer	möglicherweise hast du auch schon irgendeine mutation von dem trojaner erwischt... hast du schon removal tools von sophos oder datafellows probiert ____________________________________ Wenn die Bierwirtin ein minderwertiges, dem Getreidepreis nicht entsprechendes Bier verkauft, soll sie überführt und alsdann im Flusse ertränkt werden. Hamurabi, 1768-1686 v. Chr.

04.08.2004, 16:45	#3
schera Veteran Registriert seit: 03.07.2000 Alter: 47 Beiträge: 430	Phuu, also das ist ein Firmenrechner und den möchte ich sehr ... sehr ungern neu aufsetzen, da ja ansonsten alles funktioniert. Eigentlich kommt ja nur diese Virenmeldung und der Antivirus ist auf aktuellsten Stand. Nur Symantec kann ihn nicht isolieren geschweige irgendwie säubern. Gibts da keine andere Möglichkeit??

04.08.2004, 17:02	#5
schera Veteran Registriert seit: 03.07.2000 Alter: 47 Beiträge: 430	nein eigentlich nicht, aber diverse Removaltools diverser Hersteller. Die Tools habe ich auch im Abgesicherten Modus ausgeführt ... aber da ist die Datei ja nicht vorhanden bzw. der Trojaner nicht aktiv. Werde ich aber mal ausprobieren ... wobei mein Optimismus schwindet, da eben besagte Removaltools auch nichts brachten.

04.08.2004, 17:24	#8
martin1190 Master Registriert seit: 13.10.2002 Ort: zurzeit noch Wien vs Kärnten Alter: 50 Beiträge: 616	Trojaner Hallo Anbei ein Link scheinbar bist dun icht der einzige wie schon oben geschrieben bei mir hat nur eine neuinstallation gefunkt !! http://www.virus-aktuell.de/frame.ph...tml?1090528839 MFG: MArtin

04.08.2004, 17:32	#10
schera Veteran Registriert seit: 03.07.2000 Alter: 47 Beiträge: 430	Tja, das ist ja das extrem komische. Ich weiss ja welche DLL da spinnt, allerdings im abgesicherten Modus ist die Datei futsch ... Werde mal die Removaltools von Shopos & co starten. Hat da irgendwer einen direktlink ... danke schera

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln