VIRENKILLER für Trojan.Win16.Edut gesucht!!!!

exacta · 04.12.2001, 09:49

bitte um Hilfe, wer weiss wie man den Trojan.Win16.Edut removen kann?

mfG,
exacta

efhol · 04.12.2001, 10:23

lad dir eine Trialversion herunter.

exacta · 04.12.2001, 11:22

@efhol:

hm, hab mir die lite version heruntergeladen, findet bis jetzt aber nix... die trialversion hat nur eine alte virendatenbank (vielleicht findet er deshalb nix?) und zum updaten brauch ich einen reg-key den ich logischerweise nicht habe...

mein ikarus meldet aber laufend das der trojan.win16.edut vorhanden ist... ich ruf mal bei ikarus an und frag was ache ist, jetzt zipfts mi schon gewaltig an...

mfG,
exacta

efhol · 04.12.2001, 11:32

das mit den Trialversionen ist leider so eine Sache...Ein paar Adressen von Anti-Trojanerseiten hätt ich noch, da gibts div. Scanner zum Download, auch einige Remover:
www.anti-trojan.net
www.th-security.de
www.trojaner-board.de
www.trojaner-info.de

ich hoffe du findest was!

exacta · 04.12.2001, 15:58

lösung gefunden:

FEHLER IM IKARUS!

der Virus wird irrtümlich angezeigt! Drum haben die anderen scanner auch nix gefunden! Das ist erst seit dem letzten update so, und lt. support ("macht nix, tut nix") muss man die neueste version (inkl. virendatenbank) nochmal herunterladen und neu installieren!

dabei vergessen die herrschaften aber dass man seinen kunden sowas vielleicht auch mitteilen sollte. der blöde guard hat nämlich unsere zeiterfassung gesperrt, und einfach so wollte ich ihn nicht deaktivieren, man kann ja nie wissen...

auf jeden fall mal vielen dank!

mfG,
exacta

efhol · 04.12.2001, 19:07

mein Scanner hat ein Update beim DHL98 als virenverseucht eingestuft, konnte den Virus allerdings nicht entfernen (war auch keiner), ich check seither immer bei
www.symantec.de
die haben einen Onlinescanner, ganz gut. Und die Trojanerscanner sind auch nicht genauer, Ants findet immer einer wahrscheinlichen Trojaner (Port 5000 offen), andere Programme nicht. Ist nicht so eindeutig, anfangs hatte ich eher ein mulmiges Gefühl dabei, jetzt denk ich mir "na solangs nicht den Bootsektor überschreibt...".
Schönen Abend noch

RaistlinMajere · 05.12.2001, 00:22

trojaner nisten sich dort in der registratur ein, wo alle progs, die beim windowsstart gestartet werden, angeführt sind und zwar unter "hkey_local_machine->software->microsoft->currentversion->run" oder "run_service"

kann nicht schaden, sich diesen pfad zu merken.

exacta · 05.12.2001, 09:46

@RaistlinMajere:
thx, stimmt, ist ein guter tip. nicht neu, aber gut!

aber lies mal folgenden fall (erst gestern erlebt):
ein kunde (Win89SE) hatte den W32.Badtrans.B (von dem wir zur Zeit geradezu überschwemmt werden

); ich also munter regedit gestartet, den eintrag bei run=kernel32.exe eliminiert, neu gebootet, nachgeschaut, virus war immer noch da! also das spiel wieder von vorne, run eintrag weggelöscht, eine zeile weitergeschaut und dann wieder zurück zum run: EINTRAG IS WIEDA DA! (i glaub i sauf!

Das derf ja net sein!!)
Dann im dosmodus neu gestartet, in c:\windows\system\ die files kernel32.exe und kdll.dll gekillt; win wieder gestartet, papierkorb geleert, gsd war er dann weg. ABER wie mach ich das bei win2k? da komm ich ja net "von aussen" auf die platte? vielleicht mit der konsole beim booten? ich denk mir so müsste es eigentlich funzen, oder? oder wird die registry bei der konsole auch abgearbeitet, so das der run-eintrag wieder zum zug kommt? (Hatte noch keinen fall diesbezügl., aber man will ja gerüstet sein für den fall das...)

mfG,
exacta

RaistlinMajere · 05.12.2001, 10:11

hab deine problematik zwar verstanden, nur was meinst du mit konsole vor dem booten? sorry, aber ich hab win2k nie wirklich im betrieb gehabt.
eine holzhackerlösung wäre es, es ebenso wie bei win98se zu machen, dazu müßtest du halt die ntfs-partition mit PM in fat32 umwandeln, dann die prozedur, wie du sie beschrieben hast, und dann wieder zurückwandeln (ob das geht, weiß ich jetzt ned, habs noch nicht gemacht, das fällt mir jetzt nur so auf die schnelle ein). muß aber auch eleganter gehen, denke ich.

exacta · 05.12.2001, 12:12

@RaistlinMajere:

Es gibt bei Win2k die Möglichkeit, änderungen am system via "wiederherstellungskonsole" zu machen, (für problembehebung wie z.b. unregister von treibern usw..., das alte problem mit dem evian.sys bzw. perfdisk.dll vom fasttrak...)

Konsole wird folgendermassen aktiviert:

1) Win2k-CD (Prof., Server, Advaned Server, Datacenter Server) ins CD-ROM-Laufwerk ein, Start, Ausführen und X:\i386\winnt32.exe /cmdcons eingeben; (X=CDrom-buchstabe)

2) Anweisungen folgen + danach bei Aufforderung den Rechner neustarten
3) Nun gibts im Boot-Menü von Windows 2000 einen neuen Eintrag "Microsoft Windows 2000 Wiederherstellungskonsole".
(Die konsoleninst. bruacht ca. 7 MB Festplattenspeicher)

Was ich bis jetzt nicht heruasgefunden habe ist, ob wenn mit der konsole gestartet wird die registry auch voll abgearbeitet wird, so dass ein etwaiger run= - eintrag auch aktiviert wird...

mfG,
exacta

04.12.2001, 09:49	#1
exacta Master Registriert seit: 20.02.2001 Ort: Western-Styria Beiträge: 561	VIRENKILLER für Trojan.Win16.Edut gesucht!!!! bitte um Hilfe, wer weiss wie man den Trojan.Win16.Edut removen kann? mfG, exacta

04.12.2001, 10:23	#2
efhol Veteran Registriert seit: 13.06.2001 Beiträge: 292	www.kaspersky.com lad dir eine Trialversion herunter. ____________________________________ mfg efhol

04.12.2001, 11:32	#4
efhol Veteran Registriert seit: 13.06.2001 Beiträge: 292	Tut mir leid, das mit den Trialversionen ist leider so eine Sache...Ein paar Adressen von Anti-Trojanerseiten hätt ich noch, da gibts div. Scanner zum Download, auch einige Remover: www.anti-trojan.net www.th-security.de www.trojaner-board.de www.trojaner-info.de ich hoffe du findest was! ____________________________________ mfg efhol

04.12.2001, 19:07	#6
efhol Veteran Registriert seit: 13.06.2001 Beiträge: 292	Das passiert schon mal, mein Scanner hat ein Update beim DHL98 als virenverseucht eingestuft, konnte den Virus allerdings nicht entfernen (war auch keiner), ich check seither immer bei www.symantec.de die haben einen Onlinescanner, ganz gut. Und die Trojanerscanner sind auch nicht genauer, Ants findet immer einer wahrscheinlichen Trojaner (Port 5000 offen), andere Programme nicht. Ist nicht so eindeutig, anfangs hatte ich eher ein mulmiges Gefühl dabei, jetzt denk ich mir "na solangs nicht den Bootsektor überschreibt...". Schönen Abend noch ____________________________________ mfg efhol

05.12.2001, 00:22	#7
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	mal generell gesagt trojaner nisten sich dort in der registratur ein, wo alle progs, die beim windowsstart gestartet werden, angeführt sind und zwar unter "hkey_local_machine->software->microsoft->currentversion->run" oder "run_service" kann nicht schaden, sich diesen pfad zu merken. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

04.12.2001, 11:22	#3
exacta Master Registriert seit: 20.02.2001 Ort: Western-Styria Beiträge: 561	@efhol: hm, hab mir die lite version heruntergeladen, findet bis jetzt aber nix... die trialversion hat nur eine alte virendatenbank (vielleicht findet er deshalb nix?) und zum updaten brauch ich einen reg-key den ich logischerweise nicht habe... mein ikarus meldet aber laufend das der trojan.win16.edut vorhanden ist... ich ruf mal bei ikarus an und frag was ache ist, jetzt zipfts mi schon gewaltig an... mfG, exacta

04.12.2001, 15:58	#5
exacta Master Registriert seit: 20.02.2001 Ort: Western-Styria Beiträge: 561	lösung gefunden: FEHLER IM IKARUS! der Virus wird irrtümlich angezeigt! Drum haben die anderen scanner auch nix gefunden! Das ist erst seit dem letzten update so, und lt. support ("macht nix, tut nix") muss man die neueste version (inkl. virendatenbank) nochmal herunterladen und neu installieren! dabei vergessen die herrschaften aber dass man seinen kunden sowas vielleicht auch mitteilen sollte. der blöde guard hat nämlich unsere zeiterfassung gesperrt, und einfach so wollte ich ihn nicht deaktivieren, man kann ja nie wissen... auf jeden fall mal vielen dank! mfG, exacta

05.12.2001, 09:46	#8
exacta Master Registriert seit: 20.02.2001 Ort: Western-Styria Beiträge: 561	@RaistlinMajere: thx, stimmt, ist ein guter tip. nicht neu, aber gut! aber lies mal folgenden fall (erst gestern erlebt): ein kunde (Win89SE) hatte den W32.Badtrans.B (von dem wir zur Zeit geradezu überschwemmt werden ); ich also munter regedit gestartet, den eintrag bei run=kernel32.exe eliminiert, neu gebootet, nachgeschaut, virus war immer noch da! also das spiel wieder von vorne, run eintrag weggelöscht, eine zeile weitergeschaut und dann wieder zurück zum run: EINTRAG IS WIEDA DA! (i glaub i sauf! Das derf ja net sein!!) Dann im dosmodus neu gestartet, in c:\windows\system\ die files kernel32.exe und kdll.dll gekillt; win wieder gestartet, papierkorb geleert, gsd war er dann weg. ABER wie mach ich das bei win2k? da komm ich ja net "von aussen" auf die platte? vielleicht mit der konsole beim booten? ich denk mir so müsste es eigentlich funzen, oder? oder wird die registry bei der konsole auch abgearbeitet, so das der run-eintrag wieder zum zug kommt? (Hatte noch keinen fall diesbezügl., aber man will ja gerüstet sein für den fall das...) mfG, exacta

05.12.2001, 10:11	#9
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	hab deine problematik zwar verstanden, nur was meinst du mit konsole vor dem booten? sorry, aber ich hab win2k nie wirklich im betrieb gehabt. eine holzhackerlösung wäre es, es ebenso wie bei win98se zu machen, dazu müßtest du halt die ntfs-partition mit PM in fat32 umwandeln, dann die prozedur, wie du sie beschrieben hast, und dann wieder zurückwandeln (ob das geht, weiß ich jetzt ned, habs noch nicht gemacht, das fällt mir jetzt nur so auf die schnelle ein). muß aber auch eleganter gehen, denke ich. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

05.12.2001, 12:12	#10
exacta Master Registriert seit: 20.02.2001 Ort: Western-Styria Beiträge: 561	@RaistlinMajere: Es gibt bei Win2k die Möglichkeit, änderungen am system via "wiederherstellungskonsole" zu machen, (für problembehebung wie z.b. unregister von treibern usw..., das alte problem mit dem evian.sys bzw. perfdisk.dll vom fasttrak...) Konsole wird folgendermassen aktiviert: 1) Win2k-CD (Prof., Server, Advaned Server, Datacenter Server) ins CD-ROM-Laufwerk ein, Start, Ausführen und X:\i386\winnt32.exe /cmdcons eingeben; (X=CDrom-buchstabe) 2) Anweisungen folgen + danach bei Aufforderung den Rechner neustarten 3) Nun gibts im Boot-Menü von Windows 2000 einen neuen Eintrag "Microsoft Windows 2000 Wiederherstellungskonsole". (Die konsoleninst. bruacht ca. 7 MB Festplattenspeicher) Was ich bis jetzt nicht heruasgefunden habe ist, ob wenn mit der konsole gestartet wird die registry auch voll abgearbeitet wird, so dass ein etwaiger run= - eintrag auch aktiviert wird... mfG, exacta

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)