Viren die man im Windows nicht löschen kann...
Moderatoren: Tantalusss, Mighty, Thies, mara, Gandalf
Viren die man im Windows nicht löschen kann...
...hab ich auf meinem Rechner . Kann mir da jemand helfen ?
Sind zwei Würmer und ich kann sie (die infizierten Dateien) im Windows nicht löschen geschweige denn mit Norton AntiVirus unter Quaratäne stecken weil sie andauernd "benutzt" werden...
Ich hatte das Problem vor nem Monat schonmal und hab formatiert
Ich hoffe ihr habt mir ne Alternative...
Sind zwei Würmer und ich kann sie (die infizierten Dateien) im Windows nicht löschen geschweige denn mit Norton AntiVirus unter Quaratäne stecken weil sie andauernd "benutzt" werden...
Ich hatte das Problem vor nem Monat schonmal und hab formatiert
Ich hoffe ihr habt mir ne Alternative...
- MyBrainHurts
- Magier(in)
- Beiträge: 1459
- Registriert: Do 16.08.2001 - 08:39
- Wohnort: Wien
Mache lieber Disketten mit dem Prog wenn du NAV 2002 hast sehhr veraltet bei Nav 2003 könnte er sie noch finden.
Im Bios Das Cdrom als Boot LW Einrichten
Fprot fur Dos währe auch noch was.
Was für Virus sind es den.
Vileicht hilft auch im Abgesicherten Modus zu starten.
PS:
Aber der Hardnäckigste Virus ist Windows Selber der läst sich fast nicht entvernen.
Naja Format C: ist aber nur Symtombekämpfung
Im Bios Das Cdrom als Boot LW Einrichten
Fprot fur Dos währe auch noch was.
Was für Virus sind es den.
Vileicht hilft auch im Abgesicherten Modus zu starten.
PS:
Aber der Hardnäckigste Virus ist Windows Selber der läst sich fast nicht entvernen.
Naja Format C: ist aber nur Symtombekämpfung
- Shadow-of-Iwan
- Erzengel
- Beiträge: 6393
- Registriert: Fr 10.08.2001 - 22:20
- Kontaktdaten:
- hafensaenger
- Erzengel
- Beiträge: 7175
- Registriert: Di 21.05.2002 - 14:15
- Wohnort: Fate2 Vers. 17.07.2007
- Kontaktdaten:
Tipp:
Einer der Viren hat in der Windows Registry einen Eintrag gemacht, der EXE-Files nur ausführen lässt, wenn auch die Virendatei vorhanden ist. Beachten Sie beim Durchführen der nun folgenden Schritte, dass eine Fehlmanipulation in der Windows Registry schwerwiegende Folgen haben kann. Machen Sie am besten vorher im Registry-Editor übers Menü «Registrierung/Registrationsdatei exportieren» eine Sicherung.
Tipp:
1. Wenn du keine EXE-Dateien ausführen kannst, mache von der Datei C:\Windows\REGEDIT.EXE eine Kopie namens REGEDIT.COM.
2. Menü Start, «Ausführen», REGEDIT.COM eingeben und Enter drücken.
3. Gehe zum folgenden Schlüssel (muss *genau* so heissen):
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
4. Doppelklicke auf den Eintrag, der in der rechten Regedit-Fensterhälfte erscheint.
5. Ändere den Wert so, dass nur noch genau dies drinsteht: "%1" %*
Hinweis: Das erste und letzte Anführungzeichen brauchst du nicht ins Feld zu tippen. Der Eintrag muss nach der Änderung genau wie im obigen Bild aussehen.
6. Schliesse den Registry Editor und starte deinen PC neu
Wegen der evtl. grossen Anzahl Viren solltest du dein System unbedingt noch mit einem zweiten guten und frisch aktualisierten Virenscanner überprüfen, um sicher zu stellen, dass du alle erwischt hast.
http://www.free-av.de/
http://www.virus-aktuell.de/frame.php3? ... trend.html
http://www.trojaner-info.de/viren/virentipps.shtml
MFG
Jens
Einer der Viren hat in der Windows Registry einen Eintrag gemacht, der EXE-Files nur ausführen lässt, wenn auch die Virendatei vorhanden ist. Beachten Sie beim Durchführen der nun folgenden Schritte, dass eine Fehlmanipulation in der Windows Registry schwerwiegende Folgen haben kann. Machen Sie am besten vorher im Registry-Editor übers Menü «Registrierung/Registrationsdatei exportieren» eine Sicherung.
Tipp:
1. Wenn du keine EXE-Dateien ausführen kannst, mache von der Datei C:\Windows\REGEDIT.EXE eine Kopie namens REGEDIT.COM.
2. Menü Start, «Ausführen», REGEDIT.COM eingeben und Enter drücken.
3. Gehe zum folgenden Schlüssel (muss *genau* so heissen):
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
4. Doppelklicke auf den Eintrag, der in der rechten Regedit-Fensterhälfte erscheint.
5. Ändere den Wert so, dass nur noch genau dies drinsteht: "%1" %*
Hinweis: Das erste und letzte Anführungzeichen brauchst du nicht ins Feld zu tippen. Der Eintrag muss nach der Änderung genau wie im obigen Bild aussehen.
6. Schliesse den Registry Editor und starte deinen PC neu
Wegen der evtl. grossen Anzahl Viren solltest du dein System unbedingt noch mit einem zweiten guten und frisch aktualisierten Virenscanner überprüfen, um sicher zu stellen, dass du alle erwischt hast.
http://www.free-av.de/
http://www.virus-aktuell.de/frame.php3? ... trend.html
http://www.trojaner-info.de/viren/virentipps.shtml
MFG
Jens
"We choose our joys and sorrows
long before we experience them."
- Kahlil Gibran-
long before we experience them."
- Kahlil Gibran-
hey, ich habe auch so ein ding, das nennt sich "trickler.exe", ist unlöschbar und will andauernd ins internet. das kann ich zwar verhindern, aber es nervt!
ich habe es schon hingekriegt, das ding aus der startleiste zu verbannen wo es sich versteckt hatte (also dass es sich beim windows-start nich selbst ausführt) trotzdem kommt es ab und zu vor, dass meine firewall eine "verdächtige aktivität" von trickler.exe meldet.
ich habe schon alles versucht, aber es will nicht weggehen! mein cousin (von beruf system-administrator) hat's auch nicht geschafft.
hat jemand irgendeinen tipp für mich oder kennt die datei?
ich vermute, dass ich sie mir auf einer hacker-seite eingefangen habe, wo man hingerät wenn man z.B. mit google nach bestimmten mp3s sucht.
ich habe es schon hingekriegt, das ding aus der startleiste zu verbannen wo es sich versteckt hatte (also dass es sich beim windows-start nich selbst ausführt) trotzdem kommt es ab und zu vor, dass meine firewall eine "verdächtige aktivität" von trickler.exe meldet.
ich habe schon alles versucht, aber es will nicht weggehen! mein cousin (von beruf system-administrator) hat's auch nicht geschafft.
hat jemand irgendeinen tipp für mich oder kennt die datei?
ich vermute, dass ich sie mir auf einer hacker-seite eingefangen habe, wo man hingerät wenn man z.B. mit google nach bestimmten mp3s sucht.
Danke erstmal,
Ich bin vorher ins DOS und hab 2 verseuchte Dateien erstmal umbenannt und nach erfolgreichem Neustart hab ich sie dann(auch im Dos - ich hab Windows ME) gelöscht.
Nachdem ich dann erneut meine Platte nach Viren durchsucht habe konnte ich alles isolieren. Ich brauch jetzt nur noch eine neue Win.ini , die ist auch infiziert.
Weiß jemand ob ich die von nem anderen PC (mit Win XP) einfach so ziehen kann oder gibt des Konflikte ?
EDIT: Ach ja, die Viren heißen:
- "W32.Opaserv.Worm"
- "W95.Spaces.1445"
Ich bin vorher ins DOS und hab 2 verseuchte Dateien erstmal umbenannt und nach erfolgreichem Neustart hab ich sie dann(auch im Dos - ich hab Windows ME) gelöscht.
Nachdem ich dann erneut meine Platte nach Viren durchsucht habe konnte ich alles isolieren. Ich brauch jetzt nur noch eine neue Win.ini , die ist auch infiziert.
Weiß jemand ob ich die von nem anderen PC (mit Win XP) einfach so ziehen kann oder gibt des Konflikte ?
EDIT: Ach ja, die Viren heißen:
- "W32.Opaserv.Worm"
- "W95.Spaces.1445"
Nö da in der XP Win.ini stedt nur drin Load= und Run=
Also wenn Du ME hat kannst Du im versteckten Ortner dort wo Windoof ME die Systemwiderherstellung's Points Dateien Aufbewart.
suchen
PS:
Es gibt ein Tool auf dem C'T server www.Heise.de
Mit dem man Dateien die nicht löschbar sind weil uinter zugriff
löschen kann.
So jetzt bin ich 4 Tage Offline hab MyLady im Haus den ist der PC sowiso Tabu.
Also wenn Du ME hat kannst Du im versteckten Ortner dort wo Windoof ME die Systemwiderherstellung's Points Dateien Aufbewart.
suchen
PS:
Es gibt ein Tool auf dem C'T server www.Heise.de
Mit dem man Dateien die nicht löschbar sind weil uinter zugriff
löschen kann.
So jetzt bin ich 4 Tage Offline hab MyLady im Haus den ist der PC sowiso Tabu.
- hafensaenger
- Erzengel
- Beiträge: 7175
- Registriert: Di 21.05.2002 - 14:15
- Wohnort: Fate2 Vers. 17.07.2007
- Kontaktdaten:
W32/Opaserv-J
Alias
W32/Opaserv.worm.gen
Typ
Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird ab Version März 2003 (3.67) in Sophos Anti-Virus enthalten sein.
Zum jetzigen Zeitpunkt hat Sophos keine Meldungen von Anwendern erhalten, die von diesem Wurm betroffen sind. Dieser Hinweis wird aufgrund von Kundenanfragen an unsere Supportabteilung herausgegeben.
Hinweis: In dieser Virenkennung ist die Erkennung für W32/Opaserv-J und W32/Opaserv-K enthalten.
Kommentar
W32/Opaserv-J ist ein Mitglied der Virenfamilie W32/Opaserv. Wenn er gestartet wird, kopiert sich W32/Opaserv-J als svr32.exe in den Windows-Ordner und setzt den folgenden Registrierungseintrag, so dass er automatisch beim Start von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
\Svr32= C:\Windows\svr32.exe
W32/Opaserv-J verbreitet sich über das Internet mit Hilfe von Windows Netzwerkfreigaben. Der Wurm kopiert sich als svr32.exe in den Windows-Ordner auf dem Remote-Computer und setzt den folgenden Eintrag im Abschnitt [Windows] der win.ini:
run=C:\Windows\svr32.exe
Durch diesen Eintrag startet der Wurm auf dem Remote-Computer, sobald Windows startet.
W32/Opaserv-J versucht ältere Varianten des W32/Opaserv-Wurms zu entfernen, indem er folgende Dateien aus den Windows-Ordner entfernt:
alevir.exe
scrsvr.exe
brasil.exe
Die folgenden Registrierungseinträge werden ebenfalls entfernt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SCRSVR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ALEVIR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BRASIL
Wiederherstellung
Lesen Sie bitte die Hinweise zum Entfernen von Würmern.
Schließen Sie vor der Desinfektion alle Internet-Verbindungen.
Wiederherstellen der win.ini
Klicken Sie in der Taskleiste mit der rechten Maustaste auf "Start" und wählen Sie "Explorer". Suchen Sie im Windows-Ordner nach Win.ini und öffnen Sie die Datei im Notepad. Suchen Sie im Abschnitt [Windows] nach dem Verweis auf "run=C:\Windows\svr32.exe".
Wiederherstellen der Registrierung
Sie müssen außerdem folgenden Registrierungseintrag löschen.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie den Schlüssel HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Svr32= C:\Windows\svr32.exe
und löschen Sie ihn, sofern er existiert.
Schließen Sie den Registrierungseditor.
Nach dem Wiederherstellen der win.ini und der Registrierung
Starten Sie den Computer neu.
Überprüfen der freigegebenen Laufwerke auf Windows 95/98/Me
Sie sollten alle offenen freigegebenen Laufwerke auf Ihrem Computer überprüfen, besoders die, die offen für das Internet sind.
Klicken Sie in der Taskleiste mit der rechten Maustaste auf "Start" und wählen Sie "Explorer". Suchen Sie Ihr Laufwerk C:, klicken Sie mit der rechten Maustaste auf das Laufwerksymbol und wählen Sie "Eigenschaften". Klicken Sie auf die Registerkarte "Freigabe". Wenn C: freigegeben ist heben Sie die Freigabe auf. Tun Sie dasselbe für allen weiteren lokalen Festplatten. Außer beim Windows-Ordner ist die Freigabe von Ordnern kein Problem.
____________________________________________________
Alias
PE_Spaces.1633
Typ
Windows-95-Exe-Dateivirus
Erkennung
Wird seit Januar 2000 von Sophos Anti-Virus erkannt.
Resident
Ja
Kommentar
W95/Spaces infiziert ausführbare Dateien (*.EXE).
Am 1. Juni überschreibt der Virus den Masterbootrecord (MBR) mit einem Sektor, der zwar keinen ausführbaren Code enthält, jedoch eine beschädigte Partitionstabelle. Die Festplatte kann somit nicht mehr ordentlich booten, bis der MBR repariert ist.
Wiederherstellung
Lesen Sie bitte die Hinweise zur Desinfektion von PE-Viren.
Alias
W32/Opaserv.worm.gen
Typ
Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird ab Version März 2003 (3.67) in Sophos Anti-Virus enthalten sein.
Zum jetzigen Zeitpunkt hat Sophos keine Meldungen von Anwendern erhalten, die von diesem Wurm betroffen sind. Dieser Hinweis wird aufgrund von Kundenanfragen an unsere Supportabteilung herausgegeben.
Hinweis: In dieser Virenkennung ist die Erkennung für W32/Opaserv-J und W32/Opaserv-K enthalten.
Kommentar
W32/Opaserv-J ist ein Mitglied der Virenfamilie W32/Opaserv. Wenn er gestartet wird, kopiert sich W32/Opaserv-J als svr32.exe in den Windows-Ordner und setzt den folgenden Registrierungseintrag, so dass er automatisch beim Start von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
\Svr32= C:\Windows\svr32.exe
W32/Opaserv-J verbreitet sich über das Internet mit Hilfe von Windows Netzwerkfreigaben. Der Wurm kopiert sich als svr32.exe in den Windows-Ordner auf dem Remote-Computer und setzt den folgenden Eintrag im Abschnitt [Windows] der win.ini:
run=C:\Windows\svr32.exe
Durch diesen Eintrag startet der Wurm auf dem Remote-Computer, sobald Windows startet.
W32/Opaserv-J versucht ältere Varianten des W32/Opaserv-Wurms zu entfernen, indem er folgende Dateien aus den Windows-Ordner entfernt:
alevir.exe
scrsvr.exe
brasil.exe
Die folgenden Registrierungseinträge werden ebenfalls entfernt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SCRSVR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ALEVIR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BRASIL
Wiederherstellung
Lesen Sie bitte die Hinweise zum Entfernen von Würmern.
Schließen Sie vor der Desinfektion alle Internet-Verbindungen.
Wiederherstellen der win.ini
Klicken Sie in der Taskleiste mit der rechten Maustaste auf "Start" und wählen Sie "Explorer". Suchen Sie im Windows-Ordner nach Win.ini und öffnen Sie die Datei im Notepad. Suchen Sie im Abschnitt [Windows] nach dem Verweis auf "run=C:\Windows\svr32.exe".
Wiederherstellen der Registrierung
Sie müssen außerdem folgenden Registrierungseintrag löschen.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie den Schlüssel HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Svr32= C:\Windows\svr32.exe
und löschen Sie ihn, sofern er existiert.
Schließen Sie den Registrierungseditor.
Nach dem Wiederherstellen der win.ini und der Registrierung
Starten Sie den Computer neu.
Überprüfen der freigegebenen Laufwerke auf Windows 95/98/Me
Sie sollten alle offenen freigegebenen Laufwerke auf Ihrem Computer überprüfen, besoders die, die offen für das Internet sind.
Klicken Sie in der Taskleiste mit der rechten Maustaste auf "Start" und wählen Sie "Explorer". Suchen Sie Ihr Laufwerk C:, klicken Sie mit der rechten Maustaste auf das Laufwerksymbol und wählen Sie "Eigenschaften". Klicken Sie auf die Registerkarte "Freigabe". Wenn C: freigegeben ist heben Sie die Freigabe auf. Tun Sie dasselbe für allen weiteren lokalen Festplatten. Außer beim Windows-Ordner ist die Freigabe von Ordnern kein Problem.
____________________________________________________
Alias
PE_Spaces.1633
Typ
Windows-95-Exe-Dateivirus
Erkennung
Wird seit Januar 2000 von Sophos Anti-Virus erkannt.
Resident
Ja
Kommentar
W95/Spaces infiziert ausführbare Dateien (*.EXE).
Am 1. Juni überschreibt der Virus den Masterbootrecord (MBR) mit einem Sektor, der zwar keinen ausführbaren Code enthält, jedoch eine beschädigte Partitionstabelle. Die Festplatte kann somit nicht mehr ordentlich booten, bis der MBR repariert ist.
Wiederherstellung
Lesen Sie bitte die Hinweise zur Desinfektion von PE-Viren.
"We choose our joys and sorrows
long before we experience them."
- Kahlil Gibran-
long before we experience them."
- Kahlil Gibran-