Seite 1 von 2
Virus, Trojaner ... ?
Verfasst: Mi 20. Apr 2005, 16:24
von burki
Hi,
mal wieder ein massives Problem mit W2K:
Download eines Files und natuerlich mit Kasparek getestet, doch anscheinend hat sich da doch etwas versteckt.
Konnte danach weder cmd, noch adaware, noch den Task-Manager (Button ist deaktiviert), Systemeinstellungen (nicht mehr in der Startbar), ... aufrufen.
Auch im abgesicherten Modus aendert sich da nichts.
Auf die Schnelle hab ich nichts entsprechendes finden koennen und jetzt laeuft eben (wohl noch einige Zeit) die Knoppix-CD mit Virenscan.
Hat jemand zufaellig einen Hinweis, Link ... fuer eine Loesung (ausser Neuinstallation) des Problems ?
Gruss
Burkhardt
Verfasst: Mi 20. Apr 2005, 16:28
von Caisa
hmmm...evtl mal Spybot herunterladen und damit versuchen oder xp-clean!
Gruß Caisa
Verfasst: Mi 20. Apr 2005, 22:29
von JoS
hi,
hat der vermeintliche Trojaner möglicherweise dein Benutzerkonto verändert und Dir die Rechte entzogen?
Gruß
Jochen
Re: Virus, Trojaner ... ?
Verfasst: Do 21. Apr 2005, 08:54
von luke
burki hat geschrieben:Hat jemand zufaellig einen Hinweis, Link ... fuer eine Loesung (ausser Neuinstallation) des Problems ?
schon versucht mit HijackThis den übeltäter zu finden?
ein ausdruck der StartupList wäre auch nicht schlecht um zu wissen was sich verändert hat während sich das oder die programme installierten.
http://www.spywareinfo.com/~merijn/downloads.html
http://www.trojaner-info.de/anleitungen ... orial.html
Gruß Luke
p.s.:leider bin ich kein profi darum keine besseren auskünfte, bitte um nachsicht.
Verfasst: Do 21. Apr 2005, 11:12
von burki
Hi,
sorry fuer das falsche Forum (doch bei hat dieser Rechner recht viel mit Audio und Video zu tun
).
Nach schlafloser Nacht konnte ich endlich Anhaltspunkte finden (kein einziger der Virenscanner fand den Wurm) --> es ist wohl der Win32VB.CZ, ein ekeliges Teil, da es praktisch alle notwendigen Zugriffe auf Systemdienste sperrt und das auch im abgesicherten Modus nur mit Konsole.
Konnte jetzt wenigstens Teile (oder wirklich alles ?) der Registry remotemaessig sauber wieder herstellen.
Gruss
Burkhardt
Re: Virus, Trojaner ... ?
Verfasst: Do 21. Apr 2005, 11:14
von luke
burki hat geschrieben:Hat jemand zufaellig einen Hinweis
hast du dir vielleicht das ding eingefangen:
http://wcm.krone.at/krone/C00/S22/A7/ob ... index.html
Gruß Luke
Verfasst: Do 21. Apr 2005, 11:24
von JoS
Hi Burki!
burki hat geschrieben:(kein einziger der Virenscanner fand den Wurm) --> es ist wohl der Win32VB.CZ
Das ist irgendwie erschreckend! Ist der Wurm vielleicht extrem neu oder alt?
Ich habe damals Norton AV gegen Kaspersky getauscht, nachdem ich mir über ein verseuchtes Werbebanner auf Map24 einen Trojaner-Downloader eingefangen habe. ZoneAlarm ist zum Glück angesprungen, sodass er nix nachladen konnte, aber Norton hat trotz aktuellster Definitionen und explizitem Scanbefehl nix bemerkt.
Hatte praktischerweise auch die Knoppix-CD aus der c't parat.
Aber wenn weder Kaspersky (immerhin mehrere Definitions-Updates täglich), noch die Knoppix-CD etwas finden, könnte man sich glatt Sorgen machen...
Gruß
Jochen
Verfasst: Do 21. Apr 2005, 11:55
von burki
Hi Jochen,
er scheint brandneu zu sein.
Bei Knoppix-CD hab ich natuerlich vor dem Scan upgraden lassen und alle drei scanner haben nichts gefunden.
Mir ist die betroffene Datei dann zwar schon aufgefallen (nctrup.exe) und erst heute morgen wurde diese dann von Kaspersky (nach upgrade) erkannt.
Problem bei dem Teil ist eben, dass nach Identifizierung kein Virenscanner mehr laeuft und der evtl. etwas unbedarfte user wie der Ochs vorm Berge steht (hab noch nicht herausgefunden, ob er sich ueber Windowsfreigaben verbreitet ...).
Gruss
Burkhardt
Vielleicht ganz passend dazu:
http://www.zdnet.de/news/security/0,390 ... 488,00.htm ...
Verfasst: Do 21. Apr 2005, 12:22
von luke
burki hat geschrieben:Mir ist die betroffene Datei dann zwar schon aufgefallen (nctrup.exe) und erst heute morgen wurde diese dann von Kaspersky (nach upgrade) erkannt.
Problem bei dem Teil ist eben, dass nach Identifizierung kein Virenscanner mehr laeuft und der evtl. etwas unbedarfte user wie der Ochs vorm Berge steht (hab noch nicht herausgefunden, ob er sich ueber Windowsfreigaben verbreitet ...).
mit einer Metasuchmaschine gerade gefunden(beim 3 eintrag von unten wird
nctrup.exe erwähnt):
http://club.cdfreaks.com/showthread.php?p=900007
Gruß Luke
Verfasst: Do 21. Apr 2005, 12:23
von bassy
JoS hat geschrieben:...Ist der Wurm vielleicht extrem neu oder alt?...
Wenn er alt wäre, würde er nichts mehr ausrichten, weil er für andrer Betriebssystem wäre, oder weil es halt
schon löngst Viren updates gegeben hätte!
MFG
Bassy