loui 10 Posted August 6, 2004 Report Share Posted August 6, 2004 Hallo an alle. Ich hab da mal ein Problem mit einem Virus und zwar soll es sich nach den Meldungen von F-Secure (laufendes Antivieren-Programm) um den Virus JS/SillyDownloader.D handel. Dieser Virus hat sich beim Surfen (kein Download) in einen Unterordner in Temporary Internet Files reingeschrieben, dabei wurde das Antivieren-Programm ausgehebelt ( erst nach Neuinstallation lief es wieder ). Nachdem ich den Virenscanner wieder lauffähig hatte wurde der Virus auch gefunden und konnte auch desinfiziert bzw. gelöscht werden (habe mir vorher eine Kopie des Virus angelegt, Ordnerinhalt kann nur aufgelistet werden!). Ein erneuter Virusscan über alle Platten brachte keine Virusmeldung, jedoch habe ich seit dem unerklärliche Funktionen z. B. popt ein Kontextmenü eines laufenden Programms auf und es beendet sich dann einfach, oder die Maus sprigt auf irgendein Fenster und öffnet irgendwas. Habe schon im Netz nach Informationen zu diesem Virus gesucht aber nur eine Information zu dem Virus JS/SillyDownloader.C gefunden (Troj/Psyme-AI ), auf sophos.de. Die dort beschriebenen Dateien sind bei mir nicht vorhanden, also muss diese Version schon was anderes machen. Ein Versuch die Datei zu disassemblieren ist auch fehlgeschlagen, egal welches Programm ich genommen habe kam die Fehlermeldung, Zugriff verweigert (Ordner hatte leserechte). In den Eigenschaften des Virus ist zu sehen das dieser 289 Bytes gross ist jedoch auf der Festplatte 4 kB belegt. Hat jemand Infos zu diesem Virus oder weiss jemand wie man so einen Virus knacken kann. Alle Hinweise werden dankend angenommen. Quote Link to comment
Dr Kiffer 10 Posted August 6, 2004 Report Share Posted August 6, 2004 Also mit der reellen größe und der größe auf dem Datenträger ist schon richtig!! Jede datei hat bei deinem Dateisystem min. 4Kb an größe! Weil die kleinste Einheit deiner Platte bzw. deines Dateisystems 4Kb ist! Also keinen Grund zur Sorge! kannst ja mal einfach ne testdatei mit nur ein paar zeichen erstellen, da wirst du das auch wieder finden!! Mit dem Zugriff verweigert würde ich dir mal den Prozess-Explorer empfehlen (mal bei google gucken) da kannst du mit ner suchfunbktion gucken welcher prozess oder welche datei grade auf diese Datei zugriff hat! Gruß Dr.Kiffer Quote Link to comment
loui 10 Posted August 6, 2004 Author Report Share Posted August 6, 2004 Ja richtig, im eifer des Gefechts nicht dran gedacht. Aber danke! Es kann kein Prozess zugriff haben, da das umbenennen der Datei problemlos klappt, würde ja sonst auch ne Fehlermeldung bringen. Quote Link to comment
pethfink 10 Posted August 6, 2004 Report Share Posted August 6, 2004 hallo, hatte vor wochen ein ähnliches problem. norton, mcafee, f-prot meldeten keine viren. da der rechner aber mit sicherheit verseucht war hab ich nod bei http://www.nod32.de probiert. siehe da, die viren! wurden gefunden und unschädlich gemacht. alle scanner waren natürlich mit der neuesten signatur versorgt. peter Quote Link to comment
loui 10 Posted August 6, 2004 Author Report Share Posted August 6, 2004 Danke für den Tip, aber Nod hat auch nichts gebracht. Keine Infizierten Dateien gefunden. Habe jetzt auch unter geplante Tasks einen Task gefunden den ich nicht angelegt habe, er lässt sich aber nicht löschen und nicht öffnen. Beim draufzeigen mit der Maus hab ich mal komische Zeichen in der rechten Anzeige (Zeitplan, Lezte Laufzeit, Ersteller) und mal nur das lezte Ergebnis. Quote Link to comment
MCjens 10 Posted August 9, 2004 Report Share Posted August 9, 2004 Hast du es mal mit Kaspersky AV versucht? Mit dem hatte ich bis jetzt die besten ergebnisse. Extremfall ein Rechner hatte 19 Versch. Viren und Trojaner und Nortan sowie McAffee haben trotz aktueller Signatur null gefunden. Such mal unter Google. Falls das nicht klappt nimm mal eScan. findest du unter http://www.trojaner-info.de MFG. Jens! Quote Link to comment
Kerstin 10 Posted August 9, 2004 Report Share Posted August 9, 2004 Original geschrieben von loui Danke für den Tip, aber Nod hat auch nichts gebracht. Keine Infizierten Dateien gefunden. Habe jetzt auch unter geplante Tasks einen Task gefunden den ich nicht angelegt habe, er lässt sich aber nicht löschen und nicht öffnen. Beim draufzeigen mit der Maus hab ich mal komische Zeichen in der rechten Anzeige (Zeitplan, Lezte Laufzeit, Ersteller) und mal nur das lezte Ergebnis. ****e Frage vielleicht, aber hast du mal mit Spybot oder Adaware gescannt? Ich kenn den Virus nicht aber "downloader" hört sich danach an, das es ein Programm ist, das den eigentlichen Virus oder Spyware erstmal runterlädt...vielleicht ist das passiert? Und deswegen zickt alles rum? ich nehme mal an, die Processview gibt nix her an verdächtigen Diensten? Quote Link to comment
loui 10 Posted August 10, 2004 Author Report Share Posted August 10, 2004 Hallo nochmal. Also der geplante Task ist laut Logdatei ein "Seti.job". Ist wohl so ein auserirdischen *******ei der hier von einem vorgänger Admin installiert worden ist. Das Problem ist jedoch das ich diesen nicht löschen kann, er hat in der Anzeige keinen Namen und beim daraufzeigen mit der Maus stürtzt der Explorer ab. Hatte den Taskplanerdienst deaktiviert (ist er immer noch) aber das Ding läuft immer noch. Habe auch schon auf diversen Seiten nachgeschaut die sich mit diesem Thema befassen, aber die scheinen eine Exe zu benötigen, die ist bei mir aber nicht vorhanden. Und ich krieg das Ding nicht tot. Eine Neuinstallation wollte ich nicht machen (sehr viieeeeeeeel Aufwand, Tage). Need help! :( Quote Link to comment
gr@mlin 10 Posted August 10, 2004 Report Share Posted August 10, 2004 hi, Original geschrieben von loui ...Eine Neuinstallation wollte ich nicht machen (sehr viieeeeeeeel Aufwand, Tage). Need help! :( aber genau das würde ich dir empfehlen, wenn du mit dem system noch normal weiterarbeiten möchtest! denn - vertrauen kannst du der kiste wohl nicht mehr. dann lieber ein paar tage arbeit und danach ein entsprechend beruhigenderes feeling - meine meinung! gruss, gr@mlin [edit] hab grad übrigens noch dies gefunden: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_JECT.A&VSect=T google mal nach shellscript_loader, da gibts genug infos und exploits... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.