Virus !

[loui 10]

Hallo an alle.

 

Ich hab da mal ein Problem mit einem Virus und zwar soll es sich nach den Meldungen von F-Secure (laufendes Antivieren-Programm) um den Virus JS/SillyDownloader.D handel.

 

Dieser Virus hat sich beim Surfen (kein Download) in einen Unterordner in Temporary Internet Files reingeschrieben, dabei wurde das Antivieren-Programm ausgehebelt ( erst nach Neuinstallation lief es wieder ). Nachdem ich den Virenscanner wieder lauffähig hatte wurde der Virus auch gefunden und konnte auch desinfiziert bzw. gelöscht werden (habe mir vorher eine Kopie des Virus angelegt, Ordnerinhalt kann nur aufgelistet werden!).

Ein erneuter Virusscan über alle Platten brachte keine Virusmeldung, jedoch habe ich seit dem unerklärliche Funktionen z. B. popt ein Kontextmenü eines laufenden Programms auf und es beendet sich dann einfach, oder die Maus sprigt auf irgendein Fenster und öffnet irgendwas.

Habe schon im Netz nach Informationen zu diesem Virus gesucht aber nur eine Information zu dem Virus JS/SillyDownloader.C gefunden (Troj/Psyme-AI ), auf sophos.de.

Die dort beschriebenen Dateien sind bei mir nicht vorhanden, also muss diese Version schon was anderes machen.

Ein Versuch die Datei zu disassemblieren ist auch fehlgeschlagen, egal welches Programm ich genommen habe kam die Fehlermeldung, Zugriff verweigert (Ordner hatte leserechte). In den Eigenschaften des Virus ist zu sehen das dieser 289 Bytes gross ist jedoch auf der Festplatte 4 kB belegt.

 

Hat jemand Infos zu diesem Virus oder weiss jemand wie man so einen Virus knacken kann.

 

Alle Hinweise werden dankend angenommen.

[Dr Kiffer 10]

Also mit der reellen größe und der größe auf dem Datenträger ist schon richtig!! Jede datei hat bei deinem Dateisystem min. 4Kb an größe! Weil die kleinste Einheit deiner Platte bzw. deines Dateisystems 4Kb ist! Also keinen Grund zur Sorge! kannst ja mal einfach ne testdatei mit nur ein paar zeichen erstellen, da wirst du das auch wieder finden!!

 

Mit dem Zugriff verweigert würde ich dir mal den Prozess-Explorer empfehlen (mal bei google gucken) da kannst du mit ner suchfunbktion gucken welcher prozess oder welche datei grade auf diese Datei zugriff hat!

 

 

Gruß

 

Dr.Kiffer

[loui 10]

Ja richtig, im eifer des Gefechts nicht dran gedacht. Aber danke!

 

Es kann kein Prozess zugriff haben, da das umbenennen der Datei problemlos klappt, würde ja sonst auch ne Fehlermeldung bringen.

[pethfink 10]

hallo,

 

hatte vor wochen ein ähnliches problem.

norton, mcafee, f-prot meldeten keine viren.

 

da der rechner aber mit sicherheit verseucht war hab ich

nod bei http://www.nod32.de probiert.

siehe da, die viren! wurden gefunden und unschädlich gemacht.

 

alle scanner waren natürlich mit der neuesten signatur versorgt.

 

peter

[loui 10]

Danke für den Tip, aber Nod hat auch nichts gebracht. Keine Infizierten Dateien gefunden.

 

Habe jetzt auch unter geplante Tasks einen Task gefunden den ich nicht angelegt habe, er lässt sich aber nicht löschen und nicht öffnen.

Beim draufzeigen mit der Maus hab ich mal komische Zeichen in der rechten Anzeige (Zeitplan, Lezte Laufzeit, Ersteller) und mal nur das lezte Ergebnis.

[MCjens 10]

Hast du es mal mit Kaspersky AV versucht? Mit dem hatte ich bis jetzt die besten ergebnisse.

 

Extremfall ein Rechner hatte 19 Versch. Viren und Trojaner und Nortan sowie McAffee haben trotz aktueller Signatur null gefunden.

 

Such mal unter Google. Falls das nicht klappt nimm mal eScan.

findest du unter http://www.trojaner-info.de

 

 

MFG. Jens!

[Kerstin 10]

Original geschrieben von loui

Danke für den Tip, aber Nod hat auch nichts gebracht. Keine Infizierten Dateien gefunden.

 

Habe jetzt auch unter geplante Tasks einen Task gefunden den ich nicht angelegt habe, er lässt sich aber nicht löschen und nicht öffnen.

Beim draufzeigen mit der Maus hab ich mal komische Zeichen in der rechten Anzeige (Zeitplan, Lezte Laufzeit, Ersteller) und mal nur das lezte Ergebnis.

 

****e Frage vielleicht, aber hast du mal mit Spybot oder Adaware gescannt? Ich kenn den Virus nicht aber "downloader" hört sich danach an, das es ein Programm ist, das den eigentlichen Virus oder Spyware erstmal runterlädt...vielleicht ist das passiert? Und deswegen zickt alles rum?

ich nehme mal an, die Processview gibt nix her an verdächtigen Diensten?

[loui 10]

Hallo nochmal.

Also der geplante Task ist laut Logdatei ein "Seti.job". Ist wohl so ein auserirdischen *******ei der hier von einem vorgänger Admin installiert worden ist.

Das Problem ist jedoch das ich diesen nicht löschen kann, er hat in der Anzeige keinen Namen und beim daraufzeigen mit der Maus stürtzt der Explorer ab.

Hatte den Taskplanerdienst deaktiviert (ist er immer noch) aber das Ding läuft immer noch.

Habe auch schon auf diversen Seiten nachgeschaut die sich mit diesem Thema befassen, aber die scheinen eine Exe zu benötigen, die ist bei mir aber nicht vorhanden.

 

Und ich krieg das Ding nicht tot. Eine Neuinstallation wollte ich nicht machen (sehr viieeeeeeeel Aufwand, Tage).

 

Need help! :(

[gr@mlin 10]

hi,

 

Original geschrieben von loui

...Eine Neuinstallation wollte ich nicht machen (sehr viieeeeeeeel Aufwand, Tage).

 

Need help! :(

 

aber genau das würde ich dir empfehlen, wenn du mit dem system noch normal weiterarbeiten möchtest!

denn - vertrauen kannst du der kiste wohl nicht mehr.

dann lieber ein paar tage arbeit und danach ein entsprechend beruhigenderes feeling - meine meinung!

 

gruss, gr@mlin

 

[edit]

hab grad übrigens noch dies gefunden: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_JECT.A&VSect=T

google mal nach shellscript_loader, da gibts genug infos und exploits...