Jump to content

Datei automatisch löschen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Tag

 

ich habe das Problem dass ich ein Trojaner auf dem Rechner habe, den ich nicht mehr weg bringe. Ich hab jedoch kein Bock alles neu zu installieren deshlab frag ich mich ob es möglich ist diese Datei genannt SndMon32.exe automtisch umbenennen, damit der Schreibschutz entfällt, und darauf löschen zu lassen. Mein Antivirenprogramm ist dazu leider nicht in der Lage. Die Datei nennt sich konstant immer gleich...

 

MfG & Thx

Link to comment
Original geschrieben von cat-taurus

@clooned

 

probiers doch einfach aus, wobei ich denke dank schreibschutz wirst du sie auch nicht umbenennen können.

also ich hab mal geschaut, was das sein soll und sophos gibt an diesen wurm entfernen zu können

http://www.sophos.de/virusinfo/analyses/w32forbotbu.html

 

Greetz Cat

 

Sophos kenn ich, das bringt nix, er findet den Virus nicht mal. Ich benutze F-Prot und der sagt mir wo der Virus ist, kann ihn jedoch nicht löschen. Also geh ich dort hin, ändere den Virus manuell um und lösch ihn dann... das muss ich alle paar tage so machen da ich nicht weiss wodurch er wieder ausgelöst wird. Deshalb dachte ich, dass ich ihn profisorisch mal automatisch umbendennen und dann löschen kann, das sollte doch möglich sein wenns manuell ja auch geht...

Link to comment

Hi,

 

also ich bin mir nicht sicher, aber ich hab den verdacht, du hast dir meinen link nicht richtig angeschaut.

 

original von sophos VirenlexikonW32/Forbot-BU ist ein Netzwerkwurm und ein IRC-Backdoortrojaner für die Windows-Plattform.

 

W32/Forbot-BU verbreitet sich über Netzwerkfreigaben, und indem er die LSASS-Software-Schwachstelle (MS04-011) ausnutzt. Der Wurm kann sich auch über Backdoors verbreiten, die von anderer Malware hinterlassen wurden.

 

Wenn er erstmals ausgeführt wird, kopiert sich W32/Forbot-BU als SndMon32.exe in den Windows-Systemordner. Damit er automatisch beim Start von Windows aktiviert wird, erstellt W32/Forbot-BU die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

 

Windows Sound Manager = SndMon32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

 

Windows Sound Manager = SndMon32.exe

 

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

 

Windows Sound Manager = SndMon32.exe

 

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

 

Windows Sound Manager = SndMon32.exe

 

 

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\

 

Windows Sound Manager = SndMon32.exe

 

also da steht doch wo er herkommt.

Hast du keine Firewall?

 

Grüße Cat

Link to comment

sorry da geb ich dir recht, ich wr früher schon mal auf der Sophos seite um updates wegen dem Virus zu suchen wurde aber nur bedingt fündig und deshalb hab ich den Link gleich wieder verworfen, danke fürs Nachhacken ;)

 

wenn sich der in der Registrierung festsetzt, reicht es, wenn ich diese key rauslösche?

 

ich hab ein hw firewall aber gewisse Ports offen... aber ich seh atmo keine andere Möglichkeit... hab sonst generell keine Probleme

Link to comment

Hi,

 

ja und nein.

 

Ja, weil die Reg-Schlüssel dafür sorgen, daß der Wurm beim nächsten Systemstart geladen wird.

 

Nein, weil solange der Prozeß des Wurmes noch läuft, er sicher dafür sorgt, daß die Einträge erneuert werden und

weil Du Dein System offensichtlich nicht auf aktuellen Stand gebracht hast, weshalb es immer wieder neu infiziert werden kann.

 

Ich schlage vor, Du beendest den Wurm-Prozeß und nutzt dann Windows-Update, um einen aktuellen Patchstand zu erreichen.

Dann kannst Du Dich versichern, daß Du nicht schon wieder infiziert wurdest, die Reg-Schlüssel sowie die Wurm-Datei löschen und neustarten.

 

Viel Spaß ;)

 

Sigma

Link to comment

@cloooned

 

original geschrieben von cloooned

sorry da geb ich dir recht, ich wr früher schon mal auf der Sophos seite um updates wegen dem Virus zu suchen wurde aber nur bedingt fündig und deshalb hab ich den Link gleich wieder verworfen, danke fürs Nachhacken

Kein Problem das dachte ich mir schon, als du sagtest:

da ich nicht weiss wodurch er wieder ausgelöst wird
:wink2:

 

unter anderem würde ich nach der ganzen patcherei und löscherei noch mal schauen ob dieser prozess auch aus dem Systemstart entfernt ist, also unter msconfig.

Wenn nicht, dann diesen auch rausnehmen und dann erst neustarten.

 

Grüße Cat

Link to comment
unter anderem würde ich nach der ganzen patcherei und löscherei noch mal schauen ob dieser prozess auch aus dem Systemstart entfernt ist, also unter msconfig.

Wenn nicht, dann diesen auch rausnehmen und dann erst neustarten.

 

Grüße Cat [/b]

 

das war das erste was ich gemacht habe, dort ist er zweimal eingetragen, hab ihn dort auch deaktiviert. Doch was die Patcherei betrifft, ich werd mich heute nochmals umsehen aber bisher habe ich im internet nur statements gefunden, dass der Virus existiert, nicht aber wie man ihn explizit bekämpfen und vernichten kann, aber ich werde mich nochmals drum kümmern, thx

 

MfG me

Link to comment

Hi cloooned

 

also nochmal....

von dem linkW32/Forbot-BU verbreitet sich über Netzwerkfreigaben, und indem er die LSASS-Software-Schwachstelle (MS04-011) ausnutzt. Der Wurm kann sich auch über Backdoors verbreiten, die von anderer Malware hinterlassen wurden.

 

so und dann schaust du hier::o

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

 

Grüße Cat

 

BTW ich bin mit meinem gepatchten rechner sehr zufireden und habe diesen wurm nicht, obwohl ich nur die SP2-firewall aktiv habe.

Link to comment
Original geschrieben von Sigma

Hi,

 

F-Secure bietet ein Programm zur automatischen Beseitigung an.

http://www.f-secure.com/v-descs/wootbot.shtml

 

Trotzdem fehlen Dir dann noch die Updates für XP, welche eine Neuinfektion über das Netzwerk verhindern.

 

Tschau,

 

Sigma

 

Also f-secure habe ich schonmal installiert, allerdings ist dann mein PC so abgestürzt, dass ich formatieren musste o_O, deshalb lass ich lieber die Finger davon.

 

Ich habe nun ein generelles WIndowsupdate gemacht.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...