Gelöscht und doch wieder da

Dieses Thema im Forum "Sicherheit" wurde erstellt von jean jaque, 26. September 2001.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. jean jaque

    jean jaque Kbyte

    Registriert seit:
    13. Juni 2000
    Beiträge:
    248
    Hi ihr,

    wie das nunmal so ist fängt man sich auch mal ein Virus ein, wenn man nach draußen ist. Aber ich habe jetzt zwei. OK, dafür war ich sonst immer virenfrei. Das war schön so.

    Hmm, aber was, wenn zwei Antiviren (NAV & AntiVir x.xx PE) es nicht fertigbrigen diese beiden Viren zu löschen oder sonst wie zu bekämpfen?
    Die Viren um die es geht sind:
    TR.Nuke.KillMe und
    Kit/SSIWG.
    Jeweils tauchen die beiden Viren in Dateien auf, die sich in Windows\Temp aufhalten. Wie gesagt fragten beie Scanner, ob die entsprechen Dateien gelöscht werden sollten. Natürlich ja. Aber nach einer Weile tauchten beide Viren wieder auf. Diesmal aber in anderen Dateien, immer *.EXE.
    Ich schließe daraus, dass irgentwo (nicht in Windows\temp) ist eine EXE, die mir diese netten Proggis beschehrt.

    Mir würde es auch reichen, wenn ich beim Booten einfach alle Dateien im Windows\temp-Verzeichnis löschen. Ich denke das gibt keine Probleme, oder doch? Dafür bräuchte ich aber ein Parameter, der es mir erlaubt, nicht beim Booten das Löschen zu bestätigen.

    Also, wenn jemad was weiß, dann bitte bitte bitte, sagt es mir. Noch ist zum Glück nix kaputt gegangen und es gibt nur normale Probleme mit Windows, wie immer also. Aber es wäre trotzdem schön diese Sachen wegzubekommen, vielleicht wird es ja bald ein Problem.

    Ciao & vielen Dank

    JJ
     
  2. Billy Gates

    Billy Gates Kbyte

    Registriert seit:
    4. August 2001
    Beiträge:
    261
    Als ehemaliger Hacker kann ich dir das leicht erklären.

    Der Torjaner TR.Nuke.KillMe oder auch Black Cat genannt, ist einer von vielen Spionen welcher von unterwickelten Arschlöcher auf Webseiten verwendet wird.
    Dabei infiziert man sich allein beim Betrachten der der Seite. U.U. kann der Webseitenersteller diesen Trojaner durch ein JAVA-Script so ausführen lassen, dass er sich gleich ins /Windows oder /Windows/System(32) einnistet.
    In deinem Fall vermute ich , dass ein Anfänger aus mangelnden Können den Trojaner so in den HTML-Code vernetzt hat, dass er sich "nur" ins Windows/Temp ladet, wo er dann als temporäre Datei aufscheint. Der Trojaner ist aber dennoch aktiv!
    Schau mal nach ob im Windows/Temporary Internet Files auch ein solcher vorhanden ist (müsste eigentlich sein).

    Schlussurteil: Wahrscheinlich hast du öfters die gleiche Seite besucht, wobei sich der Trojaner dann wieder neu installiert hat. Meistens findet man solche Trojaner auf Warez und XXX-Seiten.
    Dagegen kann man eigentlich nicht viel machen, denn ich kenne kein AV-Proggy welches die Temporären Dateien oder geöffnete WEbobjekte durchscannt (täuscht ich mich?).

    Gruss

    BG

    Irrtum vorbehalten
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen