Windll.exe durch Backdoor infiziert

Dieses Thema im Forum "Sicherheit" wurde erstellt von Powerline, 16. Dezember 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Powerline

    Powerline Kbyte

    Registriert seit:
    11. August 2002
    Beiträge:
    210
    Hi,
    auf meinem System ist die Windll.exe mit dem Backdoor Trojaner infiziert. Norton Antivirus sagt mir das ich die Datei löschen muss weil sie sich nicht mehr reparieren lässt. Kann ich die Datei löschen ? Hört sich nämlich ziemlich wichtig an die Datei.
    Ich bitte um Antwort
    Power
     
  2. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    Wie bereits durch Steele erwähnt und von mir kommentiert, ist mein Posting von der Ausdrucksweise her etwas "misslungen" - damit ist die Sache jetzt aber durch, oder will da NOCH jemand drauf herumreiten ?!?! ;-) ;-)

    Gruß,

    anakin_x4
     
  3. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Wenn sie als Systemdateien gelten und noch irgendwo in einem DLL-Cache hängen, kann es sein, daß Windows sie beim nächsten Start tatsächlich auch nach Löschung automatisch wiederherstellt... ein tolles Feature :-)
     
  4. Powerline

    Powerline Kbyte

    Registriert seit:
    11. August 2002
    Beiträge:
    210
    Schöne Diskussion führt ihr hier :)
    Ich weiss nur das nach entfernen der Registry und löschen der File mein System wieder Clean is , zum Glück !
    Danke für eure Hilfe !
     
  5. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo anakin_x4

    Du schreibst :"Nicht ganz : Windows legt aufgrund von Registry-Einträgen sogar recht häufig Dateien an "
    Ich denke, das kann man so nicht sagen.Hast Du dafür mal ein Beispiel ? Soweit ich weiß,erzeugt Windows zwar einzelne temporäre Dateien im Temp-Ordner, aber in dem Sinne, wie Du es schreibst, werden durch Registry-Einträge keine Dateien e r z e u g t .Sie müssen schon irgendwie in\'s System gebracht werden und können dann durch Registry-Einträge aufgerufen werden.Interessant ist dabei, dass es wesentlich mehr "Startrampen" für das Starten von Programmen in der Registry gibt,als allgemein bekannt ist.Jedenfalls reicht es nicht aus, nur die Run-und RunOnce-Einträge zu untersuchen.

    mfg franzkat
     
  6. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    Genau dieses meinte ich :-)

    Gruss,

    anakin_x4
     
  7. Gast

    Gast Guest

    Schnurz nicht, aber keinesfalls so, wie du das darstellst. Du verallgemeinerst zu sehr.

    Üblicherweise finden sich in der Registry lediglich die AUFRUFE einer EXE oder sonstiger Dateien mit Schadfunktion. Ist die Datei selbst gelöscht, ist der Aufruf nur noch Auslöser einer Fehlermeldung. Allerdings sichern viele Schädlinge ihren Fortbestand dadurch, dass sie entweder eine Datei starten, die ihrerseits erst den Schädling generiert oder dadurch, dass sie NEBEN dem Aufruf des Schädlings auch noch eine Datei starten, die bei Löschen des Schädlings neue Varianten mit abweichendem Namen generiert und deren Autostart wieder in der Registry verankert. In diesen Fällen muss natürlich der Hauptverursacher der Epidemie gefunden werden, damit die Registry nicht mehr manipuliert werden kann. Ein guter Virenscanner und das Studium der über den gefundenen Schädling veröffentlichten Daten auf der Seite des AV-Herstellers sollten da ausreichen.
    [Diese Nachricht wurde von Steele am 17.12.2002 | 01:22 geändert.]
     
  8. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    "Ich glaube, windll.exe ist sogar die Quelle. Und REG-Einträge nutzen gar nichts ohne die entsprechenden Dateien, somit ist ein REG-Eintrag schnurtz, würde ich sagen. "

    Nicht ganz : Windows legt aufgrund von Registry-Einträgen sogar recht häufig Dateien an - insofern sind diese nicht von schlechten Eltern. Und gerade Viren / Trojaner nutzen diese Möglichkeit, um sich hartnäckig und dauerhaft im System einzunisten. Da kannst Du Dateien löschen bis Du grün wirst ;-)
    Klar wird der Norton weiterhin brav die windows.dll als infiziert melden - aber das war}s dann auch ...
    Kleine Gute-Nacht-Lektüre :
    http://www.trojaner-info.de/archiv/girlfriend_135.html
    http://www.nsclean.com/psc-gf.html
    http://www.securityspace.com/smysecure/catid.html?id=10094
    http://www.glocksoft.com/trojan_list/GirlFriend.htm
    http://www.secadministrator.com/Panda/Index.cfm?FuseAction=Virus&VirusID=400
    Also meiner Meinung nach ist die Registry keineswegs schnurz ... oder ? ;-)

    Ebenfalls gute Nacht,

    anakin_x4
     
  9. petack

    petack Halbes Megabyte

    Registriert seit:
    1. Dezember 2000
    Beiträge:
    537
    überflüssigen\' Einträgen scannen. Ist aber schon zu lange her, dass ich was davon gelesen habe.

    Naja, gute Nacht.

    Ciao petack
     
  10. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    Schön und gut, nur leider sitzt der Bösewicht dann immer noch in der Registry - und beim nächsten Neustart ist wieder alles wie vorher ...

    Gruß,

    anakin_x4
    [Diese Nachricht wurde von anakin_x4 am 16.12.2002 | 23:38 geändert.]
     
  11. petack

    petack Halbes Megabyte

    Registriert seit:
    1. Dezember 2000
    Beiträge:
    537
    in Benutzung\' ist. Du entfernst sie dort und kannst die Datei dann im Verzeichnis löschen ;-)

    Ciao petack
     
  12. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    Nix wie weg damit ! Siehe hier : http://sophos.de/virusinfo/analyses/trojgf130b.html

    Gruß,

    anakin_x4
     
  13. Powerline

    Powerline Kbyte

    Registriert seit:
    11. August 2002
    Beiträge:
    210
    also kann ich die file problemlos löschen ??

    ich kann das file nicht löschen , es kommt ein fehler ?!??
    [Diese Nachricht wurde von Powerline am 16.12.2002 | 23:27 geändert.]
     
  14. Gast

    Gast Guest

    Diese Datei IST der Trojaner. Dass sie sich wichtig ANHÖRT, ist ja der grundlegende Trick der Trojaner, um nicht gelöscht zu werden. LÖSCHENNNNNNNNNNNNNNN!!!!!!
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen