Windows-Datei plötzlich virenbefallen?

Dieses Thema im Forum "Sicherheit" wurde erstellt von tommyma, 25. März 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. tommyma

    tommyma Guest

    Hallo,
    wir haben bei einem Freund vor ein paar Tagen auf seinem älteren Win98-Rechner AntiVir PE (aktuellste Version) installiert. Es wurden ein paar Viren und Trojaner gefunden.
    ABER: Plötzlich meldet AntiVir beim Rechnerstart, daß die Datei "WIN86.dll" ein Trojaner sei und bietet verschiedene Optionen an. Egal, was man wählt, es führt zum Totalabsturz, Neustart nur mit Reset-Taste möglich. Startet man den Rechner abgesichert und benennt z.B. diese Datei um, gelingt der nächste Rechnerstart ohne Probleme aber danach ist die Datei wieder neu generiert worden und wird dann natürlich beim nächsten Start wieder als Trojaner erkannt usw usw usw. :aua: Wir haben sie nun in den AntVir-Einstellungen von der Suche ausgeschlossen, aber das kann es ja nicht sein, oder?

    Weiß jemand, ob die WIN86.dll wirklich zum Win98 gehört und wieso die plötzlich ein Trojaner sein soll, obwohl seit Jahren kein Problem mit dieser Datei war?
    Und natürlich, wie wir das Problem los werden können?

    Danke und schöne Ostern...
    Tommy
     
  2. Red Zet

    Red Zet Halbes Megabyte

    Registriert seit:
    19. März 2004
    Beiträge:
    530
    Hier findest du deinen Trojaner.

    Mach was Daraus :D

    :aua: Mach dir mal Gedanken über das Thema Sicherheit :aua:

    Tip:

    Infiziertes System neu aufsetzen:

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

    Auf dem infizierten System:
    - wichtige Daten sichern (sofern noch möglich)
    - format c:
    - Windows neu installieren (oder ein sauberes Image zurückspielen)
    - die Service Packs und Patches von der CD installieren
    - Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
    - Virenwächter installieren (AntiVir und AVG gibts kostenlos)
    - sämtliche Passwörter ändern
    - Spybot S&D installieren und das System immunisieren
    - die automatische Windows-Update Funktion aktivieren
    - die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
    NIE ausführbare Dateien zurückspielen
    -------

    (c) TheDOCTOR


    Gruß Red
     
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Dürfte auf Windows 98 eher nicht zutreffen, da es unter Windows 98 keine Dienste gibt. ;)

    Gruß
    Nevok
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Service Packs installieren dürfte bei Win98 auch schwer fallen. ;) Diese Version meiner Anleitung ist halt eher für NT-Systeme gedacht. Es gibt auch eine Win9x-Variante:


    -------

    Infiziertes System neu aufsetzen: VERSION FÜR WINDOWS 98

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    - wichtige Daten sichern (sofern noch möglich)
    - Windows neu installieren mit Neuformatierung der Systempartition
    (oder ein sauberes Image zurückspielen)
    - Virenwächter installieren (AntiVir und AVG gibts kostenlos)
    - sämtliche Passwörter ändern
    - Spybot S&D installieren und das System immunisieren
    - die Windows-Update Seite besuchen und das System auf aktuellen Stand bringen
    - den IE mit dem Zonenmodell sicherer machen
    - alle anderen Partitionen auf Schädlinge prüfen
    - die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
    NIE ausführbare Dateien zurückspielen

    -------
     
  5. tommyma

    tommyma Guest

    Hatte ich nicht beschrieben, daß wir AntiVir (neueste Version) drauf haben? Natürlich auch die aktuellsten Signaturen usw.
    Also, wenn hier schon Ratschläge kommen, dann bitte auf die Frage bezogen und nicht irgendwelche Allgemein-Weisheiten. Danke für den Microsoft-Notschalter "Windows neu installieren". Ich dachte, da wären wir nun langsam mal raus?! Wenn´s so einfach wäre, dann hätten wir ne ganze Menge Doktoren, oder?

    Ich versuchs noch mal: Die Datei war anscheinend schon immer drauf und wird scheinbar auch von Win98 gebraucht und ich frage nur, wieso die jetzt plötzlich (also nachdem ein Virenwächter läuft) den Rechner zum Absturz bringt und ein Trojaner sein soll und wie man ihn evtl. los wird. Wir gehen nicht davon aus, daß AntiVir PE vorher harmlose Dateien in gefährliche Trojaner umwandelt. Darauf hättste mal ne Antwort geben können...

    Der Rechner hängt nicht am Netz und so weiter.

    Trotzdem Danke für den Versuch...Tommy
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Du hast doch selbst gesagt dein System wäre verseucht. Ausser der win86.dll gabs ja offenbar noch mehr Schädlinge die dort gehaust haben.

    Warum streubst du dich so gegen eine saubere Neuinstallation? Dauert doch net lang.


    Die war schon immer ein Trojaner, nur ohne Virenscanner erkennt man das eben nicht. Die Datei gehört auch nicht zu Windows.


    :totlach: Ja ne, is klar. Dazu is ein Antivirenprogramm da, es erzeugt Trojaner... :rolleyes:
     
  8. tommyma

    tommyma Guest

    Mir wär es ja wurscht und ich hätte mich eh schon längst von 98 getrennt, aber es ist, wie gesagt, nicht mein Rechner.

    Was ich nicht verstehe, ist, daß jedwede Reaktion auf die Meldung von AntiVir zum Systemabsturz führt, also völlig egal, welche der angebotenen Optionen man wählt.

    Aber man muss es wohl auch nicht unbedingt verstehen, oder?
    War nur ein Versuch, vielleicht hätte ja jemand dasselbe auch schon mal gehabt und wär´ da irgendwie wieder ´rausgekommen.

    Wir belassen es jetzt mal dabei, diese Datei von der Scannerei auszuschließen - das System läuft nämlich problemlos auch mit ihr!

    Danke an alle, Grüße und virenfreie Eier...Tommy
     
  9. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Das ist jetzt aber nicht dein Ernst, oder ? Wenn dem so ist, benutze ich hiermit zum 1. Mal die Bezeichnung "DAU" für einen User hier.
     
  10. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ach, jetzt lasst ihn doch. Die Kiste is ja net online, also infiziert sie andere PCs nur über Diskette und CD, d.h. es kommen nur Bekannte und Freunde in den Einzugsbereich der Virenschleuder.
    ;) :D
     
  11. tommyma

    tommyma Guest

    ...Ihr Schlaumeier.
    Wie wär´es denn mal mit ´nem Tipp zu Lösung des Falles oder nur einer einfachen hilfreichen und konstruktiven Antwort? Also, wenn in diesem Forum so viele Schlauköpfe sitzen, die zwar kluge Sprüche machen aber eine Lösung auch nicht haben, dann ist das leider unterste Schublade.

    Bin ziemlich enttäuscht und glaube, ich werd´es hier mal einfach lassen. Mit Sicherheit gibt es andere I-Foren, wo man vernünftige Antworten bekommt (nicht bloß "Windows neu installieren", da sind wohl einige bei Microsoft in die Lehre gegangen, was?).

    Trotzdem Gruß und Tschüß...Tommy :-(
     
  12. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Du hast die einzig brauchbaren Tips bekommen und bist begriffsresistent. Vergiss es, schade um die vergeudete Zeit mit dir. Man hätte die Hilfe nach den ersten 2 Beiträgen schon abbrechen sollen.

    PLONK
     
  13. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Was für eine Art von Lösung schwebt dir denn vor? Willst du eine Anleitung der Art "Drück das, klick hier, tipp das, klick dort" und alles geht wieder? Eine solche Lösung gibt es nicht. Es wurde dir bereits gesagt wie du vorgehen musst, wenn du das nicht willst ist das deine Sache...
     
  14. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  15. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Naja, ich weiß nicht, ich habe zwar auch etwas gegen Lernresistenz, aber in dem Falle hier schleichen sich bei mir Zweifel über die Hilfeanbieter ein...

    TO schreibt, daß sich AV bei Behandlung der Datei "WIN86.dll" weghängt...
    Soweit so gut.

    Dann wird auf die Seite http://www.sophos.de/virusinfo/analyses/trojsmallpb.html verwiesen, auf der angeblich diese Datei als Trojaner genannt wird.
    Dem ist aber gar nicht so. Hat jemand sich die Seite denn mal angesehen?
    Zitat:
    "Troj/Small-PB ist ein Trojaner, der die Dateien System87.dll und System86.dll ausführt."
    Kein Wort von einer "WIN86.dll"...
    Weiterhin folgendes Zitat:
    "Damit er automatisch beim Start von Windows aktiviert wird, erstellt der Trojaner den folgenden Registrierungseintrag:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    WinInit = Win86.exe"
    Win86.exe != Win86.dll, somit wieder kein Treffer...

    Dort wird nirgends eine Win86.dll erwähnt...
    Liege ich jetzt daneben oder liegt hier ein komplettes Mißverständnis vor?

    Sollte der TO sich aber vertan haben und doch die Win86.exe meinen, dann kann ich ihm auch nur Lernresistenz bestätigen, sollte dem aber nicht so sein, sollte noch einmal nachgeforscht werden, wieso der Rechner denn nun wirklich abraucht....
     
  16. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    @tommyma
    http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

    Per Trojaner war dem Absender der Zugriff auf dein System möglich..

    Lies mal was unter "Säubern eines gefährdeten Systems" steht!

    Deinstalliere den Virenscanner wieder - anscheinend braucht ihr ihn nicht aber sag bye bye zu deinen Passwörtern und deinen privaten Dateien
     
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    @ AntiDepressiva
    Es wurde doch schon mehrmals vorgeschlagen die win86.dll überprüfen zu lassen. Das ist nicht passiert.

    Außerdem hat / hatte das System ja mehrere ungebetene Gäste:
     
  18. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Ja, das streite ich ja auch gar nicht ab! Unverantwortlich finde ich es auch! Kein Thema!
    Aber trotzdem ist der Link zu Sophos daneben, denn das hat mit dem Thema auch nix zu tun!
    Denn win86.dll != win86.exe

    Vielleicht hat der Absturz beim Zugriff auf die genannte Datei ja auch andere Ursachen!
    Bliebe zu klären...

    Habe ich gelesen.
    Und Deinem Hinweis zur Neuinstallation mit der entsprechenden Anleitung kann ich nur zustimmen!
    Soweit solltest Du mich nun schon kennen ;-)

    Aber wie gesagt... siehe oben, ich muß es nicht nochmal wiederholen...
     
  19. Red Zet

    Red Zet Halbes Megabyte

    Registriert seit:
    19. März 2004
    Beiträge:
    530
    Ok, sehe ich ein, das dieser Link ein wenig daneben liegt, auch der gut gemeinte rat, das System neu aufzusetzen (mit der bedauerlich falschen Anleitung ) war ein griff in`s Klo :rolleyes: .

    Jedoch ist das noch lange keine Entschuldigung für das leichtsinnige verhalten des Threaderöffners mit dem umgang eines Kompromitierten System`s.
    Alleine mit dieser Aussage,
    Mit dem anschliesenden Satz, das der Pc keinen anschluss an das I-Net besitzt, und mit dieser Wortwahl, will er keine "Hilfe" , sondern nur für Gesprächsstoff im Forum sorgen.

    Zumindest ist das die einzig logische Erklährung, das er sich nicht mal auf die vorschläge anderer eingelassen hat.


    Gruß Red
     
  20. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Nein, wieso?
    Er hat ja zugegeben, daß der Rechner einen Seuche ist.
    Also...

    Nur der Link war halt daneben, aber trotzdem gut gemeint.

    Und was die Wortwahl des TO angeht...
    Naja, er ist zumindest nicht bei MS in die Lehre gegangen, sonst hätte er für diese Trivialität nicht ausgerechnet einen Thread im PC-Welt-Forum eröffnet...

    Er ist wahrscheinlich bei CB in die Lehre gegangen, insofern würde ich mir wegen dieser Äußerungen keinen Kopf machen.
    So what?

    Ach übrigens:
    Was ist an "Müllka" so schrecklich?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen