LinkBack URL
About LinkBacks
ZitierenUnter der Annahme, daß der "Hauptname" des Virus' das "Agent" ist und der Rest nur Beiwerk, probier doch mal das entsprechende Removal-Tool von Kapersky.
Hallo,
Seit neustem zeigt mir AntiVir beim Starten von Windows eine Meldung an, dass ich einen Virus des Typs Agent.ahj.633 auf meinem System installiert habe. Es sei ein Backdoorprogramm. Zu finden sei es unter WinNT/system32/A8F731C6.DLL
Die automatische Routine von AntiVir funktioniert nicht. Weder Quarantäne, noch Löschen.
Folglich versuchte ich, die Datei von Hand zu löschen. Jedoch ging das wie erwartet nicht; die Datei wird gerade verwendet. Also versuchte ich es per abgesicherten Modus. Dort konnte ich die Datei auch problemlos löschen.
Die Ernüchterung erfolgte beim Reboot: Die Datei ist wieder da. Scheint ganz schön hartnäckig zu sein.
Ich kam dann auf die Idee, in der Registrierung zu suchen. Dort fand ich auch einen entsprechenden Eintrag. Als ich jedoch versuchte, den Eintrag zu löschen, war er wieder da - nach einem Tastendruck auf F5 (aktualisieren) bzw. wurde gleich wieder als Treffer angezeigt, wenn man "weitersucht".
Also habe ich alle nicht-relevanten Prozesse mit einem speziellem Taskmanager geschlossen, aber dennoch kann ich weder die Datei noch den Regeintrag löschen ... und stehe eigentlich auf dem Schlauch ...
Über Google findet sich leider (noch) nichts zu dem Thema.
Bin für eure Hilfe dankbar,
Gruß Stefan
PS: System ist Windows 2000 SP3
Unter der Annahme, daß der "Hauptname" des Virus' das "Agent" ist und der Rest nur Beiwerk, probier doch mal das entsprechende Removal-Tool von Kapersky.
Ausbildung HotelfachfrauÖko-Reinigungsmittel von Auro | Erregersysteme / Schutzsysteme | Handelsvermittlung Fernost
--
FPDI v1.2 released!
--
"Watch, learn and don't eat my cookie!"
Phoebe in Friends S05E14
Danke für den Tipp! Hab's gerade getestet, da kommt nach der Durchsuchung "Nothing to clean" ... schade
Probiere mal im abgesicherten Modus in der Registry den von dir gezeigten Ordner zu leeren (nicht komplett löschen, bloß halt alle Werte wie "Start" oder "Type" etc... entfernen, den Ordner selbst so lassen).
Danach klickst du den Ordner mit rechts an, wählst "Berechtigungen", entfernst alle dort eingetragenen Benutzer und fügst stattdessen "Jeder" hinzu. Einfach auf "Hinzufügen" klicken und dann Jeder eintragen und auf "OK" klicken.
Danach markierst du den Eintrag "Jeder" und setzt in der Liste darunter alle Häkchen bei "Verweigern". Die daraufhin erscheinende Meldung bestätigst du mit "Ja" bzw. "OK".
Wenn du dann neustartest, ist der Ordner aus der Registry zwar nicht verschwunden, kann aber auch durch keinen Benutzer (auch keine Administratoren) mehr geändert werden, sprich der Virus kann sich nicht mehr dort eintragen, was dazu führt, dass diese ominöse Datei immerhin nicht mehr so ausgeführt wird, vielleicht hast du ja dann bessere Chancen diese Datei zu entfernen und das System zu reinigen.
Hast du schonmal das Removal-Tool von Kaspersky im abgesicherten Modus laufen gelassen? Möglicherweise wird das Ding dort ja fündig und kann den Schädling entfernen.
Oder Antivir im Abgesicherten Modus laufen lassen..
Je größer der Deppenfaktor, desto gigantischer das Bescheidwissergefühl
-Dieter Nuhr
Hab' ich bereits. Mit dem Ergebnis, dass der Virus nach nem Neustart weider da ist ...Zitat von Adromir
@ maxi89: Danke für den Tipp, aber ich find' unter Windows 2000 kein Menü "Berechtigung"? Du meinst schon im Regedit?
Auf jeden Fall hab' ich jetzt Sophos AntiVirus installiert. Der Hersteller verspricht, dass der Virus erkannt wird ... es läuft grad noch durch.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
