Hallo Spezis,
wir haben hier auf einen PC ein ernsthaftes Viren-Problem. Vielleicht könnt Ihr helfen. Die Situation.
PC mit Dualboot, auf C Win2000Pro/SP4 und auf D WinXP-Pro/SP2.
Unter beiden OS ist NAV Coporate Edition als Virenwächter installiert. Unter Win2000 (also auf C) hat sich ein Virus ausgebreitet.
NAV hat auch gleich Alarm geschlagen, Virusname "Backdoor.HackDefender", hat die entsprechende Datei (C:System.exe)auch isoliert, kann man löschen. Nach einem Neustart ist er aber wieder da - klar.
Also auf die Symantec Homepage und die Anleitung zum Entfernen des Viruses gelesen und befolgt, siehe :
http://www.symantec.com/avcenter/venc/data/backdoor.hackdefender.html
Abgesichter Modus, regdit, jedoch existieren die von Symantec beschriebenen Einträge gar nicht, kann man auch nichts löschen.
Und siehe da, nach einem Neustart ist der Kerl wieder da.
Wie ich das bis jetzt verfolgen kann passiert bei Systemstart folgendes :
- im Rootverzeichniss von C werden drei Files angelegt, "system.exe", "system.ini" und "sirh0t32.pif"
- im Windows\system32-Ordner wird ein Ordner "software" angelegt, indem mehere hundert exe-Programme immer exakt gleicher Größe angelegt werden.
- kurz nach dem booten erkennt dann NAV den Virus in der datei "system.exe" und isoliert diese.
- danach verabschiedet sich aber NAV, man kann es nicht mehr starten.
- genau so läßt sich "regedit" auch nicht starten.
Das zweite OS auf diesem PC, WinXP, scheint nicht betroffen, startet normal. Das dort installierte NAV findet aber, bei einem Komplett-Scan, keinen Virus !
Als letztes habe ich unter Win2000 dazu noch "Free-Antivir" installiert, das fand bei einem Komplett-Scan einen Virus namens "TR/NoAvHost.A". Die betroffene Datei wurde gelöscht. Von einem Backdoor-Virus sagt es mir nichts.
Ich habe schon gegoogelt, um näheres über beide Viren zu erfahren, jedoch erfolglos.
Ich hoffe, es ist nicht ein frischer Virus ....
------------------
Lutz
Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP