---

Hallo Spezis,

wir haben hier auf einen PC ein ernsthaftes Viren-Problem. Vielleicht könnt Ihr helfen. Die Situation.

PC mit Dualboot, auf C Win2000Pro/SP4 und auf D WinXP-Pro/SP2.
Unter beiden OS ist NAV Coporate Edition als Virenwächter installiert. Unter Win2000 (also auf C) hat sich ein Virus ausgebreitet.
NAV hat auch gleich Alarm geschlagen, Virusname "Backdoor.HackDefender", hat die entsprechende Datei (C:System.exe)auch isoliert, kann man löschen. Nach einem Neustart ist er aber wieder da - klar.
Also auf die Symantec Homepage und die Anleitung zum Entfernen des Viruses gelesen und befolgt, siehe :
http://www.symantec.com/avcenter/venc/data/backdoor.hackdefender.html

Abgesichter Modus, regdit, jedoch existieren die von Symantec beschriebenen Einträge gar nicht, kann man auch nichts löschen.
Und siehe da, nach einem Neustart ist der Kerl wieder da.

Wie ich das bis jetzt verfolgen kann passiert bei Systemstart folgendes :

- im Rootverzeichniss von C werden drei Files angelegt, "system.exe", "system.ini" und "sirh0t32.pif"
- im Windows\system32-Ordner wird ein Ordner "software" angelegt, indem mehere hundert exe-Programme immer exakt gleicher Größe angelegt werden.
- kurz nach dem booten erkennt dann NAV den Virus in der datei "system.exe" und isoliert diese.
- danach verabschiedet sich aber NAV, man kann es nicht mehr starten.
- genau so läßt sich "regedit" auch nicht starten.

Das zweite OS auf diesem PC, WinXP, scheint nicht betroffen, startet normal. Das dort installierte NAV findet aber, bei einem Komplett-Scan, keinen Virus !

Als letztes habe ich unter Win2000 dazu noch "Free-Antivir" installiert, das fand bei einem Komplett-Scan einen Virus namens "TR/NoAvHost.A". Die betroffene Datei wurde gelöscht. Von einem Backdoor-Virus sagt es mir nichts.
Ich habe schon gegoogelt, um näheres über beide Viren zu erfahren, jedoch erfolglos.
Ich hoffe, es ist nicht ein frischer Virus ....

------------------
Lutz

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Lutz,
was sagen denn die Spezis auf der Homepage? Anscheinend ist der Virus ja bekannt, aber VON WANN ist das Datum des Eintrages?

Manche Companys von Virensoftware haben längere Reaktionszeiten. Also wenn möglich - Rechner aus, und mit anderem Rechner verfolgen, ob neue Entfernungsprogramme bereitsstehen.

Wenn, dann solltest Du aber mit einem jungfreulichen und auf neueste Viren upgedateten Rechner nehmen, und via Netzwerk den Virus anpacken. Auf einem  verseuchten System Virenscanner zu installieren ist gewagt und davon wird immer abgeraten. Es gibt auch bei z.B. Heise.de immer wieder mal CD-Boot-Images mit aktuellen Rettungsprogrammen. Diese haben aktuelle Virenscanner an Bord und basieren i.d.R. auf Linux.

Vielleicht hast Du damit etwas mehr Glück. Ansonsten erstaml vom I-Netz nehmen. Ggf. auch noch andere Virenscanner benutzen: PANDA, GDATA AVK und F-Secure schneiden in Test immer recht gut ab. Davon gibt's auch Testversionen.

------------------
Gruß, der Teddibaer

Besucht mich doch mal ...
----------------
Es gibt eine Theorie, nach der die Konzentration von Dummheit an bestimmten Orten besonders hoch ist. 

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von LK36:

wir haben hier auf einen PC ein ernsthaftes Viren-Problem. Vielleicht könnt Ihr helfen.

---

Selbstverfreilich. Bei Schadsoftware-Befall hilft ausschließlich:
http://oschad.de/wiki/index.php/Kompromittierung

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP