Supportnet / Forum / WindowsME
Hilfe Virus!! W32.Badtrans.13312 mm
Frage
Hallo,
ich habe mir leider den Virus W32.Badtrans.13312@mm eingefangen - (sagt mein Viren-Skanner: Norton Anti Virus)
Wer kann mir sagen, was der Virus alles anstellt??
Ich habe festgestellt, dass er selbst e-Mails produzíert mit Dateianhängen, wie z.B. card.pif.
Und wie bringe ich den Virus wieder los??? Das Anti-Virus Programm hat ihn zwar erkannt und auch zwei Dateien (hksdll.dll und KERN32.exe) isolieren können aber die seltsamen E-Mails erscheinen nach wie vor.
Die Datei C:\windows\inetd.exe wurde auch als infiziert gemeldet, weiß jemand ob ich diese Datei einfach löschen kann (unter DOS vielleicht...) oder wird dieses Programm noch für etwas sinnvolles gebraucht.
Ich bin für jede Hilfe dankbar
Anita
Antwort 1 von Anita
Hallo,
es scheint als hätte ich das Problem selbst in den Griff bekommen.
Falls noch andere mit dem Virus oder besser gesagt dem Wurm Bekanntschaft gemacht haben, habe ich einen Link:
http://www.symantec.com/avcenter/venc/data/w32.badtrans.13312@mm.html
Viele Grüße
Anita
es scheint als hätte ich das Problem selbst in den Griff bekommen.
Falls noch andere mit dem Virus oder besser gesagt dem Wurm Bekanntschaft gemacht haben, habe ich einen Link:
http://www.symantec.com/avcenter/venc/data/w32.badtrans.13312@mm.html
Viele Grüße
Anita
Antwort 2 von Anita
hallo das ist ja lustig, wir haben beide den gleichen login name hier im supportnet. ich hab mich schon gewundert... gruß von anita
Antwort 3 von Sir_Hilly
Hi Anita(s)
Also der Wurm erstellt 2 Dateien im Windows -Ordner und zwar:
HKK32.EXE - Trojaner selber der dann ausgeführt wird
INETD.EXE - Kopie des Trojaners, kopiert sich nach windows/sytem
KERN32.EXE - 2. Kopie des Trojaners
HKSDLL.DLL - Trojaner dll - ist ein Keylogger also zeichnet alles auf was du tippst
CP_xxxxx.NLS - Trojaner Daten (xxx = namen kann abweichen)
HKK32.EXE wird nach starten wieder gelöscht
Dann registriert sich der Wurm (inetd.exe) selber in der System.ini unter shell oder in der win.ini unter run= oder load=
Beispiel (win.ini):
[windows]
load=
run=C:\WINDOWS\INETD.EXE
Bei Win2000 registriert er sich unter:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows RUN = C:\WINDOWS\INETD.EXE
UND
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = kern32.exe
Zum entfernen solltest du alle aufrufe also die Einträge in der System.ini und win.ini und der registrierung entfernen, den Rechner neustarten dann die dateien löschen und/oder Virenscanner laufen lassen
Gruß
Also der Wurm erstellt 2 Dateien im Windows -Ordner und zwar:
HKK32.EXE - Trojaner selber der dann ausgeführt wird
INETD.EXE - Kopie des Trojaners, kopiert sich nach windows/sytem
KERN32.EXE - 2. Kopie des Trojaners
HKSDLL.DLL - Trojaner dll - ist ein Keylogger also zeichnet alles auf was du tippst
CP_xxxxx.NLS - Trojaner Daten (xxx = namen kann abweichen)
HKK32.EXE wird nach starten wieder gelöscht
Dann registriert sich der Wurm (inetd.exe) selber in der System.ini unter shell oder in der win.ini unter run= oder load=
Beispiel (win.ini):
[windows]
load=
run=C:\WINDOWS\INETD.EXE
Bei Win2000 registriert er sich unter:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows RUN = C:\WINDOWS\INETD.EXE
UND
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = kern32.exe
Zum entfernen solltest du alle aufrufe also die Einträge in der System.ini und win.ini und der registrierung entfernen, den Rechner neustarten dann die dateien löschen und/oder Virenscanner laufen lassen
Gruß