jakobheid
Hallo,
ich habe seit einiger zeit immer wieder zwei Dateien auf allen freigegebenen Festplatten/Ordnern im Netzwerk (besteht aus 4 Windows Rechnern):
Setup.exe und autorun.inf.
Ich lösche sie ständig, aber nach kurzer Zeit sind sie wieder da.
Norton findet nach einem kompletten Systemscan nichts.
Er hat einmal beim Öffnen eines dieser Ordner Alarm geschlagen und die Setup.exe als Trojaner, glaub ich, identifiziert. Diese gelöscht, aber kurze Zeit später war die Datei wieder da.
Jetzt kann ich diese Ordner öffnen so oft ich will, Norton sagt nix mehr.
Mit Kaspersky Online Virusscaner hab ich die beiden Dateien ebenfalls scannen lassen, kam nichts verdächtiges dabei raus.
Diese dateien scheinen nichts zu machen, wenigstens läuft der Rechner stabil und es fehlt nichts.
Kennt jemand dieses Problem?
Wie kriege ich das weg?
Viele Grüße
Jakob
kutulu
Hallo Jakob
Ich kenne dieses Problem auch und bin nun schon seit einer Woche damit beschäftigt das rauszubringen. Habe es mit ca. 15 Virenscanner durchforstet, aber gefunden wird einfach nichts. Einzig was sich bei mir getan hatte ist:
Hatte erst den AntiVir Virenscanner drin. Ich dachte dieser erkannte die beiden Daten nicht und ersetzte den AntiVir gegen den McAfee Virenscanner. Dieser erkannte irgendwo im System ein Trojaner den er entfernte und danach hatte ich 1 Woche Ruher und nun habe ich wieder das gleiche Problem mit den beiden Daten. Die kommen immer wieder. Aber komischerweise machen die nichts.
Also die autorun.inf datei gibt nur den Befehl an dass die Datei setup.exe gestartet werden soll. Dies beim Systemstart. Es muss irgendwo auf der HD ein Trojaner sein, der diese Daten erzeugt. Aber welche.
Eines was ich rausgefunden habe ist, wenn Du die temporären Daten vom surfen im Internet löschst, dass diese beiden Daten dann lange nicht kommen. Aber sobald wieder rumsurfst, geht es nicht lange und schon hast sie wieder da.
Also wenn Du mal mehr erfährst, gib mir Bescheid. Ich schau auch mal weiter.
Gruss Roger
N8Dreams
Ganz häufig beruht das Wiederauftauchen von Malware, die erfolgreich entfernt wurde darauf, daß die Systemwiederherstellung NICHT ausgeschaltet wurde.
Windows "erkennt" beim booten fehlende Komponenten und stellt sie automatisch wieder her.
omnikhr
Hi,
Setup.exe dient dazu im Hintergrund ein MSI-Packet zu installieren und gehört zum System.
N8Dreams
| Zitat: |
Original von omnikhr
Hi,
Setup.exe dient dazu im Hintergrund ein MSI-Packet zu installieren und gehört zum System. |
Er hat einmal beim Öffnen eines dieser Ordner Alarm geschlagen und die Setup.exe als Trojaner, glaub ich, identifiziert. Diese gelöscht, aber kurze Zeit später war die Datei wieder da.
DAS ist die Schlüsselaussage. Ich habe weder setup.exe noch autorun.inf in meinem Hauptverzeichnis.
omnikhr
@jakobheid
wie ich dir schon schrieb hinterlassen viele Programme im Hauptverzeichnis eine Setup.exe, z.B. lech FTP-Programm viele HP-Druckerinstallationen usw.
Wenn du dichim Windows-Explorer mit dem Mauszeiger draufstellst wird dir meistens die zugehörige Anwendung angezeigt.
@n8dreams
geh doch mal im Windows-Explorer über Suche nach setup.exe , du wirst staunen
kutulu
Hallo zusammen!
Habe das Problem rausgefunden, um was es sich handelt. Diese setup.exe gehört auf KEINEN Fall zum System!
Es handelt sich dabei um einen Trojaner mit dem Namen:
BackDoor-CMQ.dldr
So zur Information. Bin jetzt mal am durchsuchen des Internets, wie man den endgültig entfernt.
Gruss Roger
N8Dreams
| Zitat: |
Original von omnikhr
@n8dreams
geh doch mal im Windows-Explorer über Suche nach setup.exe , du wirst staunen |
Ich schrieb
Hauptverzeichnis. Lies genau!
kutulu
Eben, und im Hauptverzeichnis entstehen immer diese zwei Dateien!
autorun.inf und setup.exe
Die autorun.inf gibt den Befehl die setup.exe zu starten. Ich hatte das Problem hier und weiss von was ich spreche. Oder wir sprechen aneinander vorbei... ;-)
N8Dreams
Ich kann insgesammt 4 PCs überblicken. Zwei mit XP home, zwei mit XP prof.
Bei keinem steht im Hauptverzeichnis eine setup.exe noch eine autorun.inf.
Autorun.infs gibt es nur auf CDs. Schon mal einen Virenscanner laufen lassen?
flyingmatze
Hallo.
Hat jemand das Problem lösen können?? Ich zähl nun leider auch zu den Opfern. :-/
AntiVir und Sophos erkennen das Mistding leider nicht.
Bin jetzt auf die website virustotal.com gestoßen und versuche es gerade damit.
Ansonsten hat das Googeln mich leider nicht wesentlich weiter gebracht :-/
Grüße,
Matze
kutulu
Um das geht es ja hier im Thema! Jemand hat Probleme weil diese zwei Daten immer drauf sind, oder eben kommen. Und es ist ein Virus und dies wusste der Jakob ja nicht. Die Virenscanner konnten den Virus nicht erkennen weil der Virus absolut NEU ist.
Und ich habe ja geschrieben dass dies ein Trojaner ist. Daher kannst Du sie ja auch nicht auf Deinen 4 PC's sehen. Ich sehe diese Daten auf meinen anderen PC's ja auch nicht.
Ist das so schwer zu verstehen ???????
Bei diesem Thema geht es ja darum, was das für Daten sind die sich immer einschleusen.
kutulu
Hallo Matze
Das ist ein neuer Trojaner mit dem Namen BackDoor-CMQ.dldr !!!
Der McAfee Virenscanner hat den erkannt, aber erst seit heute.
N8Dreams
Kutulu, meine Bemerkung bezog sich auf Omnik.
Will nun jemand endlich ein Hijack File posten?
flyingmatze
Danke kutulu für Deine Antwort.
Ich probiers gerade mit der Online Version von McAffee.
Hast Du ihn denn auch erfolgreich von Deinem verbannen oder nur erkennen können?
Gruß,
Matze
N8Dreams
| Zitat: |
Original von flyingmatze
Ich probiers gerade mit der Online Version von McAffee.
|
.........beratungsresistent.
lecter4711
Ich hab die Dateien auf verschiedenen Unterverzeichnissen auf dem Firmen-FileServer... (Win2003) Sind auch auf der Suche nach einer Lösung, da unser Trendmicro-Virenscanner trotz aktueller Pattern nicht angeschlagen hat. Die McAfee-Lösung muss ich testen.
Allerdings konnte ich bisher nicht feststellen, was das Teil macht. Wer was weiß - posten!
(Und nein, es sind keine Systemdateien N8Dreams...)
xDEMIx
Hallo !
Probiere mal meinen Onlinescam in der Signatur.
Poste dann bitte das Ergebnis sowie ein Log von Hijackthis.de
was eigentlich N8Dreams schon ansprach.
baloo
Des Rätsels Lösung:
Ihr habt die Verzeichnisse nicht nur im Netzwerk sondern auch im Internet freigegeben, und die beiden Dateien werden von einem Wurm auf euren Rechner hochgeladen.
Sollte man natürlich schleunigst beheben, weil so jeder eure Dateien lesen und auch löschen kann.
malle
hey ich habe hauch so ein problem...
jedoch lies sich eine gewisse zeit mein task-manager nicht mehr öffnen dann habe ich druch die sp2 ordner habe ich den task-manager öffnen können und setup.exe beenden können doch ich denke das das programm immer noch da ist... jedoch habe ich noch kein autorun.inf bemärckt und setup.exe könnte ich auch nicht findne... aber ich hatte nocht etwas anderes auf dem rechner der ordner hies outlook hat aber nichts mit outlook express zu tun... diese datei hieß zwar auch outlook aber bei eigenschaften stand was von setup.exe. das programm konnte ich druch umbenennen und aus den startprogrammen nehmen löschen...
doch das war denke ich nicht der richtige virus...
höffe jemand kann mir helfen
lg malle
