Badtrans-Virus - Sammelthread

rsjuergen

assimiliert
Im abgesicherten Modus Eingabeaufforderung starten, beide Dateien löschen und von CD ins Verzeichnis neu rein kopieren bzw. mit dem Befehl EXPAND dorthin kopieren.
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Hi,

Der Virus verschickt sich sofort an weitere Personen, meist als Antwort auf eine existierende Mail getarnt. Virusbefallene können diesen u.U. mit der Software von Sophos entfernen - oder eine manuelle Entfernung (Bsp.:W98):
* Booten, Bootvorgang mit F8 abbrechen "Nur Eingabeaufforderung"
* per cd in c:windows system wechseln
* del kernel32.exe
* del kdll.dll
* neu booten
* per Run/Ausführen regedit und obengenannten Key in der Registry unter HKLM SOFTWARE Microsoft Windows CurrentVersion RunOnce löschen.

Update: Mittlerweile scheinen die meisten Anitviren-Softwares reagiert zu haben und erkennen mittels der neuesten Virenfiles (z.B. PC-Cillin, Norton) den Virus.
Auch bei Symantec gibt es inzwischen Informationen über den Virus

Ob der eigene PC befallen ist lässt sich auf verschiedene Arten feststellen:

Start > Suchen > Dateien/Ordner > cp_25389.nls Ist die Datei im \system\ Ordner vorhanden dürfte der Computer infiziert sein.

Start > Ausführen > regedit > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > RunOnce Ist im rechten Fenster der Eintrag kernel32 vorhanden ist der Virus auch aktiv - Eintrag mit rechtsklick löschen!

Aber nur eine vorhandene Kernel32.exe löschen nicht die Kernel32.dll das ist eine Windowskomponente.


Schutz vor erneuten infizieren:

Keine eMails unbekannter Herkunft öffnen.
Outlook oder Outlook Express -> Menu Ansicht -> Layout... ->
Vorschaufenster deaktivieren

Jim

Quelle: Diverse Boards
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Original geschrieben von rsjuergen
Im abgesicherten Modus Eingabeaufforderung starten, beide Dateien löschen und von CD ins Verzeichnis neu rein kopieren bzw. mit dem Befehl EXPAND dorthin kopieren.


:confused Von welcher CD :confused

Diese beiden Dateien sind definitiv keine WindowsKomponenten, obwohl der Name ahnungslose
User davon abhalten soll sie zu löschen.

PS.: Suche mal diese beiden Dateien bei Dir, Du wirst sie nicht finden.

Jim
 

PaffDaddy

nicht mehr wegzudenken
Ich habe das Ding mit Sicherheit drauf,mein Norton hats gefunden,konnte es aber nicht entfernen.
Habe jetzt mal ein Update gemacht und werde noch mal checken.

Erst mal Thanks

Paffy:angel
 

PaffDaddy

nicht mehr wegzudenken
Also mein Norton soll den Virus entfernt haben,aber die Datei cp_25389.nls
gibts trotzdem noch!

Außerdem finde ich eine datei namens skdll.dll !!!!!

Kann ich beide gefahrlos löschen??
 

Supernature

Und jetzt?
Teammitglied
Dank NAV2002 und TheBat! kann mir das Teil nichts anhaben, aber nervig ist es schon - ich hab den Virus bisher nicht weniger als 28x in meinem Postfach gehabt :mad
Wer bietet mehr?
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Original geschrieben von PaffDaddy
Also mein Norton soll den Virus entfernt haben,aber die Datei cp_25389.nls
gibts trotzdem noch!

Außerdem finde ich eine datei namens skdll.dll !!!!!

Kann ich beide gefahrlos löschen??

Ja auch die cp_25389.nls gehört dazu.(siehe mein erstes Posting), und den Link von mir.
Die skdll.dll nicht löschen ist eine Windowskomponente.

Jim
 
Zuletzt bearbeitet:

PaffDaddy

nicht mehr wegzudenken
Hey Jim,

Deine Datei war kdll

Das muß ne andere Datei sein,der Zugriff wurde mir verweigert.

Ich denke das alles runter ist. Die cp_25389.nls hab ich löschen können!

Thanks an alle für die schnelle Hilfe
:bier

Paffy :angel
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Original geschrieben von PaffDaddy
Hey Jim,

Deine Datei war kdll

Das muß ne andere Datei sein,der Zugriff wurde mir verweigert.

Ich denke das alles runter ist. Die cp_25389.nls hab ich löschen können!

Thanks an alle für die schnelle Hilfe
:bier

Paffy :angel

sorry, hatte auch die cp_25389.nls gemeint, und nicht gesehen, das ich die skdll.dll mit in
die Quote übernommen hatte. Die nicht löschen, ist eine Windowskomponente.
Habe mal bei mir geschaut, existiert unter W2k und XP, jeweils 2mal eimal im System32
und einmal in Sytem32\dllcache.

Jim
 
S

seifert79

Gast
Mache es dir doch ganz einfach

Atention


Also mache es dir doch ganz einfach und schmeiß windows xp rauf dann bist du ihn sicher auch los.

Ich habe zwei Betreiebssysteme am laufen und Windows xp schütz sowohl sich selbst und auch windows Milenium habe da keine Prob. Habe das schon des öfteren gehört mit den Vieren aber bei mir noch nie vorgekommen :)

Gruß seifert:sex :bier
 

Blastpit

..::=Area51=::.., ,
also ich habe norton anti virus 2002 drauf und der hat den virus sofort erkannt und ich habe ihn dann gelöscht. kann es trozdem sein das ich den drauf habe ganzes sys gescannt ... negativ.
 

PaffDaddy

nicht mehr wegzudenken
Hi,

suche mal in der Registry nach ner Datei " kdll.dll oder Kernel32.Exe "

das steht aber auch in nem Posting ziemlich am Anfang dieses Threads.

MfG Paff Daddy:angel
 
Oben