Explorer.exe ... von Troyaner gekillt, email ups_TracingNr

[tschosef]

Halli hallo,


Edit..... mittlerweile weis ich was der auslöser war.. noch bin ich am nachforschen. Daher hab ich den Threadnamen geändert.
end edit...


ich hab mal ne ballödeeeee frache...
heut früh schalt ich den PC ein, und er begrüßt mich mit nem schwarzen bildschirm, und einem einzigen Fenster "Arbeitsplatz"... sonst nix.
Kein Hintergrund, Kein Desktop, Keine Startleiste.... einfach nix.

so... mittlerweile hab ich geschnallt, dass die datei Explorer.exe nicht gestartet wurde.... gut.. sobald ich das "manuell" mache, läuft alles, aber ich frag mich natürlich nun, wie kann das sein? Und wie krieg ich das jetzt hin, damit das wieder automatisch startet?

hat zufällig schon jemand erfahrung? ansonsten google ich halt noch ein wenig weiter

viele Grüße
Erich

[floh]

Bis und mit Windows XP war es ein Eintrag in der Registry. Man konnte auch eine andere Shell starten, z.B. ein selbstgetricktes Programm. Seit Vista interessiert mich die Windows-Welt nur noch mässig, es dürfte aber immer noch am gleichen Ort sein.

http://www.winfaq.de/faq_html/Content/t ... ip2007.htm

[tracky]

Bei Windows 7 hatte ich neulich einen ähnlichen Effekt. Der Destop wurde zwar geladen, aber nicht in der Form, wie ich ihn zusammengestellt hatte. Meldung von Windows: das Profil konnte nicht vollständig geladen werden . . .
Neustart brachte Abhilfe, den Grund dafür konnte ich noch nicht lokalisieren.

[tschosef]

hai hai...

jou... neustart hilft nix, is immer gleich. Witzigerweise gehts im abgesicherten Modus schon...
naja. mal gucken

gestern hatte ich ein "mysteriöses Word Doc" bekommen.. ich hoffe das is nicht schuld drann...

gruß derweil
Erich

[lynnch]

hai hai...


gestern hatte ich ein "mysteriöses Word Doc" bekommen.. ich hoffe das is nicht schuld drann...

gruß derweil
Erich

oO dann würde ich nun aber mal schnell den ollen Vierenscanner mal rüberlaufen lassen, nicht das einen sogenannten Makrovirus
bekommen hasst.

mfg Burkhard

[nr_lightning]

Hi Erich

Ähnlicher Tip wie von floh, nur etwas mehr im Detail ...

Wenn du den Explorer Manuell gestartet hast, prüf im Regestry Editor mal folgenden Schlüssel ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"Shell"="Explorer.exe"

PS: Hast du evtl. die letzten tage ( oder beim öffnen des Word Dokuments ) eine meldung deiner Firewall oder anderer Security Tools erhalten welche die Explorer exe angemeckert hat. Habe das mal bei jemandem gehabt, und er hat die Explorer.exe geblockt und damit den Start verhindert !

Evtl hilf ein Rücksetzen des Systems ( ein oder Zwei Tage vor diesem Problem ) ..

Mfg: Nico

[tschosef]

oO dann würde ich nun aber mal schnell den ollen Vierenscanner mal rüberlaufen lassen, nicht das einen sogenannten Makrovirus
bekommen hasst.

hab ich... kein Ergebniss..

ich hatte das doc file angeklickt... nur RRRRRRRRRRRRR der HD gehört.. sonst keine Reaktion. nix im Taskmanager gefunden.
dann virenscann gestartet...
dann gegoogelt.... und ein tolles tool nahmens Secure Task Manager.. das "alle möglichen laufenden Threads anzeigen soll" gefunden und aus probiert... nix auffälliges, ABER da kamm die meldung von Mc Affee... dass ein Internettzugriff erfolgen sollte, und ob ich dies erlauben wollte..... ja gesagt... tasks an geguckt.. nix besonderes... schlafen gegangen.. und heut früh der schwarze Bildschirm...

tjaaaa..... mal gucken
Gruß derweil
Erich

[tracky]

Sowas nenne ich mal eine Tür weit öffnen! Huiii! Also ehrlich, alles was ich vom Absender nicht kenne wird ungelesen gelöscht, bzw. hängt im Spamfilter fest. Der externe Zugriff kann auch über MS gekommen sein, automatische Updates eingeschaltet. Dann eventuell noch Google auf'm Rechner und schon führt der ständig Gespräche nach draußen.
In der heutigen Zeit sollte man schon wissen, was man alles so tut. Nachts den PC online lassen ist auch nicht gerade die optimalste Idee. Bitte nicht als Vorwurf auffassen.
Ein Zurücksetzten des OS wird nicht all zu viel bringen. Ist es ein böswilliges Prog gewesen hängt es tief im System drin. Das es im geschützten Modus funktioniert ist normal, da alle optinalen Systeme abgeschaltet werden, sowie i.d.R. auch Treiber etc.

[nr_lightning]

Jo

Da hat Tracky nicht ganz unrecht, wenn es sich jetzt Natürlich um irgendein Schadprogramm gehandelt hat dann sieht es schlecht aus !

Mfg: Nico

[adminoli]

Hi,

zurücksetzten per Windows-Wiederherstellung halte ich auch nicht für wirklich brauchbar.

Was man machen kann, um mit derartigen "Ereignissen" keinen Stress zu bekommen, ist z.B. mit FP-Images zu arbeiten. Wenn ein Problem entsteht - zack, Image zurückspielen (ca. 2-10min) je nach System und installierten Programmen und sich wieder wohlfühlen.
Vorher sind natürlich Anpassungen am System zu machen, damit z.B. das E-Mail-Konto nicht auch wieder auf den "alten" Stand gebracht wird.

Alternativ oder zusätzlich mit virtuellen Umgebungen wie z.B. Oracle VirtualBox arbeiten.

Gruß
Oliver

[nr_lightning]

Jup .....

Möglichkeiten gibt es ja "Zum Glück" wie Sand am Meer ...

Für Kritische sachen nehme ich z.B. Auch VMWare oder Virtual PC mit ner Aktiven Rücksetz Funktion usw .....

An Lösungsansätzen soll es nicht mangeln

[tracky]

Schadprogramme auf einer virtuellen Oberfläche sind wohl eher unwahrscheinlich. Die Registry des OS wird in den hohen RAM gespielt, da einzudringen, ohne bemerkt zu werden eher unmöglich. Aber das ändert nichts am Problem von Tschosef. Hier wird wohl eine komplette Neubespielung nötig sein. Vorher Low Level Format, um das Untier zu bekämpfen. Manche Progs hängen ja auch im MBR fest. Da hilft nicht mal ein Neuaufsetzen.
Übrigens manche Progs bedienen sich der augenscheinlichen Struktur von Nichtschadprogrammen und werden so auch nicht gescannt. Anders rum habe ich bisher beim Wechsel von Antivirensoft immer ein "Schadprogramm" gefunden. Meist die Signatur des Vorgängerprogs. Sehr komisch wenn sich die Virenbuden gegenseitig böse Signaturen anhängen, nur um ihr Produkt zu forcieren. . .

[floh]

Low Level Format lassen die meisten Drives (zum Glück) gar nicht mehr zu. Da nimmt man DBAN (Dariks Boot and Nuke) um mal die ganze Platte unabhängig von Windows mit Nullen zu überschreiben. Dann neu partitionieren und aufsetzen.

Wenn wirklich Verdacht auf einen Schädling besteht würde ich nicht lange fackeln und die Kiste platt machen. Man weiss nie so genau was der Schädling alles macht. Wenn er "nur" Spam versendet ist es ja noch einigermassen harmlos. Wenn er aber mithilft eine Bank oder das weisse Haus zu knacken, sich an DDOS beteiligt oder alle privaten Dokumente nach Mailadresse, Bankangaben und ähnlichem durchstöbert... Was er heute noch nicht macht, kannn er vielleicht Morgen schon nachladen.

Wenn man sich einigermassen gescheit organisiert hat, ist ein neu aufsetzen selbst unter Windows kein grosses Problem. Ich habe lange genug im Windows-Support gearbeitet und dort wurde nicht lange gefackelt. Backups von den Daten hat man (oder sollte man haben), die ganzen Setup.exe, Lizenzen und Schnickschnack sollte man sich ohnehin irgendwo aufbewahren und die Einstellungen der Programme kenn man bald mal aus dem ff

[netzhaut]

Hi, im Grunde tendiere ich auch zur kompletten Neuinstallation. Solche Blockaden des Explorers werden gerne von Makro-Viren genutzt, um das System vor dem Laden der Dienste schon unter Kontrolle zu bringen. Aber malen wir den Teufel nicht an die Wand.

Vorher würde ich Windows "warm" drüber installieren, um zu schauen, ob das Problem damit behoben wird oder ob es danach immer noch besteht bzw. wieder auftritt. Einfach bei laufendem System die DVD rein und Upgrade auswählen. Einstellungen, Dienste und Registry werden zurückgestzt und alle Installationen und Dateien bleiben erhalten. Oftmals werden solche Probleme nicht von Viren, sondern von unerwarteten Operationen verursacht. Bootviren und Rootkits, die ein Neuschreiben des MBR notwendig machen, sind zwar auch nicht ausgeschlossen, aber dennoch relativ selten.

LowLevel-Formatieren würde ich keiner Platte zumuten, außer es sind schon Sektoren beschädigt. Aber das hilft in dem Fall meist auch nur temporär und man muss früher oder später eh die defekte Platte tauschen. Mir ist kein Rootkit bekannt, das ein Neuschreiben des MBR "überlebt".

[tschosef]

hai hai...

Sowas nenne ich mal eine Tür weit öffnen! Huiii! Also ehrlich, alles was ich vom Absender nicht kenne wird ungelesen gelöscht

hm... hm... tja... als "völlig blöde" bin ich ja nicht. Sorry, irgendwie klingen deine posts gerne nach "oh mann bis du dumm!!!"
bin ich aber nicht wirklich so ganz.

Warum ich die mail auf gemacht habe? War von UPS.... ich hab auch was bestellt, und erwarte die Sendung.... Der inhalt der mail war:
Good day.

The parcel was sent to your home address. And it will arrive within 3 business days.
More information and the tracking number are attached in document below.

Thank you for your attention.
UPS Global Mail.

und es ist "durchaus normal" dass manch Lieferservice (Hermes) den Empfänger über den Versand seiner Bestellung informiert... ich hab spät drüber nach gedacht... bisher hab ich auch noch nie so ne mail bekommen.... hab aber auch selten bei amazon was bestellt... diesmal ja.. bekam sogar am gleichen tag ne meldung vom Händler, dass heute die sendung auf gegeben wird.... also so "völlig blöde" war ich nicht. ich überleg schon ob ich ne mail auf mach oder nicht.

Es ist immer noch nicht ausgeschlossen dass die mail ne "ganz normale ist".. jetzt muss ich glatt das file mal mit nem hex editor öffnen

In der heutigen Zeit sollte man schon wissen, was man alles so tut. Nachts den PC online lassen ist auch nicht gerade die optimalste Idee. Bitte nicht als Vorwurf auffassen.

leider ist es meiner meinung nach so, dass gerade mit aktuellen Systemen nicht wirklich jemand weis was er alles tatsächlich tut. Welche Trheads laufen wirklich? weist du das 100%ig???? 90% meiner user wissen teils noch nicht mal wo sie grad die datei hin gespeichert haben... bei nem System wie Win 7 dass einem sogar verheimlicht, dass in den ordner den user grad ausgewählt hat, garnicht gespeichert wird, sondern in nem Virtual Store ist es extrem schwierig zu wissen, was man alles tatsächlich macht.

tja....

nun... Lowlevel format mach ich sicher nicht. Wenns überhaupt was "böses" ist.. dann ist es vermutlich auch schlau genug, sich auf allen medien breit zu machen, was heißt, ich müsste "alles" platt machen..

bisher hab ich keine erkenntnisse wie es zu dem Verschwinden des eintrags kommen kann.. könnte auch dieses super tollle Secure Taskmanager teil gewesen sein!!!! Wer weis was das für ein schrott ist. ich wollte damit eigentlich gucken, was wirklich grad alles so an Threads läuft!!!!

Tja...

nu flick ich erstmal die Registry... offensichtlich läuft scheinbar alles normal, sobald die Explorer.exe gestartet wurde.
ich werden dann auch noch googeln ob es mehrere fälle in der art gibt... Falls es um einen Angriff geht, dann is die Warscheinlichkeit relatiev gering, dass NUR ICH angegriffen wurde, und sonst keiner.

ich werde Berichten.

gruß derweil

erich

[tracky]

hm... hm... tja... als "völlig blöde" bin ich ja nicht. Sorry, irgendwie klingen deine posts gerne nach "oh mann bis du dumm!!!"
bin ich aber nicht wirklich so ganz.

Hab damit auch nicht sagen wollen, warum auch!? Jeder kann mit seinem System verfahren wie er will. Übrigens, ich bestelle ständig bei Amazon und hab noch nie eine UPS Mail erhalten, lediglich von Amazon eine Versendebenachrichtigung.

Welche Trheads laufen wirklich? weist du das 100%ig????

nöööö, hab ich auch nie behauptet.

Aber vielleicht sollte ich generell keine Antworten mehr an gewisse Forenmitglieder schreiben, da irgendwie meine Message immer falsch ankommt. . . .

[tschosef]

hai hai...

ne, sorry..... kannst schon antworten.. is ja wohl gut gemeint.
zum System.. ich hab ne systemwiederherstellung zum vorherigen zeitpunkt (vor 4 Tagen) gemacht... läuft nu wieder.
nu hab ich versucht die datei genauer unter die lupe zu nehmen... find sie aber nicht mehr... seltsam....

virenscann läuft grad... war aber auch nicht all zu alt ... hm... sehr seltsam das alles ist...

Gruß derweil
Erich

[tschosef]

hai hai..

etwas gegoogelt...


http://antivirus.about.com/b/2008/11/10 ... otyeth.htm

na klasse scheinbar gibt verschiedene meldungen in der art..... mir wurde ja berichtet dass die Trackingnummer drinn währ usw...
tatsächlich sah es aus wie ein word file, und war ne exe datei (im zip is es noch da)... scheinbar hat der virenscanner (echtzeitscann war aus.. mist) es jetzt weg gemacht.

nu stellt sich die frage, is es noch da??? is es noch böse?? usw....
echt [zensiert] das ist...

ich google mal weiter
gruß
Erich

[decix]

Mir ist kein Rootkit bekannt, das ein Neuschreiben des MBR "überlebt".

"In the wild" möglicherweise noch nicht, allerdings sind diese Forschungsansätze nun auch schon ~1 Jahr alt. Weitere Treffer bei Goggel... 'bios rootkit'.

@Tschosef:
- Ja, es ist zu 99% noch da. Neuinstallation.
- Virenscan nur von 'sauberer' BootCD (z.B. c't Desinfec't)., vom infizierten System gebootet weitestgehend sinnlos.
- Deinen verseuchten Mail-Anhang hier mal hochladen und prüfen lassen.

[ChrissOnline]

Na fein, solche Mails hatte ich auch schon diverse... hab sie aber bis jetzt nicht aufgemacht. Warum sollte ich auch ne Trackingnummer per Mail bekommen.

[nr_lightning]

Kleiner Tip zur vorbeugung meiner Seits ..

Ich lasse mri Grundsätzlich immer die Dateiendungen anzeigen, ist zwar beim Renaming manchmal nervig ( obwohl es seit Win 7 endlich besser geht da die Dateiendung ausgelassen wird ) aber grundsätzlich sieht man besser was man auf macht !

Auf die kleinen Bildchen verlasse ich mich nicht, denn wir wissen ja das man eine Exe aussehen lassen kann wie man möchte ...

Das ist zwar gewiss keine Ultimative lösung, aber ein Fehler ist das sicherlich nicht ...

[goamarty]

Die unterdrückten Dateiendungen sind überhaupt ideal für div. Viren, finde ich für eine der dümmsten Ideen von Microsoft. Stelle ich bei jedem System auf dem ich was machen muß sofort um.

[tschosef]

Tja....

im "nachhinein".... klar.......
Warum hab ich die datei geöffnet... gute frage.
Dateiendung anzeigen... klar... hätte ich angucken sollen
Stutzig werden bei Tracking nummer... ja.. hätte ich werden können (wobei ich schwören könnte, dass ich (zB bei EbayVerkauf) und Hermes schon die Option sah... "Benarchrichtigung an Empfänger schicken")

usw...

hilft nix, is wie es is, es is passiert..... ich hoff ich hab nu alles gut genug im griff.

by the way.... es is kein Virus, sondern ein Troyaner.... SpyBot hatte gestern nix mehr finden können. heut nehm ich ne Saubere CD von Arbeit mit, und dann mal gucken.

viele Grüße derweil
Erich

[lucas]

by the way.... es is kein Virus, sondern ein Troyaner.... SpyBot hatte gestern nix mehr finden können. heut nehm ich ne Saubere CD von Arbeit mit, und dann mal gucken.

Wie oben schon gesagt wurde. Vom selben PC aus einen Virenscan machen ist nutzlos. Aktuelle Viren haben rootkits und ersetzen alle Werkzeuge die Virenscanner verwenden. Nur wie Decix schrieb: Boot von einer CD und dort Scannen.

Hoffe das ist nicht der PC, mit dem du auch HE Laserscan entwickelst und auslieferst.

Grüße
Lucas

[tschosef]

Hoffe das ist nicht der PC, mit dem du auch HE Laserscan entwickelst und auslieferst.

aber selbstverständlich is das der
hm hmmm... hm hm hmmmmmmmmmmmmmm
tja........ hmmmmmmmm.....

nochmal es is kein Virus... also is ein virenscan sowiso hirnrissig!
Es is ein Troyaner der daten sammelt....

was mich echt etwas stutzig macht, is die "fehlende Hilfsbereitschaft" seitens Web oder auch hier
"ne echt qualifizierte Aussage" kann man kaum finden.
Hier wird gesagt: mach alles platt... am besten noch auch private bilder und Videos und he-laserscan

Im "Web" findet man:
A) viele tolle Programme die einem das blaue vom Himmel versprechen, und sagen sie finden alles..... effektiev finden sie nix, oder andere Probleme (zB soll ILD SOS böse sein! und LaserCam !!! auch böse !!! usw)... damit die Probleme beseitigt werden, muss man löhnen
B) Viele Meldungen nach dem Motto: VORSICHT... Diese mails nicht öffnen!!!! (na klasse!)

C) beinahe NULL INFORMATION was los ist, falls man die Mail schon geöffnet hat. Wo ändert sich was am system? wo hängen die Files? Wo wird die Registry geändert usw...????

das Teil scheint ja erstmal offensichtlich nicht besonders neu zu sein (2008/2009/kaum meldungen von 2010)... gibts da keine erfahrungen die Berichtet werden?

Was ich also habe ist:


O gott o gott mach lieber alles platt...
Warunung... öffnen sie nicht...
"AbzockProgramme" die einem das blaue vom Himmel versprechen
und bisher KEINEN EINZIGEN HINWEIS darauf, ob mein System tatsächlich befallen ist.

heut gefunden diesen Bericht
http://www.tecchannel.de/sicherheit/new ... ferschein/

der wenigstens "ansatzweise" tips gibt, nach was ich suchen muss.

Weiteres Vorgehen:
1) Saubere Boot CD und dann scannen
2) beschreibung link oben checken
3) weiter googeln und Schlaue Leute fragen.

irgendwie witzig diese sache

PS: falls jemand von mir keine Mail mehr haben mag, und kein update... dann bitte bescheid geben
gruß derweil
Erich

[ChrissOnline]

Sorry, dass da meine technischen Hilfestellungen etwas mager ausfallen (ich gehöre auch zur Sorte, der vorsichtshalber alles platt macht, allerdings habe ich ne Menge Backups dann ist das nur ärgerlicher Zeitaufwand).

Aber:

Was mich etwas wundert: Ein klassischer Troyaner schleicht sich doch ins System ein und sammelt Daten oder lässt den direkten Remote-Zugriff auf Deinen PC zu, aber er zerschiesst Dir doch normalerweise keine Dateien, zumindest keine systemrelevanten Dateien ohne die Du Windows nicht starten kannst... denn so wäre ja irgendwie der Effekt weg, dass er sich in aller Ruhe heimlich Daten klaut, weil man sowieso was unternehmen muss weil ja das System nicht mehr geht.

Und: Malware, Spyware (bzw. die Programme die einfach nur telefonieren aber keine Manipulationen im System von Aussen zulassen) etc. erscheint nicht zwangsläufig bei nem Virenkiller, aber Troyaner fallen doch normalerweise schon auch in diese Gruppe... hätte ich also schon erwartet, dass die ein Virenscanner auch mit anzeigt.

Nur so ein paar Gedanken, wenn auch wieder nicht grundlegend hilfreich.

[decix]

Erich, es gibt >600.000 Viren, Würmer, Trojaner und Varianten. Wie sollen wir dir hier fundierte Hilfestellung geben? Man kann nie genau wissen wo es sich festgesetzt hat und ob es nicht möglicherweise ein selbst modifizierender Schädling mit unterschiedlichen Varianten das System zu infiltrieren ist? Eine verseuchte Festplatte 100%ig sicher zu entseuchen ist schwierig und äußert zeitaufwändig , je nach plattengröße mehrere Stunden pro Scan und mit einem Virenscanner ist's nicht getan. Neuinstallation geht einfach schneller. Du darfst mir den Virus aber gerne mal schicken, ich versuche mal rauszubekommen worum es sich handelt.

Grüße... Andi

[goamarty]

Die Aussage: "alles plattmachen" kenne ich auch von den Sysadmins diverser Firmen. Ist halt das sicherste und schnellste, wenn man Backups hat. Datenfiles (Musik, Texte, Sourcecodes,...) sind wohl kaum zu infizieren und wären damit auch ohne Backup zu retten. Man muß aber genau aufpassen, daß sich auf dem Medium beim Transfer nicht versehentlich wieder was einnistet. Aber dem installierten System würde ich nicht mehr trauen, wenn es einmal verseucht war. Meine Versuche sowas zu säubern haben bisher noch nie zum Erfolg geführt.

[tschosef]

hai hai...

hm..... nun... Backup is kein problem... da bin ich mitlerweile gerüstet, und somit währe von der seite her platt machen kein Thema.
Aber alles wieder installieren.... ääääh igiit .... Mlan, Tv, Audio, netzwerk, Netlase und co.. und den ganzen scheiß das stresst mich

zumal ich ja noch nicht mal sicher weis, ob was passiert ist!
Fakt ist, es gab ne Datei die aussah wie word, aber ne exe war
Fakt ist, ich hab desshalb!!! dann diesen Secure Task Manager installiert
Fakt ist, Am nächsten tag ging Explorer.exe nicht mehr (wurde nicht mehr autom. gestartet)

Eine Wiederherstellung vom 15.10.2010 hatt dann wirkung gezeigt. Datei war weg. vermutlich auch alle Registry einträge.

Fakt ist: Seither findet kein Scanner (egal ob Virus oder sonstiges) was böses.... und ich hab den Tip "mach das System sicherheitshalber mal platt".

Hm... Hätte das teil anstandaslos funktioniert und sich nicht verraten, oder ich nicht die Vermutung gehabt, da könnte was sein, dann hätten wir gar keinen zweifel.

Irgendwie ist der tip "mach alles Platt" so ähnlich wie wenn ich in s Auto einen neuen Motor einbaue, weil vieleiiiicht ne Wespe in den Luftfilter geflogen ist, uns der Motor desshalb bald fressen könnte... Die Wespe ist nicht mehr nachweisbar weil vom Motor schon zermalen...

nun gut... ich überleg mir das noch. Irgendwie fehlt mir halt die zeit, und ich muss sowas dann nachts machen. nachmittags is Family... Tagsüber bin ich in Arbeit.. also Nachts... und da bin ich am liebsten müde

ich such mal das file (sofern ich es nochmal finde) und schicks dir dann

Grüße derweil
bis bald mal

[gernot]

hi erich ,

zu deinem Trost mir ist es auch schon mal so gegangen. allerdings kam das net per Mail. Da bin ich von natur aus vorsichtig. Hatte damals was drauf was mir das system voll ausgebremst hat. habe dann mal ein wenig gegoogelt und vor allem im abgesichertem modus mal alle systemordner nach auffälligkeiten duchsucht und auch die autostarts in der registrie. zu dem bin ich von antivir auf Rising free av gewechselt. die erkennung ist zwar 1-2% schlechter aber dafür erkennt rising modifikationen an den dateien und warnt sofort.
Inzwischen habe ich auch ein image vom system wo alle treiber Soft etc bereits drinne sind. eigene files etc liegen immer auf ner 2 partition bzw ein backup auf meinem Debian Server.

[lucas]

Ich kann sonst auch leider keine ratschläge geben, aber vielleicht für die Zukunft eine Idee um deine Entwicklungsumgebung nicht immer wieder neu zu installieren:

VirtualBox und darin einfach WindowsXP/7 installieren incl allem was man braucht. USB für DAC kann man durchreichen... ich baue so meine Software. Bis auf 3D kram geht das prima.

[tschosef]

hai hai....

hm... naja.. gut.. nun... also.... ich hab alles mögliche durchsucht. Viren gescannt und Troyaner gescannt, spybot und co, vom sauberen System aus (Boot CD)... ich konnte NICHTS finden... das einzige was gemeldet wurde ist die RiyaNetxerver_stdcall.dll das is aber nix neues. (warum, weis ich aber auch nicht).

das heißt:
der einzige punkt, der drauf hin deutet das da was sein könnte (vielleiiiiiiiiiiiiiicht was sein könnte) ist die Tatsache mit der Datei die ich angeklickt habe. Das ergebniss war ein defektes system das nicht mehr gebootet hat. Ich bilde mir mal ein, dass sich das Teil garnicht einnisten konnte weil es zum Fehler bei der Ausführung kam. Evtl war das ding nicht für win7 tauglich? keine Ahnung.

das defekte system veranlasste mich ja zur Wiederherstellung der Registry und auch des Dateizustandes vom 15.10. (also VOR dem Download der datei).
Diese is seither weg.

suche in Registry und Windows/system32 ordner (manuell) nach Einträgen und Files die dieser Angriff hinterlassen sollte blieb erfolglos.

Also... lass ich das System erstmal wie es ist. Ich hab die Firewall auf KilllerWachhundModus gestellt, mal gucken was alles so "nach aussen" komuniziert.

Noch ein weiterer Vergleich: Keiner wird ne ChemoTherapie beginnen, nur weil er 3 mal aus unbekannten Gründen gehustet hat, nach dem er mal eine Eternitplatte vom Dach montiert hatte.

Tjou.... ich werde zukünftig mehr aufpassen, und der Kampf um "Sauberes System" und Virenangriff wird weiter gehen. ich bin ja gespannt, was da noch alles kommt.

viele Grüße derweil
Erich

[decix]

Den Ratschlag deine HE-Entwicklungsplattform von deinem Internet-Arbeitssystem zu trennen würde ich an deiner Stelle erst nehmen.
Das beim Ausführen einer verseuchten Datei eine Fehlermeldung kommt ist ganz und gar nicht ungewöhnlich, letztendlich aber nur eine Bestätigung das der Virus korrekt installiert wurde. Du klickst die Messagebox ja selber mit 'OK' weg in der Annahme nur einen Fehler zu quittieren, in dem Moment schreibt er sich ins System. Witzig, nicht?
Falls du es oben überlesen hast, schick mir den Virus mal, ich schau nach wo und wie er sich einnistet.

[lucas]

Und nochmal:

Mit nem Virenscanner (okay, Trojanerscanner...) auf dem infizierten System suchen, ist wie Safety ohne Feedbackanschluss... nutzlos.

[goamarty]

Also eie xxx.doc.exe Datei ist eigentlich immer ein Virus, es giibt sonst keinen Grund sowas so zu benennen. Vielleicht liegst du auch mit deiner Vermutung richtig, daß der Virus nicht Win7 kompatibel ist und der Crash dein System gerettet hat. Daher ist es letztlich deine Entscheidung ob du dir die Sch***hacken mit der Neuinstallation antust oder noch zuwartest, im Bewußtsein, daß dein System verseucht sein könnte.