# A2 findet Dialer - NAV 2004 nicht



## Tilo (31 August 2004)

Genauso ist es. Ich hab seit einiger Zeit einen Dialer auf dem Rechner. Finden tut diesen außschließlich a2. NAV 2004 findet diesen Dialer nicht. Da ich keine Ahnung habe warum das so ist bzw. wie ich das verflixte Ding wieder los werd frag ich halt hier mal nach. Nach der Entdeckung durch a2 laß ich das Teil auch gleich entfernen durch selbiges Programm. Danach dauert es höchstens 2 Tage und das "nette" Programmchen ist wieder da wo es vorher war. Es ist zum  :bigcry:  Online gehen kann das Teil zum Glück nicht, da ich über DFÜ manuell online gehe und nur die "offizielle" 0190 Nummer meines Providers als erlaubte Verbindung bei YAW hab. Nervig ists trotz allem. Vor allem, weil ja NAV auch meinen Posteingang überwacht und den Dialer eigentlich hätte entdecken müssen...(Wieso hat es das nicht????)

Den a2 Report hab ich mal für den Anfang mit eingespielt als Anhang: 

    a² Report 
Dateiname Diagnose 
C:\_RESTORE\TEMP\A0908077.0 Dialer 
C:\_RESTORE\TEMP\A0920752.0 Trojan.Win32.Dialer.dc


----------



## Fidul (1 September 2004)

Wenn NAV das Teil nicht erkennt, kannst du die verdächtige Datei an Symantec schicken.


----------



## Anonymous (1 September 2004)

Is ja gut und schön, nur hab ich keine Ahnung, WELCHE der Dateien mit dem Trojaner bzw. Dialer infiziert ist und ich demzufolge an Symmantec senden soll...


----------



## Tilo (1 September 2004)

Der Gast war dummerweise ich, weil ich vergessen hab, daß ich nicht angemeldet war.





			
				Anonymous schrieb:
			
		

> Is ja gut und schön, nur hab ich keine Ahnung, WELCHE der Dateien mit dem Trojaner bzw. Dialer infiziert ist und ich demzufolge an Symmantec senden soll...


Logo im Report steht Restore- nur das kann alles oder nichts bedeuten...


----------



## Tilo (1 September 2004)

Mittlerweile hat auch NAV die bösartigen Teile gefunden- nur löschen kann es diese Teile nicht. Anbei mal das Protokoll:

Quelle: A0794395.CPY 
Beschreibung: Die komprimierte Datei A0794395.CPY innerhalb von C:\_RESTORE\ARCHIVE\FS1493.CAB ist eine Adware-Bedrohung. 


Quelle: A0794383.CPY 
Beschreibung: Die komprimierte Datei A0794383.CPY innerhalb von C:\_RESTORE\ARCHIVE\FS1493.CAB ist eine Adware-Bedrohung. 


Quelle: C:\_RESTORE\TEMP\A0906847.CPY 
Beschreibung: Die komprimierte Datei A0906847.CPY innerhalb von C:\_RESTORE\TEMP\A0906847.CPY ist eine Dialer-Bedrohung

Quelle: C:\_RESTORE\TEMP\A0906847.CPY 
Beschreibung: Die Datei C:\_RESTORE\TEMP\A0906847.CPY ist mit dem Virus Bloodhound.Packed infiziert. 


Wie krieg ich dieses Ungeziefer wieder los??? Manuell in die Registry eingreifen halt ich für mehr als gefährlich (soviel Computerwissen hab ich nun doch nicht)


----------



## Smigel (1 September 2004)

Die Dateien sind in der Systemwiederherstellung gesichert.
In komprimierten Dateien kann ein Virenscanner meistens nicht löschen.

Der einfachste Weg ist die Systemwiederherstellung auszuschalten und dann den Rechner erneut zu scannen. Danach wieder aktivieren.


----------



## Tilo (1 September 2004)

Smigel schrieb:
			
		

> ... In komprimierten Dateien kann ein Virenscanner meistens nicht löschen.
> Der einfachste Weg ist die Systemwiederherstellung auszuschalten und dann den Rechner erneut zu scannen. Danach wieder aktivieren.



Du meinst also, ich soll die Systhemwiederherstellung einfach ausschalten? Das hab ich noch nie getan bzw. habe ich keine Ahnung, wie ich das tue! Also 1."Ausschalten" 2.erneut scannen 3. die entsprechenden Malwaredateien löschen (sofern es geht) 4. "Einschalten" Hab ich den Ablauf richtig verstanden soweit?


----------



## Smigel (2 September 2004)

Ja, wobei normalerweise der Restore-Ordner beim ausschalten der Systemwiederherstellung gelöscht wird. Damit müssten die Daten weg sein. Wenn Du dann die Systemwiederherstellung einschaltest wird der Ordner neu erstellt.

Ausschalten kann man die Systemwiederherstellung über
Systemeigenschaften und den Reiter Systemwiederherstellung.


----------



## Tilo (3 September 2004)

Also jetzt hab ich mich zu dem entsprechenden Reiter durchgehangelt und das Häkchen gesetzt bei "Systhemwiederherstellung deaktiviert". Danach dann einen weiteren Scan (diesmal mit Restore Ordner :lol: ). wieder hab ich die bösen Dinge gefunden und erneut ist der Erfolg Gleich Null. Löschen nicht möglich!  


                             ??? UND NU ???


----------



## Devilfrank (3 September 2004)

Nach dem Haken setzen erstmal neustarten. Am besten in den abgesicherten Modus ( F8 ) beim booten drücken und dann nochmal scannen und eliminieren.


----------



## Tilo (4 September 2004)

Resultat: siehe oben   

In diesem Zusammenhang ist es aber interessant, das a2 die Malware findet und eliminieren kann. danach starte ich entweder NAV oder den Computer neu und erst danach NAV. In BEIDEN Fällen findet jetzt NAV wieder die angeblich gelöschte Malware. A2 übrigens im Anschluß auch wieder. muß ich das verstehen??? :withstupid:


----------



## Devilfrank (4 September 2004)

http://forum.computerbetrug.de/viewtopic.php?t=5593

Geh mal die Schritte durch.


----------



## Tilo (5 September 2004)

Danke erstmal bis hierher. Sobald es meine Zeit zulässt, werd ich diese Schritte unternehmen. Ich meld mich dann wieder mit dem Ergebniss, das hoffentlich postiv ist.


----------



## Tilo (5 September 2004)

So liebe Leut, nun wollte ich das mal probieren, wie beschrieben. In den abgesicherten Modus komme ich, hab aber dort keine Maus zur Verfügung. Tastaturmaus (Alt+...)funktioniert auch nicht. Naja und ohne das kann ich nun mal keinen Virenscan starten.
Kann ich das evtl mit dem ChipAway(oder so ähnlich) Virenscan tun? Wenn ja, wie starte ich den? Im BIOS ist das Teil als Enabeld eingestellt.


----------



## Tilo (12 September 2004)

Soll ich jetzt den Stecker ziehen oder in der Registry rumpfuschen oder gibts doch noch eine Lösung?   

Ich habe mittlerweile zweimal im abgesicherten Modus den kompletten Scan durchlaufen lassen-ohne Erfolg!  :evil: Die Schädlinge sind immer noch da! Sogar im abgesicherten Modus und mit ausgeschalteter Systemwiederherstellung läßt sich dieses Ungeziefer nicht löschen. NAV meldet nach wie vor "Löschen fehlgeschlagen"  :x  :evil:  Die anderen Scanner (Spyboot etc.) laufen im abgesicherten Modus auf meinem Rechner nicht, so das ich diese auch nicht einsetzen kann. Und nu???


----------



## Devilfrank (13 September 2004)

Schnapp Dir das HijackThis und poste das SaveLog als txt-Attachement hier. Dann schaun wir mal weiter.


----------



## Tilo (13 September 2004)

Wie gewünscht. Ging ja mehr als fix dieser Scan.


----------



## technofreak (13 September 2004)

Devilfrank schrieb:
			
		

> und poste das SaveLog als txt-Attachement hier.


Posting editiert  und Log als Textfile attached 

tf


----------



## Tilo (14 September 2004)

> Posting editiert  und Log als Textfile attached  tf



Was war falsch?


----------



## technofreak (14 September 2004)

nicht falsch , aber wenn jeder (was in letzter Zeit häufig vorkommt ) Log-Dateien in das Posting  kopiert   
anstatt als Anhang zu posten, gibt das uferlos lange Postings und damit Threads 
 die vollkommen unübersichtlich sind, außerdem sind oft gefährliche Links in den Logs ,
 daher die Bitte von DF, das anzuhängen anstatt als Text ins Posting zu kopieren

tf


----------



## Devilfrank (14 September 2004)

Aus diesem Log geht keine aktuelle Bedrohung hervor. Die gemeldeten Funde dümpeln im Restore-Ordner der Systemwiederherstellung herum.
Was ich jetzt nicht verstehe ist, warum die dort im abgesicherten Modus nicht gelöscht werden können.

Letzendlich kannst Du nun noch die Radikalinski-Methode machen und den Rechner von Diskette auf der DOS-Ebene starten.
Danach kannst Du den Ordner C:\_Restore löschen. Damit sind dann *alle bisherigen Wiederherstellungsdaten gelöscht !!!* und der Ordner wird beim nächsten Systemstart neu erstellt.


----------



## Tilo (14 September 2004)

technofreak schrieb:
			
		

> nicht falsch , aber wenn jeder (was in letzter Zeit häufig vorkommt ) Log-Dateien in das Posting  kopiert
> anstatt als Anhang zu posten, gibt das uferlos lange Postings und damit Threads
> die vollkommen unübersichtlich sind, außerdem sind oft gefährliche Links in den Logs ,
> daher die Bitte von DF, das anzuhängen anstatt als Text ins Posting zu kopieren
> ...



  Das Attachment Kontrollzentrum habe ich bisher NIE benötigt und daher wohl nicht so recht für voll genommen. werds mir merken fürs nächste mal. Aslo Sorry - war mein Fehler


----------



## Smigel (15 September 2004)

Einfach die Systemwiederherstellung über

Arbeitsplatz -> Eigenschaften

und dann den beim Reiter Systemwiederherstellung diese für alle Laufwerke abschalten.

Neustarten und die Systemwiederherstellung wieder aktivieren.

Die Dateien der Systemwiederherstellung sind auch im abgesichertem Modus gelockt da in gebrauch. Deswegen ist ein löschen nicht möglich.


----------



## Tilo (15 September 2004)

Also noch mal langsam, daß ichs richtig verstanden hab: Ich soll die Systhemwiederherstellung ausschalten und dann den Rechner neu starten. Nach dem Neustart soll ich die Systemwiederherstellung wieder einschalten. Und dann? Mit eingeschalteter Systemwiederherstellung noch mal nen Neustart? Oder nich? Oder is das Problem dann erledigt? Soll ich dann noch mal einen Virenscan mit allen Scannern durchführen? Was, wenn die Viren dann immer noch da sind? Ich weiß zu viel Fragen auf einmal...  :roll:  Erklärs mir noch mal in aller Ausführlichkeit, ich bin im Moment wahrscheins ein wenig begriffsstutzig. Liegt daran, daß ich arbeitsmäßig recht viel um die ohren hab und so ganz nebenbei auch noch ein Haus zu bauen versuche. Da gibts auch so div, Termine und Erledigungen. Naja und meine Familie will auch ab und zu mal ewas von mir haben...


----------



## Tilo (14 Oktober 2004)

:bigcry:  :evil:  Funktionieret alles nicht!!!! -Leider- Vorschläge???


----------

