Windll.exe durch Backdoor infiziert

Hi,
auf meinem System ist die Windll.exe mit dem Backdoor Trojaner infiziert. Norton Antivirus sagt mir das ich die Datei löschen muss weil sie sich nicht mehr reparieren lässt. Kann ich die Datei löschen ? Hört sich nämlich ziemlich wichtig an die Datei.
Ich bitte um Antwort
Power

 

Wie bereits durch Steele erwähnt und von mir kommentiert, ist mein Posting von der Ausdrucksweise her etwas "misslungen" - damit ist die Sache jetzt aber durch, oder will da NOCH jemand drauf herumreiten ?!?! ;-) ;-)

Gruß,

anakin_x4

 

Wenn sie als Systemdateien gelten und noch irgendwo in einem DLL-Cache hängen, kann es sein, daß Windows sie beim nächsten Start tatsächlich auch nach Löschung automatisch wiederherstellt... ein tolles Feature :-)

 

Schöne Diskussion führt ihr hier
Ich weiss nur das nach entfernen der Registry und löschen der File mein System wieder Clean is , zum Glück !
Danke für eure Hilfe !

 

Hallo anakin_x4

Du schreibst :"Nicht ganz : Windows legt aufgrund von Registry-Einträgen sogar recht häufig Dateien an "
Ich denke, das kann man so nicht sagen.Hast Du dafür mal ein Beispiel ? Soweit ich weiß,erzeugt Windows zwar einzelne temporäre Dateien im Temp-Ordner, aber in dem Sinne, wie Du es schreibst, werden durch Registry-Einträge keine Dateien e r z e u g t .Sie müssen schon irgendwie in\'s System gebracht werden und können dann durch Registry-Einträge aufgerufen werden.Interessant ist dabei, dass es wesentlich mehr "Startrampen" für das Starten von Programmen in der Registry gibt,als allgemein bekannt ist.Jedenfalls reicht es nicht aus, nur die Run-und RunOnce-Einträge zu untersuchen.

mfg franzkat

 

Genau dieses meinte ich :-)

Gruss,

anakin_x4

 

Schnurz nicht, aber keinesfalls so, wie du das darstellst. Du verallgemeinerst zu sehr.

Üblicherweise finden sich in der Registry lediglich die AUFRUFE einer EXE oder sonstiger Dateien mit Schadfunktion. Ist die Datei selbst gelöscht, ist der Aufruf nur noch Auslöser einer Fehlermeldung. Allerdings sichern viele Schädlinge ihren Fortbestand dadurch, dass sie entweder eine Datei starten, die ihrerseits erst den Schädling generiert oder dadurch, dass sie NEBEN dem Aufruf des Schädlings auch noch eine Datei starten, die bei Löschen des Schädlings neue Varianten mit abweichendem Namen generiert und deren Autostart wieder in der Registry verankert. In diesen Fällen muss natürlich der Hauptverursacher der Epidemie gefunden werden, damit die Registry nicht mehr manipuliert werden kann. Ein guter Virenscanner und das Studium der über den gefundenen Schädling veröffentlichten Daten auf der Seite des AV-Herstellers sollten da ausreichen.
[Diese Nachricht wurde von Steele am 17.12.2002 | 01:22 geändert.]

 

"Ich glaube, windll.exe ist sogar die Quelle. Und REG-Einträge nutzen gar nichts ohne die entsprechenden Dateien, somit ist ein REG-Eintrag schnurtz, würde ich sagen. "

Nicht ganz : Windows legt aufgrund von Registry-Einträgen sogar recht häufig Dateien an - insofern sind diese nicht von schlechten Eltern. Und gerade Viren / Trojaner nutzen diese Möglichkeit, um sich hartnäckig und dauerhaft im System einzunisten. Da kannst Du Dateien löschen bis Du grün wirst ;-)
Klar wird der Norton weiterhin brav die windows.dll als infiziert melden - aber das war}s dann auch ...
Kleine Gute-Nacht-Lektüre :
http://www.trojaner-info.de/archiv/girlfriend_135.html
http://www.nsclean.com/psc-gf.html
http://www.securityspace.com/smysecure/catid.html?id=10094
http://www.glocksoft.com/trojan_list/GirlFriend.htm
http://www.secadministrator.com/Panda/Index.cfm?FuseAction=Virus&VirusID=400
Also meiner Meinung nach ist die Registry keineswegs schnurz ... oder ? ;-)

Ebenfalls gute Nacht,

anakin_x4

 

überflüssigen\' Einträgen scannen. Ist aber schon zu lange her, dass ich was davon gelesen habe.

Naja, gute Nacht.

Ciao petack

 

Schön und gut, nur leider sitzt der Bösewicht dann immer noch in der Registry - und beim nächsten Neustart ist wieder alles wie vorher ...

Gruß,

anakin_x4
[Diese Nachricht wurde von anakin_x4 am 16.12.2002 | 23:38 geändert.]

 

in Benutzung\' ist. Du entfernst sie dort und kannst die Datei dann im Verzeichnis löschen ;-)

Ciao petack

 

Nix wie weg damit ! Siehe hier : http://sophos.de/virusinfo/analyses/trojgf130b.html

Gruß,

anakin_x4

 

also kann ich die file problemlos löschen ??

ich kann das file nicht löschen , es kommt ein fehler ?!??
[Diese Nachricht wurde von Powerline am 16.12.2002 | 23:27 geändert.]

 

Diese Datei IST der Trojaner. Dass sie sich wichtig ANHÖRT, ist ja der grundlegende Trick der Trojaner, um nicht gelöscht zu werden. LÖSCHENNNNNNNNNNNNNNN!!!!!!