Hi!
Avira meldet bei mir sobald ich ein Fenster starte TR/Inject.24064 als gefundenen Trojaner. Allerdings finde ich niergendwo brauchbare Informationen was das jetzt wirklich ist, bzw. wie ich das loswerde.
detected in file ‚C:\WINDOWS\system32\khfFvUlL.dll.
Action performed: Delete file[/code] [code]Error detected in AntiVir Guard.
Error message: Action failed for file: C:\WINDOWS\system32\khfFvUlL.dll
Error code: [0x00000005 – Access is denied.].[/code]
Kann mir jemand helfen wie ich mein System wieder „reinlich“ bekomme?
Danke!
Moin!
Wahrscheinlich ist das DLL geschützt, weil es gerade ausgeführt wird. Entweder könntest du mit dem ProcessExplorer schauen wo es läuft und das Handle dann schließen und danach die Datei löschen oder ggf. im abgesicherten Modus starten und dort dann die Datei löschen.
In jedem Fall heißt das aber nicht, dass dein System danach „sauber“ ist, sondern nur, dass keine weitere Veränderung bekannt ist. Der Virus könnte ja mittlerweile noch unbekannten Schadcode aus dem Netz nachgeladen haben, weitere Dateien modifiziert haben etc. Daher ist bei *jeder* Infektion eigentlich nur eines zu raten: System sauber neu installieren. Ist zwar mehr Aufwand, aber danach ist das System wenigsten auf jeden Fall sauber. Bei jedem anderen Weg bleibt immer die Restmöglichkeit, dass doch noch irgendwas auf dem System zu finden ist.
[quote=“LostSoul, post: 4556″]Moin!
Wahrscheinlich ist das DLL geschützt, weil es gerade ausgeführt wird. Entweder könntest du mit dem ProcessExplorer schauen wo es läuft und das Handle dann schließen und danach die Datei löschen oder ggf. im abgesicherten Modus starten und dort dann die Datei löschen.[/QUOTE]
Habe keinen passenden Prozess gefunden, allerdings konnte ich bei einem vollen Scan von antivir angeben, dass es mir das Dingens beim Neustart löschen soll, da die Datei geschützt ist – das hat aber offensichtlich nicht funktioniert.
Warum finde ich dazu niergendwo Informationen was das eigentlich ist?
Neuinstallieren wollte ich sowieso schon länger mal, aber wenn ich jetzt noch ein paar Daten wegbrenne, wie stelle ich sicher, dass die nicht gleich mitinfiziert werden?
Ich würde die Datei erst mal von anderen Scannern (online) prüfen lassen. Vielleicht ist es ja ein Fehlalarm.
Eine ausführliche Anleitung findest Du u.a. hier
[url]http://forum.hijackthis.de/showthread.php?t=2912[/url]
Viel Erfolg
joscho
Moin!
[quote=“tomte, post: 4557″]Habe keinen passenden Prozess gefunden, allerdings konnte ich bei einem vollen Scan von antivir angeben, dass es mir das Dingens beim Neustart löschen soll, da die Datei geschützt ist – das hat aber offensichtlich nicht funktioniert.[/quote]
Wenn die DLL vor AntiVir gestartet werden würde, wäre es für Antivir nicht mehr möglich die DLL dann noch zu löschen.
Hast du nach einem Prozess oder nach einem Handle gesucht?
[quote=“tomte, post: 4557″]Neuinstallieren wollte ich sowieso schon länger mal, aber wenn ich jetzt noch ein paar Daten wegbrenne, wie stelle ich sicher, dass die nicht gleich mitinfiziert werden?[/QUOTE]
Das ist die Crux an dem Thema. Das Problem ist, dass du, wenn du weiterhin Dateien nutzen willst/musst, die auf einem infizierten System waren, nie 100%-ig sicher gehen kannst, dass diese auch wirklich sauber sind. Du kannst nur das Risiko minimieren.
Das Problem ist nur, dass du keine Ahnung hast, wo und wie sich der Wurm/Virus/was-auch-immer im System eingenistet hat und evtl. wieder aktiv geschaltet wird, selbst wenn du der Meinung bist, dass er nun gelöscht sei.
Also kannst du eigentlich nur, sinnvollerweise aus lesend von einer sauberen Bootquelle aus, die Daten überprüfen lassen, bevor oder nachdem das System neu aufgesetzt wurde. Sinnvollerweise zieht man sich dafür ein Linux-(Live-)ISO, brennt das, startet das System damit und lässt die Platte von dem System aus überprüfen – am besten mit mehreren Scannern (zur Not auch mit den Onlinescannern). Wenn dabei nichts rauskommt, kannst du zumindest davon ausgehen, dass der Scanvorgang an sich nicht von einem Virus beeinflusst wurde und die neusten Virenscannerversionen nichts erkannt haben – aber wie gesagt: ein Restrisiko bleibt immer bestehen und sei es auch nur, weil der Virus eine (noch) unbekannte Variation eines alten Viruses ist o.ä.
Paranoid kann man immer sein und bleiben. 😉
Habe jetzt eine DVD Daten (mehr ist es zum Glück nicht und auch nur Bilddateien…) runtergebrannt und werde die durch mein Linux durchschleusen. Danach neu installieren und damit sollte sich das Thema erledigt haben. Allerdings frage ich mich immer noch was das wirklich für ein Ding ist, denn ich kann dazu nichts im Netz finden 🙁