NetBus

Internet Internet Sicherheit
#1

Hallo WWW-Experten,

Norton Antivirus hat auf meinem W95 Rechner den NetBus gefunden. Die Datei patch.exe (lag direkt im Windows-Ordner) war damit infiziert. Der Versuch, die Datei zu reparieren, wurde mir der Meldung „Kein Zugriff. Wird von Windows gerade benutzt.“ (oder so) abgeschmettert. Daraufhin habe ich die Datei patch.exe im DOS-Modus gelöscht.
NAV findet jetzt keine infizierte Datei mehr, mein System zeigt aber immer noch komische Symptome wie spontane Zugriffe auf A:\ usw…
Ist der Trojaner noch aktiv oder nicht? Muß ich noch mehr beseitigen, evtl. andere Dateien oder Registry-Einträge? Wie bekomme ich meinen Rechner wieder cleen?

Danke für Eure Hilfe
Gruß
Sierra

#2

Norton Antivirus hat auf meinem W95
Rechner den NetBus gefunden. Die Datei
patch.exe (lag direkt im Windows-Ordner)
war damit infiziert. Der Versuch, die
Datei zu reparieren, wurde mir der Meldung
„Kein Zugriff. Wird von Windows gerade
benutzt.“ (oder so) abgeschmettert.
Daraufhin habe ich die Datei patch.exe im
DOS-Modus gelöscht.
NAV findet jetzt keine infizierte Datei
mehr, mein System zeigt aber immer noch
komische Symptome wie spontane Zugriffe
auf A:\ usw…
Ist der Trojaner noch aktiv oder nicht?
Muß ich noch mehr beseitigen, evtl. andere
Dateien oder Registry-Einträge? Wie
bekomme ich meinen Rechner wieder cleen?

Der Vollständigkeit halber solltest Du mit Regedit auch unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run\
den Eintrag zu ‚patch.exe‘ entfernen.
Die Datei ‚KeyHook.dll‘ ist ebenfalls Bestandteil von NEtBus und sollte entfernt werden.
Ohne patch.exe ist Netbus nicht mehr funktionstüchtig. Die ausbleibende Meldung durch NAV ist also realistisch.

Was die Zugriffe auf LW A: angeht, so werden diese von NAV selbst verursacht oder auch beim Aufbau des Startmenüs durch Verknüpfungen mit LW A:, also beispielsweise Dokumente, die von dort geöffnet wurden.

CU
Markus

#3

Danke!
Hi Markus,

ich danke Dir für die schnelle Hilfe.
Den Eintrag in der Registry habe ich die Tage entdeckt, indem ich einfach nach patch.exe gesucht habe. Den angezeigten Schlüssel habe ich direkt gekillt.

Das mit der dll wußte ich noch nicht, werd ich auch noch löschen.
Das war dann also meine erste Begegnung mit einem Trojaner …

Gruß
Sierra

Der Vollständigkeit halber solltest Du mit
Regedit auch unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndow
s\CurrentVersion\Run\
den Eintrag zu ‚patch.exe‘ entfernen.
Die Datei ‚KeyHook.dll‘ ist ebenfalls
Bestandteil von NEtBus und sollte entfernt
werden.
Ohne patch.exe ist Netbus nicht mehr
funktionstüchtig. Die ausbleibende Meldung
durch NAV ist also realistisch.

Was die Zugriffe auf LW A: angeht, so
werden diese von NAV selbst verursacht
oder auch beim Aufbau des Startmenüs durch
Verknüpfungen mit LW A:, also
beispielsweise Dokumente, die von dort
geöffnet wurden.

CU
Markus