Hallo,

ich habe auf meinem Rechner eine Datei Namens „Site Real Boob.exe“. Wenn ich versuche die Datei zu löschen, meldet er Zugriff verweigert. Wenn ich die Datei mit AntiVir in Quarantäne setze, erstellt sie sich erneut. Ich habe die Datei erst seit kurzem, deshalb glaube ich nicht, das sie von Windows erstellt wurde. Meine Frage nun, ist das ein Virus und wenn ja, wie kann ich ihn entfernen OHNE Windows neu zu Installieren? Die Datei meldet seit heute außerdem alle paar Minuten, das irgendein Fehler aufgetreten ist, und raubt mir damit nicht nur CPU sondern auch meinen letztemn Nerv…

Gruß Kai

Guten Morgen,
auch in diesem Falle hilft gooooooooglen wirklich.
Gruss vom Bodensee
pst

Hi,
vesuch es mal in der Registry zu finden. Wenn du hast und löschen nichts nutzt: Wiederhole es im abgesixcherten Modus. Manchmal hilft das.
Gruß
BJ

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hi Kai

ich habe auf meinem Rechner eine Datei Namens „Site Real
Boob.exe“. Wenn ich versuche die Datei zu löschen, meldet er
Zugriff verweigert. Wenn ich die Datei mit AntiVir in
Quarantäne setze, erstellt sie sich erneut. Ich habe die Datei
erst seit kurzem, deshalb glaube ich nicht, das sie von
Windows erstellt wurde. Meine Frage nun, ist das ein Virus und
wenn ja, wie kann ich ihn entfernen OHNE Windows neu zu
Installieren? Die Datei meldet seit heute außerdem alle paar
Minuten, das irgendein Fehler aufgetreten ist, und raubt mir
damit nicht nur CPU sondern auch meinen letztemn Nerv…

dass es ein Virus ist, dürfte ja klar sein, dass er gleich wieder erscheint, wenn er unter Quarantäne gestellt wird, deutet drauf hin, dass du es mit einem Trojaner oder Wurm zu tun hast, der im Hintergrund werkelt.
Es gibt nicht allzu viele konkreten Aussagen über dies Malware. Sophos spricht vom W32/Sdbot-YT. Wenn es wirklich dieser Wurm ist, hast du Pech gehabt
Kurzbeschreibung: W32/Sdbot-YT ist ein Netzwerkwurm mit IRC-Backdoorfunktionalität.
W32/Sdbot-YT verbreitet sich auf andere Computer, die mit bestimmten Typen von Malware infiziert sind, und indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind.
W32/Sdbot-YT läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, über den ein remoter Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen erhält.
sprich: Neuinstallation von Win nicht zu vermeiden.
Versuch mal, die Datei boob.exe hier hochzuladen
http://virusscan.jotti.org/ und poste die Resultate.

Gruss
ExNicki

Hi BigJohn

vesuch es mal in der Registry zu finden. Wenn du hast und
löschen nichts nutzt: Wiederhole es im abgesixcherten Modus.
Manchmal hilft das.

Du gibt’s mal wieder gefährliche Tipps. Bei einem Wurm nutzt das soviel, wie ein Zimmerbrand mit einer Tasse Wasser zu bekämpfen.
Wenn es dieser Wurm ist, den ich vermute, W32/Sdbot-YT ,läuft er kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, über den ein remoter Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen erhält.
willst du aus deinem PC ein von aussen kontrollierten Server machen, der irgendwelche kriminelle Tätigkeiten ausübt?

Gruss
ExNicki

Ergänzung

Hi Kai

eine andere Seite spricht von einer Spyware: Swizzor.A
wäre vergleichbar harmlos gegenüber dem Wurm.
also scan mal die boob.exe, damit wir wissen, was wir bekämpfen sollen

Gruss
ExNicki

Du gibt’s mal wieder gefährliche Tipps.

Hi Nicki,
klar kennst mich doch. Ich versuche ja immer, mich an der eigentlichen Fragestellung „will nicht neu installieren“ zu orientieren.

Und „gefährliche Tipps“:
Jeder der weiß was ne Registry ist, weiß doch dass es gefährlich ist, dort einen Fehler zu machen. Das muss man doch nicht in jedem Satz wiederholen.
Wenn ich einen allgemeinenTipp gebe ist es anders als wenn ich genau den Weg beschreibe.
Allgemeine Tipps zu nutzen setzt Wissen voraus. Genaue Wege kann ich auch ohne Kenntnisse nachverfolgen… und DA ist dann die größere Gefahr.

Hättest du vorher gepostet, hätte ich deine Info ja lesen können. Dann hätte ich nicht weiter probiert.

Wenn du mal so durch die Bretter wanderst …
es wird immer schnell mit „Neuinstallation“ geantwortet.
Ist genauso als wenn jemand Schmerzen im Fuß hat und alles schreit „Amputation“.
Manchmal kann man mit „rumdoktorn“ vielleicht noch nen Zeh retten.

Und abschneiden kann man ja immer noch wenns nicht klappt.

OK. In diesem Fall heisst es jetzt auch von mir

KOPF AB !!! NEUINSTALLATION *g*

BJ

Hi BigJohn

Du gibt’s mal wieder gefährliche Tipps.

Hi Nicki,
klar kennst mich doch. Ich versuche ja immer, mich an der
eigentlichen Fragestellung „will nicht neu installieren“ zu
orientieren.

Das ist dein Fehler. Keiner will sein Windows neu aufsetzten, das ist nun mal mit einiger Arbeit verbunden. Aber die wenigsten wissen, dass die bei bestimmter Malware auf einer Zeitbombe sitzen, ein Wurm ist nun mal nicht mit dem Löschen von ein paar Einträgen aus der Registry zu entfernen, und du weisst nicht, was er in seiner „aktiven“ Zeit schon alles aus dem Internet nachgeladen hat.

Und „gefährliche Tipps“:
Jeder der weiß was ne Registry ist, weiß doch dass es
gefährlich ist, dort einen Fehler zu machen. Das muss man doch
nicht in jedem Satz wiederholen.

Das gefährliche ist nicht, in der Registry rumzuwühlen, sondern den User im Glauben zu lassen, dass er damit jede Malware killen kann. Siehe oben.

Hättest du vorher gepostet, hätte ich deine Info ja lesen
können. Dann hätte ich nicht weiter probiert.

Wenn du mal so durch die Bretter wanderst …
es wird immer schnell mit „Neuinstallation“ geantwortet.
Ist genauso als wenn jemand Schmerzen im Fuß hat und alles
schreit „Amputation“.
Manchmal kann man mit „rumdoktorn“ vielleicht noch nen Zeh
retten.

was ich auch immer wieder versuche. Aber nochmal: wenn dein System kompromitiert ist, nutzt kein Zeh abschneiden mehr. Weil der Virus schon in anderen Teilen deines Körpers sitzt. Und du weisst nicht, in welchen.

OK. In diesem Fall heisst es jetzt auch von mir
KOPF AB !!! NEUINSTALLATION *g*

noch nicht. Bis jetzt haben wir nur Vermutungen.
Aber mit einem anständigen Image-Backup ist dies sogar schneller geschehen, als stundenlang ohne Erfolg herumzudoktern. Deshalb wird hier ja immer wieder gepredigt, die Win-Partition zu sichern.

Gruss
ExNicki

Jeder der weiß was ne Registry ist, weiß doch dass es
gefährlich ist, dort einen Fehler zu machen. Das muss man doch
nicht in jedem Satz wiederholen.

Nein, dass muss man nicht wiederholen. Aber dir muss man offenbar noch tausend mal sagen, dass ein Schadprogramm die Registry so manipulieren kann, dass du seine Einträge gar nicht zu Gesicht bekommen wirst und diese daher auch nicht finden und löschen kannst.
Das gefährliche ist daher, dass du annimmst, dass dein „Registry-Vorschlag“ den Rechner wieder sauber machen kann. Kann er nicht!! Und deshalb ist er sinnlos!

To whom it may be of interest: SWIZZOR.A

ich habe auf meinem Rechner eine Datei Namens „Site Real
Boob.exe“. Wenn ich versuche die Datei zu löschen, meldet er
Zugriff verweigert. Wenn ich die Datei mit AntiVir in
Quarantäne setze, erstellt sie sich erneut. […]

Nach diversen e-mails und log-Analysen hat sich dann herausgestellt, das die Malware Swizzor.A war, ein Programm das lediglich dafür da ist Werbepopups einzuspielen und sich selbst upzudaten.
Der Verbreitungsweg ist meist Huckepack mit anderer Software als sogenanntes Sponsorenprogramm, die bekanntesten Programme dafür sind Netpumper und MessengerPlus3 (in diesem Fall war der letzere der Träger)
Wen es interessiert resp wer mit der gleichen Malware zu kämpfen hat, hier ist die Anleitung zur Entfernung:

_# 1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.

2.) Besorgt euch HijackThis und scannt damit euer System.

3.) Normalerweise hat Swizzor mindesten zwei Einträge, einen O2 und einen O4 Eintrag, diese verweisen immer auf Ordner in folgendem Pfad:

C:\DOKUMENTE UND EINSTELLUNGEN*USER*\ANWENDUNGSDATEN*beliebiger Ordnername*

*User* Steht für einen beliebigen Benutzer, kann aber auch den Pfad „All Users“ meinen.

Häufig werden die Ordnernamen bei HijackThis abgekürzt, das sieht dann folgendermaßen aus:
C:\DOKUME~1 (~1 steht also für beliebig folgende Buchstaben oder Zahlen)

Mal ein paar Beispieleinträge, damit ihr wißt nach was ihr suchen müßt:

O2 - BHO: (no name) - {4774DFA6-2A34-46A1-AD67-A81DC29573FB} - C:\DOKUME~1*User*\ANWEND~1\EXITSI~1\shimwipe.exe
O2 - BHO: (no name) - {C434066A-AFBD-C484-4679-77547D40E815} - C:\DOKUME~1*User*\ANWEND~1\FACEVI~1\bleh live.exe
O4 - HKLM…\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
O4 - HKLM…\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe

4.) Wenn ihr jetzt die betreffenden Einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betreffenden Ordner, bei den Beispieleinträgen wären das folgende:

C:\DOKUME~1*User*\ANWEND~1\EXITSI~1\
C:\DOKUME~1*User*\ANWEND~1\FACEVI~1\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\

dann, immer noch im abgesicherten Modus, fixt (Haken davor und auf „fix checked“) ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBs…. html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcS…

5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

C:\WINDOWS\tasks\A58DA13791965BA7.job
C:\WINDOWS\tasks\AE3C1401919B8531.job
C:\WINDOWS\tasks\A60C46BB9187FF23.job

löscht diese Datei mit killbox on reboot.

6.) Jetzt löscht ihr noch eure Temp Dateien mit Cleanup! und deaktiviert die Systemwiederherstellung, führt einen Neustart durch und aktiviert sie wieder. Löscht ev. noch die Backups von HijackThis (unter „view the list of Backups“ die jeweiligen aussuchen und auf delete klicken)._

frisch geklaut aus dem Trojaner-Board
hat bei Kai offensichtlich funktioniert

Gruss
ExNicki