Virus W32.Badtrans

Anonym · 30. November 2001 um 23:43

Hallo leute auch ich habe mir diess teil heute zugezogen, nun hat Norton Antivirus ihn auch gefunden, der Virus hat die datei kdll.dll und kernel32.exe infiziert, nun meint norten das er die nicht reparierem kann, ich soll sie löschen und durch nicht infizierte ersetzen (Windows XP) kann mir jemand schreiben wo ich die herbekomme?? auf der Windows XP CD sind sie nicht zu finden.

Danke Clemens

Anonym · 1. Dezember 2001 um 00:35

Moin Clemens,

ich soll sie löschen und durch nicht infizierte ersetzen

stimmt nicht ganz. Nur löschen, nicht ersetzen, sind nämlich keine infizierten Windows-Dateien, sondern vom Wurm mitgebrachte. Also folgendes Procedere:

Windows neu starten
Während des Neustarts häufiger F8 drücken (Startmenü)
Abgesicherten Modus wählen
Im abgesicherten Modus entweder die infizierten Dateien von Hand löschen oder NAV drüber laufen lassen
Rechner neu starten (Windows normal hochlaufen lassen)
Dieses Programm herunterladen:
ftp://ftp.heise.de/pub/ct/spezial/decbad.zip um die im Archiv befindliche Datei decbad.exe nach c:\windows\system32 bzw. c:\windows\system (s.u.) entpacken)
und dann in den MS-DOS Modus wechseln (Start - Ausführen - " cmd" (ohne Anführungszeichen")
cd \windows\system32 (oder cd \windows\system , je nachdem, wo sich die Datei cp_25389.nls befindet)
dann " decbad cp_25389.nls c:\logged.txt" eingeben
In Windows mit dem Editor die Datei " C:\logged.txt" öffnen und darin nach Deinen Passwörtern suchen bzw. schauen, wobei der Wurm Dich so beobachtet hat. Lässt sich etwas schwer durchlesen, gewöhnt man sich aber dran.

Hoffe, geholfen zu haben, und
bis denne,
Jürgen

Anonym · 1. Dezember 2001 um 01:12

Hallo Jürgen 100000 mal Danke das war der Beste Tip den ich bekommen konnte. Ich habe wie du sagtest NAV gestartet, reparieren oder löschen konnte er die Dateien nicht er hat sie Isoliert, bin ich jetzt davor wirklich sicher? Und brauche ich die Datei KDLL.dll wirklich nicht?

Und nochmal Danke

Anonym · 1. Dezember 2001 um 01:21

Lies nochmal
Moin Clemens,

reparieren oder löschen konnte er die Dateien nicht er hat sie
Isoliert, bin ich jetzt davor wirklich sicher? Und brauche ich
die Datei KDLL.dll wirklich nicht?

Also: NAV unbedingt im Abgesicherten Modus ausführen oder per Taskmanager den Task „kernel32.exe“ beenden, sonst kann NAV die Dateien nicht löschen. Und gelöschte Dateien sind nunmal besser als isolierte Dateien (wenn sie böse sind
Die erwähnte kdll.dll-Datei beinhaltet den Keylogger, also das Programm, das Deine Tasteneingaben möglicherweise mitschneidet, wenn Du z.B. beim Online-Banking bist. Deswegen muss die weg !
Gruß,
Jürgen

Anonym · 1. Dezember 2001 um 01:30

Oh du mein Retter, alles klar, alles gelöscht, PC wieder heil, jetzt kann ich wenigstens beruhigt einschlafen.

Gruß Clemens

Anonym · 1. Dezember 2001 um 01:38

Na dann - gute Nacht !
{leer}

esBo · 1. Dezember 2001 um 23:13

Hallo Jürgen Danke für den Tip hat mir auch geholfen.

CU Boris

Anonym · 3. Dezember 2001 um 19:12

Hallo Zusammen,

ich habe mal grds Fragen zu diesem Thema.
1). Wenn ich im Moment der Infizierung eine Firewall hatte, kann sich dann der Virus überhaupt festsetzen bzw. kann er später überhaupt Kontakt zum Internet herstellen?
Ich habe die Firewall Zonealarm. Diese fragt immer, wenn ein unbekanntes Prog ins Netz will.
2). Wenn ich die Progs kdll.dll und kernel32.exe auf meiner Festplatte nicht finde, dann bin ich doch sicherlich auch nicht infiziert oder? Ich hatte nämlich ein seltsame E-Mail, die beim Öffnen versucht hat irgendwas zu installieren. Es gab einen Fehlerhinweis. Vermute mal, dass der Virus es nicht geschafft hat, sich festzusetzen. Dann habe ich gerade mal das Programm

http://www.bitdefender.com/html/free_tools.php

ausprobiert. Lief durch und hat nix gefunden.
Bestätigt das meine Vermutungen, dass ich keinen Virus habe?

3). Wenn ich bei Outlook die Autovorschau, etc ausschalte,
dürft er sich doch auch nicht infizieren, oder?

Besten Dank

Gruß

Andre