PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Avast findet Virus in explorer.exe sowie winloagon.exe



Belee
11.01.2011, 01:22
Tja, mein Sys XPSP3 mit allen Updates, jetzt habe ich leider die Dateien nicht damit sich sie unter DOS überschreiben kann, wäre nett wenn sie mir jemand zusenden könnte. Weiß jetzt auch nicht ob die Meldung von Avast 100% sicher ist, mit Google habe ich nichts gefunden also gehe ich davon aus das ich befallen bin.

Der Virus heisst:

Win32:Bamital-AO

Die Größe meiner explorer.exe = 1.036.800bytes
Die Größe meiner winloagon.exe = 513.024bytes

Auch im dllcache Verzeichnis befinden sich Kopien mit exakten Größen.

Gruß
Belee

Inzersdorfer
11.01.2011, 02:05
Mach eine Kopie der exe und lade sie bei Virustotal hoch, hier prüfen mehrere AV Programme, die Ergebnise
sollten Sicher sein.:http://www.virustotal.com/

Belee
11.01.2011, 02:17
Hab ich bereits gemacht, alle melden Torjaner/Virus..jetzt habe ich ein Problem. Woher bekomme ich die 2 Dateien? wenn ich neuinstalliere sind alle Daten weg, für ein Backup der Daten habe ich keinen Platz, Mist.

Die WindowsCD habe ich aber das ist eine alte SP1 da sind bestimmt veraltete Dateien die dann wohl eh nicht funktionieren. Kann mir denn niemand irgendwo diese 2 Dateien hinterlegen oder via Mail zusenden?

Inzersdorfer
11.01.2011, 02:40
Unter C/Windows/i386 sind diese exe in gepackter Form als "Reserve" vorhanden, kann mir nicht vorstellen das sich da Malware einnisten kann.

Belee
11.01.2011, 12:30
das verzeichnis habe ich garnicht :(

Agi Hammerklau
11.01.2011, 15:19
I386, ob klein oder gross geschrieben ist bei Windows nicht so wichtig.

Inzersdorfer
11.01.2011, 15:51
Also die Explorer & Winlogon exe der SP1 CD sind durchaus nicht veraltet. Die befinden sich auf der CD im Ordner I386 (den gibts dort immer), die Endung ist aber .EX_ (sie sind komprimiert).
Um einen Austausch erfolgreich zu machen, müßen die alten EXE zuerst umbenannt werden ( z.Bsp. X.exe.old)
Dann von der XP-CD booten, und in der Reparaturkonsole ( Aufruf nach CD-boot R) an ihren Platz kopiert und expandiert werden, als Beispiel nehmen wir an, dein CD Laufwerk hat den Buchstaben D:
D:\I386>expand EXPLORER.EX_ C:\WINDOWS\explorer.exe
D:\I386>expand WINLOGON.EX_ C:\WINDOWS\System32\winlogon.exe
(beachte das Leerzeichen nach expand und zwischen EX_ und C)

Belee
11.01.2011, 18:26
Ich habe jetzt die beiden Dateien, das Problem ist jetzt aber, explorere.exe lässt sich überschreiben aber nicht winlogon.exe "zugriff verweigert" keine Chance sitze schon Stunden an dem Problem.
Es ist wohl nur möglich aus DOS heraus die Dateien auszutauschen nur haben wir da dass Problem das die Platten NTFS formatiert sind und Dos die nicht ansprechen kann.

Jemand eine Idee was ich da jetzt mahcen kann? ich hätte schon längst ein BackUp aufgespielt jedoch habe ich kein Platz mehr auf den Platten um meine neuen Daten zu sichern zudem ist das ein Notebook, sonst hätte ich die Platte in ein externes Gehäuse eingebaut und an meinem Rechner die Dateien dann ausgetauscht, geht nicht, die Notebook Platte benötigt einen Adapter :(
Was ein Theater ich geh am Stock.

Ergänzung vom 11.01.2011 23:06 Uhr: Habs geschaft, was ein Akt den ganzen Tag.

Habe es mit meiner Notebook Recovery CD gemacht, CD gebootet und den Recoveryvorgang durch Auswurf der CD gestoppt, diese hat eine schlanke Windows Version in eine Ram-Disc kopiert so das ich zwischen den NTFS-Festplatten unter Dos hin und her kopieren konnte.

Habe dann aus der DOS-Konsole die beiden Dateien durch saubere überschrieben und jetzt ist alles wieder wunderbar.

Was sagt uns das? mann sollte den Virenscanner bei surfen schon anwerfen sonst bringt er ja nix. :D