USB496.dat

[h3x3r]

Moin..

Vielleicht kann mir hier jemand weiterhelfen - google konnte es nicht wirklich.
Zwar waren hier viele Links zu finden, aber eine Lösung habe ich nicht gefunden.

Also, gestern Abend habe ich einen kompletten Scan mit meinem Anti-Vir durchführen lassen. Das was er gefunden hat war ein Trojaner der mit einer
Datei usb469.dat in c://windows/system32 verknüpft wäre. Ich habe natürlich direkt auf löschen geklickt, denn wer will schon nen Trojaner auf seinem System haben.

Jetzt taucht bei mir beim hochfahren immer eine Fehlermeldung auf:

usb496.dat Das Modul kann nicht geladen werden (Oder so ähnlich)

Vielleicht hat einer von Euch schon Erfahrungen damit gehabt und weiß, wie ich das weg bekomme.

LG h3x3r

[HOKE]

Das kann auch ne Überreaktion von Antivir gewesen sein, ich vermute du hast irgendeine Treiberdatei oder so gelöscht welche halt eben beim Systemstart geladen werden soll. Klappt denn noch alles? Sämtliche USB-Anschlüsse mit sämtlichen Geräten?? In Zukunft: Erst in Quarantäne verschieben Nicht gleich löschen...

[Totte]

usb496.dat
(ams490.dat, ams491.dat)

Zitat:

Schädlinge (C:\Windows(WINNT)\System; system32) Dropper.Delf.ky (Logger.Delf.ih), Trj/Agent.CDG, Trojan/Agent.JI [Advanced Message Server]

Vllt. helfen dir ja diese Suchbegriffe/Virennamen
Nun solltest du in der Registry auch noch die Verknüpfungen entfernen (RUN-Verzeichniss)

Hilfreich dazu: www.hijackthis.de

[h3x3r]

Zitat:

Zitat von HOKE

Das kann auch ne Überreaktion von Antivir gewesen sein, ich vermute du hast irgendeine Treiberdatei oder so gelöscht welche halt eben beim Systemstart geladen werden soll. Klappt denn noch alles? Sämtliche USB-Anschlüsse mit sämtlichen Geräten?? In Zukunft: Erst in Quarantäne verschieben Nicht gleich löschen...

Ja, sämtliche USB-Geräte funktionieren noch, soweit ich das hier überblicken kann.

Hab leider vielleicht wirklich etwas überreagiert und die Datei löschen lassen. Weil Anti-Vir halt darauf angesprungen ist

[Totte]

Die Reaktion war in dem Fall hier schon richtig, aber eben nicht vollständig.
Reste vom Virus sind noch vorhanden, die musst du noch entfernen

[h3x3r]

Zitat:

Zitat von Totte

Die Reaktion war in dem Fall hier schon richtig, aber eben nicht vollständig.
Reste vom Virus sind noch vorhanden, die musst du noch entfernen

hmmmm.. Reste ? Also, Anti-Vir findet nix mehr. kannst du mirn anderes Tool zum Entfernen empfehlen, vielleicht eins womit ich die Reste finde ?

LG h3x3r

[Totte]

www.hijackthis.de
Dort müsste beim Scan ein Hinweis kommen: no File found..
Im Bereich Autostarteinträge (HKCU /RUN oder HKLM/ RUN)
Ansonsten selber (mit Hilfe, falls du dich nicht in der Registry auskennst) in der Reg die Einträge entfernen.
Es gibt auch viele Tools zur Bearbeitung der Autostarteinträge
Win-eigen ist die msconfig
Ansonsten vllt. den Autostartmanager von www.toolsandmore.de
oder auch Spybot Search&Destroy ist dafür nützlich

[h3x3r]

hab mal mit dem hijackthis nen test gemacht und folgendes log-file bekommen:
http://nopaste.biz/?13195
vielleicht weiß damit ja einer was anzufangen

[HOKE]

Zeile 50:
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute

Den kannst du in hijackthis anklicken und auf "fix checked" klicken.

[h3x3r]

OK, jetzt kommt keine Fehlermeldung mehr beim hochfahren. Hoffe, jetzt ist alles weg.

Danke euch allen..