40077
Jan 04, 2007, updated at May 16, 2007 (UTC)
50904
7
0
Copy.exe und Host.exe Workaround
Copy.exe vollständig entfernen.
In diesem Tuturial beschreibe ich einen Weg den äußerst hartnäckigen "win32.Perlovga.A/B" Virus zu löschen. Er wird zwar von den Virenscanern erkannt und gelöscht, allerdings nicht unschädlich gemacht.
DEFINITION:
Der Virus verbreitet sich automatisch auf allen lokalen Laufwerken und Wechseldatenträgern (Diskette, USBStick, MP3 Player). Eine Verbreitung über das lokale Netzwerk ist sehr wahrscheinlich. Aktuelle Information erhalten Sie auf:
http://www.viruslist.com/de/viruses/encycl...?virusid=123160
Zum Virus gehören die Dateien: copy.exe, host.exe, autorun.inf .
SYMPTOM:
Das erste Symptom ist das beim Öffnen (Doppelklick) eines lokalen Laufwerkes ein neues Fenster geöffnet wird. Nachdem der Virus durch den Virenscaner gelöscht wurde, erscheint beim Öffnen eines Laufwerkes die folgende Fehlermeldung: "copy.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um die Datei zu suchen"
http://iph24.de/copyexe.pdf - Workaround Download
Über Kritik und Anregung freuen wir uns natürlich.
DEFINITION:
Der Virus verbreitet sich automatisch auf allen lokalen Laufwerken und Wechseldatenträgern (Diskette, USBStick, MP3 Player). Eine Verbreitung über das lokale Netzwerk ist sehr wahrscheinlich. Aktuelle Information erhalten Sie auf:
http://www.viruslist.com/de/viruses/encycl...?virusid=123160
Zum Virus gehören die Dateien: copy.exe, host.exe, autorun.inf .
SYMPTOM:
Das erste Symptom ist das beim Öffnen (Doppelklick) eines lokalen Laufwerkes ein neues Fenster geöffnet wird. Nachdem der Virus durch den Virenscaner gelöscht wurde, erscheint beim Öffnen eines Laufwerkes die folgende Fehlermeldung: "copy.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um die Datei zu suchen"
http://iph24.de/copyexe.pdf - Workaround Download
Über Kritik und Anregung freuen wir uns natürlich.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 47996
Url: https://administrator.de/contentid/47996
Printed on: April 25, 2024 at 20:04 o'clock
7 Comments
Latest comment
Moin MrHenki,
erstmal vielen Dank für das Tutorial und die Bereitstellung hier im Forum.
Richtig schön gemacht.
Jetzt noch eine Winzigkeit an konstruktiv gemeinter Kritik.
Bitte im Wiederholungsfall (auf den ich hoffe) ein derartiges Tutorial im Bereich "IT-Sicherheit"->"Viren und Trojaner" hinhängen.
Ich weiß nicht, ob Du als Thread-Owner diesen Beitrag in einen anderen Bereich verschieben darfst.
Sonst bitte einen der Bereichsmoderatoren (linkit oder EcHoLon) von "Betriebssyteme" per PN darum.
Und eine Richtigstellung:
Da der Link auf http://www.viruslist.com/de/viruses/encyclopedia?virusid=123160 nicht soooo ergiebig ist ("Für dieses Schadprogramm gibt es keine Beschreibung.") von mir der Hinweis: Beschrieben ist hier "nur" der Virus Win32.Perlovga.A".
Die Win32.Perlovga.B-Variante arbeitet anders - die ersetzt bzw. injiziert die svchost.exe, legt einen der beliebten Autorun-Einträge an ( unter "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load" den Eintrag "C:\\WINDOWS\\svchost.exe" und so weiter.
Dagegen haben sich die Jungs und Mädels, die den Perlovga.A zusammengebraten haben, sich ja echt mal etwas anderes einfallen lassen.
Grüße
Biber
erstmal vielen Dank für das Tutorial und die Bereitstellung hier im Forum.
Richtig schön gemacht.
Jetzt noch eine Winzigkeit an konstruktiv gemeinter Kritik.
Bitte im Wiederholungsfall (auf den ich hoffe) ein derartiges Tutorial im Bereich "IT-Sicherheit"->"Viren und Trojaner" hinhängen.
Ich weiß nicht, ob Du als Thread-Owner diesen Beitrag in einen anderen Bereich verschieben darfst.
Sonst bitte einen der Bereichsmoderatoren (linkit oder EcHoLon) von "Betriebssyteme" per PN darum.
Und eine Richtigstellung:
Da der Link auf http://www.viruslist.com/de/viruses/encyclopedia?virusid=123160 nicht soooo ergiebig ist ("Für dieses Schadprogramm gibt es keine Beschreibung.") von mir der Hinweis: Beschrieben ist hier "nur" der Virus Win32.Perlovga.A".
Die Win32.Perlovga.B-Variante arbeitet anders - die ersetzt bzw. injiziert die svchost.exe, legt einen der beliebten Autorun-Einträge an ( unter "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load" den Eintrag "C:\\WINDOWS\\svchost.exe" und so weiter.
Dagegen haben sich die Jungs und Mädels, die den Perlovga.A zusammengebraten haben, sich ja echt mal etwas anderes einfallen lassen.
Grüße
Biber
Erstmal dankeschön für dein Lob.
Ja das es den Bereich "IT-Sicherheit" gibt, ist mir leider erst 5 Minuten später aufgefallen. Obwohl ich ja selbst allergisch gegen Fehlsortierungen bin
.
Zu dem Link: Ich hoffe mehr oder weniger das dort früher oder später Informationen zu finden sind. Hast du einen Link mit Informationen?
Das mit dem B wird noch geändert.
Grüße aus Berlin
Gabriel
Ja das es den Bereich "IT-Sicherheit" gibt, ist mir leider erst 5 Minuten später aufgefallen. Obwohl ich ja selbst allergisch gegen Fehlsortierungen bin
.Zu dem Link: Ich hoffe mehr oder weniger das dort früher oder später Informationen zu finden sind. Hast du einen Link mit Informationen?
Das mit dem B wird noch geändert.
Grüße aus Berlin
Gabriel
Hallo nochmal zurück.
Ich möchte noch hinzufügen, das der Virus sich auch über das ganze Netzwerk verbreitet und alle PC innerhalb von 1 Sekunde befällt.
Das ist mir nämlich gerade im Firmennetzwerk von meinem Vater aufgefallen.
Also alle Pc trennen und jeden Einzelen überprüfen und löschen juhuuuuuu...
Das wird eine schöne Arbeit.
Ich möchte noch hinzufügen, das der Virus sich auch über das ganze Netzwerk verbreitet und alle PC innerhalb von 1 Sekunde befällt.
Das ist mir nämlich gerade im Firmennetzwerk von meinem Vater aufgefallen.
Also alle Pc trennen und jeden Einzelen überprüfen und löschen juhuuuuuu...
Das wird eine schöne Arbeit.
Hallo MrHenki!
Sehr schoenes Tutorial, fehlen aber die folgenden Details:
1. Systemwiederherstellung ist abzuschalten
2. Man fuehrt die Entfernung des Schaedlings im abgesicherten Modus durch
3. Nach dem Neustart die Systemwiederherstellung anschalten, alle Wiederherstellungspunkte loeschen und einen Neuen schaffen -so dieses gewuenscht oder benoetigt wird.
saludos
gnarff
Sehr schoenes Tutorial, fehlen aber die folgenden Details:
1. Systemwiederherstellung ist abzuschalten
2. Man fuehrt die Entfernung des Schaedlings im abgesicherten Modus durch
3. Nach dem Neustart die Systemwiederherstellung anschalten, alle Wiederherstellungspunkte loeschen und einen Neuen schaffen -so dieses gewuenscht oder benoetigt wird.
saludos
gnarff
Siehste Gabriel habe ich doch gesagt, aber du wieder, typisch.
Ich habe das gesagt, aber er wollte darauf nicht hören.
Tja ich ich jajajajja
Hättest mal jehört, sonst hättest nicht diese an###e :D
Ich habe das gesagt, aber er wollte darauf nicht hören.
Tja ich ich jajajajja
Hättest mal jehört, sonst hättest nicht diese an###e :D
geloescht
Hallo
Ich habe das Problem das das Tool PRT das den Virus löschen sollte mir unter Windows 2003 und unter Windows XP die einträge A,B,C,D.... ( die wo man nicht löschen sollte) entfernt hat. Für was sind die da?? Bis jetzt merk ich keine einschränkungen
MFG Christoph
1 :[edit:wegen Doppelposting in diesem Thread habe ich einen von deinen Kommentaren geloescht]
2: [nachposten gilt nicht, bitte neuen Thread in "Viren und Trojaner" eroeffnen!]
3 :[ Der Thread ist nun geschlossen]
/ gnarff - el moderator
Ich habe das Problem das das Tool PRT das den Virus löschen sollte mir unter Windows 2003 und unter Windows XP die einträge A,B,C,D.... ( die wo man nicht löschen sollte) entfernt hat. Für was sind die da?? Bis jetzt merk ich keine einschränkungen
MFG Christoph
1 :[edit:wegen Doppelposting in diesem Thread habe ich einen von deinen Kommentaren geloescht]
2: [nachposten gilt nicht, bitte neuen Thread in "Viren und Trojaner" eroeffnen!]
3 :[ Der Thread ist nun geschlossen]
/ gnarff - el moderator
