Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Copy.exe und Host.exe Workaround

Mitglied: 40077

40077 (Level 1)

04.01.2007, aktualisiert 16.05.2007, 49660 Aufrufe, 7 Kommentare

Copy.exe vollständig entfernen.

In diesem Tuturial beschreibe ich einen Weg den äußerst hartnäckigen "win32.Perlovga.A/B" Virus zu löschen. Er wird zwar von den Virenscanern erkannt und gelöscht, allerdings nicht unschädlich gemacht.

DEFINITION:
Der Virus verbreitet sich automatisch auf allen lokalen Laufwerken und Wechseldatenträgern (Diskette, USBStick, MP3 Player). Eine Verbreitung über das lokale Netzwerk ist sehr wahrscheinlich. Aktuelle Information erhalten Sie auf:
http://www.viruslist.com/de/viruses/encycl...?virusid=123160
Zum Virus gehören die Dateien: copy.exe, host.exe, autorun.inf .

SYMPTOM:
Das erste Symptom ist das beim Öffnen (Doppelklick) eines lokalen Laufwerkes ein neues Fenster geöffnet wird. Nachdem der Virus durch den Virenscaner gelöscht wurde, erscheint beim Öffnen eines Laufwerkes die folgende Fehlermeldung: "copy.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um die Datei zu suchen"

http://iph24.de/copyexe.pdf - Workaround Download

Über Kritik und Anregung freuen wir uns natürlich.
Mitglied: Biber
04.01.2007 um 22:57 Uhr
Moin MrHenki,

erstmal vielen Dank für das Tutorial und die Bereitstellung hier im Forum.
Richtig schön gemacht.

Jetzt noch eine Winzigkeit an konstruktiv gemeinter Kritik.

Bitte im Wiederholungsfall (auf den ich hoffe) ein derartiges Tutorial im Bereich "IT-Sicherheit"->"Viren und Trojaner" hinhängen.
Ich weiß nicht, ob Du als Thread-Owner diesen Beitrag in einen anderen Bereich verschieben darfst.
Sonst bitte einen der Bereichsmoderatoren (linkit oder EcHoLon) von "Betriebssyteme" per PN darum.

Und eine Richtigstellung:
Da der Link auf http://www.viruslist.com/de/viruses/encyclopedia?virusid=123160 nicht soooo ergiebig ist ("Für dieses Schadprogramm gibt es keine Beschreibung.") von mir der Hinweis: Beschrieben ist hier "nur" der Virus Win32.Perlovga.A".
Die Win32.Perlovga.B-Variante arbeitet anders - die ersetzt bzw. injiziert die svchost.exe, legt einen der beliebten Autorun-Einträge an ( unter "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load" den Eintrag "C:\\WINDOWS\\svchost.exe" und so weiter.
Dagegen haben sich die Jungs und Mädels, die den Perlovga.A zusammengebraten haben, sich ja echt mal etwas anderes einfallen lassen.

Grüße
Biber
Bitte warten ..
Mitglied: 40077
05.01.2007 um 10:16 Uhr
Erstmal dankeschön für dein Lob.

Ja das es den Bereich "IT-Sicherheit" gibt, ist mir leider erst 5 Minuten später aufgefallen. Obwohl ich ja selbst allergisch gegen Fehlsortierungen bin .

Zu dem Link: Ich hoffe mehr oder weniger das dort früher oder später Informationen zu finden sind. Hast du einen Link mit Informationen?

Das mit dem B wird noch geändert.


Grüße aus Berlin
Gabriel
Bitte warten ..
Mitglied: 40077
05.01.2007 um 10:42 Uhr
Hallo nochmal zurück.

Ich möchte noch hinzufügen, das der Virus sich auch über das ganze Netzwerk verbreitet und alle PC innerhalb von 1 Sekunde befällt.

Das ist mir nämlich gerade im Firmennetzwerk von meinem Vater aufgefallen.

Also alle Pc trennen und jeden Einzelen überprüfen und löschen juhuuuuuu...

Das wird eine schöne Arbeit.
Bitte warten ..
Mitglied: gnarff
05.01.2007 um 17:08 Uhr
Hallo MrHenki!

Sehr schoenes Tutorial, fehlen aber die folgenden Details:
1. Systemwiederherstellung ist abzuschalten
2. Man fuehrt die Entfernung des Schaedlings im abgesicherten Modus durch
3. Nach dem Neustart die Systemwiederherstellung anschalten, alle Wiederherstellungspunkte loeschen und einen Neuen schaffen -so dieses gewuenscht oder benoetigt wird.

saludos
gnarff
Bitte warten ..
Mitglied: 40077
06.01.2007 um 11:34 Uhr
Siehste Gabriel habe ich doch gesagt, aber du wieder, typisch.

Ich habe das gesagt, aber er wollte darauf nicht hören.

Tja ich ich jajajajja

Hättest mal jehört, sonst hättest nicht diese anscheiße :D
Bitte warten ..
Mitglied: Kampfwurst
16.05.2007 um 13:32 Uhr
................................geloescht
Bitte warten ..
Mitglied: Kampfwurst
16.05.2007 um 13:55 Uhr
Hallo


Ich habe das Problem das das Tool PRT das den Virus löschen sollte mir unter Windows 2003 und unter Windows XP die einträge A,B,C,D.... ( die wo man nicht löschen sollte) entfernt hat. Für was sind die da?? Bis jetzt merk ich keine einschränkungen

MFG Christoph
1 :[edit:wegen Doppelposting in diesem Thread habe ich einen von deinen Kommentaren geloescht]
2: [nachposten gilt nicht, bitte neuen Thread in "Viren und Trojaner" eroeffnen!]
3 :[ Der Thread ist nun geschlossen]
/ gnarff - el moderator
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Firefox 52 und Java (Workaround)
Tipp von ChriBoWebbrowser12 Kommentare

Hi, falls jemand auch dringend Java in Firefox 52 benötigt gibt es zwei Workarounds: 1. Wechsel von Firefox Standard ...

Monitoring

Nagios CheckMK Hostmonitoring hinter NAT - Workarounds

gelöst Frage von istike2Monitoring2 Kommentare

Hallo, als Testprojekt habe ich Check_MK auf einem vServer in einem externen RZ aufgesetzt und würde ich gerne auch ...

Cloud-Dienste

Workaround Strato HiDrive eingeschränkte Rechteverwaltung

gelöst Frage von istike2Cloud-Dienste1 Kommentar

Hallo, wir haben für ein kleines Unternehmen das 1TB Paket eingerichtet. Jetzt sehen wir, dass die Möglichkeiten für Rechteverwaltung ...

Windows 10

Applocker-Bug in Win10-1703 - Workaround gesucht

gelöst Frage von DerWoWussteWindows 1031 Kommentare

Moin. Vielleicht hat ja jemand Lust, dies zu verifizieren: In win10 enterprise 1703 (15063.138) kann man keine Applockerregeln mehr ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 StundeDrucker und Scanner

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 17 StundenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 3 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 3 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows Netzwerk
Performance bei Terminalserver
Frage von azizalexanderWindows Netzwerk20 Kommentare

Hallo zusammen, Ich wusste nicht in welches Thema meine Frage passt ich Bitte um Vergebung falls ich hier falsch ...

LAN, WAN, Wireless
Bandbreitenverteilung Netzwerk Linux NAS Qnap
Frage von Re-AnimatorLAN, WAN, Wireless18 Kommentare

Hallo Allerseits, ich habe hier im Netzwerk ein Problem mit der Bandbreite für das ich keine Erklärung habe! und ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte15 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...

Exchange Server
Exchange 2013 - Unable to Relay nach extern, SuperMailer
Frage von leon123Exchange Server13 Kommentare

Hallo zusammen, ich brauch mal wieder eure Hilfe. Ich beschäftige mich gerade mit dem SuperMailer und erhalte vom Exchange ...