Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Copy.exe und Host.exe Workaround

Frage Sicherheit Viren und Trojaner

Mitglied: 40077

40077 (Level 1)

04.01.2007, aktualisiert 16.05.2007, 49471 Aufrufe, 7 Kommentare

Copy.exe vollständig entfernen.

In diesem Tuturial beschreibe ich einen Weg den äußerst hartnäckigen "win32.Perlovga.A/B" Virus zu löschen. Er wird zwar von den Virenscanern erkannt und gelöscht, allerdings nicht unschädlich gemacht.

DEFINITION:
Der Virus verbreitet sich automatisch auf allen lokalen Laufwerken und Wechseldatenträgern (Diskette, USBStick, MP3 Player). Eine Verbreitung über das lokale Netzwerk ist sehr wahrscheinlich. Aktuelle Information erhalten Sie auf:
http://www.viruslist.com/de/viruses/encycl...?virusid=123160
Zum Virus gehören die Dateien: copy.exe, host.exe, autorun.inf .

SYMPTOM:
Das erste Symptom ist das beim Öffnen (Doppelklick) eines lokalen Laufwerkes ein neues Fenster geöffnet wird. Nachdem der Virus durch den Virenscaner gelöscht wurde, erscheint beim Öffnen eines Laufwerkes die folgende Fehlermeldung: "copy.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um die Datei zu suchen"

http://iph24.de/copyexe.pdf - Workaround Download

Über Kritik und Anregung freuen wir uns natürlich.
Mitglied: Biber
04.01.2007 um 22:57 Uhr
Moin MrHenki,

erstmal vielen Dank für das Tutorial und die Bereitstellung hier im Forum.
Richtig schön gemacht.

Jetzt noch eine Winzigkeit an konstruktiv gemeinter Kritik.

Bitte im Wiederholungsfall (auf den ich hoffe) ein derartiges Tutorial im Bereich "IT-Sicherheit"->"Viren und Trojaner" hinhängen.
Ich weiß nicht, ob Du als Thread-Owner diesen Beitrag in einen anderen Bereich verschieben darfst.
Sonst bitte einen der Bereichsmoderatoren (linkit oder EcHoLon) von "Betriebssyteme" per PN darum.

Und eine Richtigstellung:
Da der Link auf http://www.viruslist.com/de/viruses/encyclopedia?virusid=123160 nicht soooo ergiebig ist ("Für dieses Schadprogramm gibt es keine Beschreibung.") von mir der Hinweis: Beschrieben ist hier "nur" der Virus Win32.Perlovga.A".
Die Win32.Perlovga.B-Variante arbeitet anders - die ersetzt bzw. injiziert die svchost.exe, legt einen der beliebten Autorun-Einträge an ( unter "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load" den Eintrag "C:\\WINDOWS\\svchost.exe" und so weiter.
Dagegen haben sich die Jungs und Mädels, die den Perlovga.A zusammengebraten haben, sich ja echt mal etwas anderes einfallen lassen.

Grüße
Biber
Bitte warten ..
Mitglied: 40077
05.01.2007 um 10:16 Uhr
Erstmal dankeschön für dein Lob.

Ja das es den Bereich "IT-Sicherheit" gibt, ist mir leider erst 5 Minuten später aufgefallen. Obwohl ich ja selbst allergisch gegen Fehlsortierungen bin .

Zu dem Link: Ich hoffe mehr oder weniger das dort früher oder später Informationen zu finden sind. Hast du einen Link mit Informationen?

Das mit dem B wird noch geändert.


Grüße aus Berlin
Gabriel
Bitte warten ..
Mitglied: 40077
05.01.2007 um 10:42 Uhr
Hallo nochmal zurück.

Ich möchte noch hinzufügen, das der Virus sich auch über das ganze Netzwerk verbreitet und alle PC innerhalb von 1 Sekunde befällt.

Das ist mir nämlich gerade im Firmennetzwerk von meinem Vater aufgefallen.

Also alle Pc trennen und jeden Einzelen überprüfen und löschen juhuuuuuu...

Das wird eine schöne Arbeit.
Bitte warten ..
Mitglied: gnarff
05.01.2007 um 17:08 Uhr
Hallo MrHenki!

Sehr schoenes Tutorial, fehlen aber die folgenden Details:
1. Systemwiederherstellung ist abzuschalten
2. Man fuehrt die Entfernung des Schaedlings im abgesicherten Modus durch
3. Nach dem Neustart die Systemwiederherstellung anschalten, alle Wiederherstellungspunkte loeschen und einen Neuen schaffen -so dieses gewuenscht oder benoetigt wird.

saludos
gnarff
Bitte warten ..
Mitglied: 40077
06.01.2007 um 11:34 Uhr
Siehste Gabriel habe ich doch gesagt, aber du wieder, typisch.

Ich habe das gesagt, aber er wollte darauf nicht hören.

Tja ich ich jajajajja

Hättest mal jehört, sonst hättest nicht diese anscheiße :D
Bitte warten ..
Mitglied: Kampfwurst
16.05.2007 um 13:32 Uhr
................................geloescht
Bitte warten ..
Mitglied: Kampfwurst
16.05.2007 um 13:55 Uhr
Hallo


Ich habe das Problem das das Tool PRT das den Virus löschen sollte mir unter Windows 2003 und unter Windows XP die einträge A,B,C,D.... ( die wo man nicht löschen sollte) entfernt hat. Für was sind die da?? Bis jetzt merk ich keine einschränkungen

MFG Christoph
1 :[edit:wegen Doppelposting in diesem Thread habe ich einen von deinen Kommentaren geloescht]
2: [nachposten gilt nicht, bitte neuen Thread in "Viren und Trojaner" eroeffnen!]
3 :[ Der Thread ist nun geschlossen]
/ gnarff - el moderator
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Sticky Notes - Autostart unterbinden

Tipp von Pedant zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
Explorer.exe - starten des Servers fehlgeschlagen (9)

Frage von DeathNote zum Thema Windows 7 ...

Viren und Trojaner
gelöst Laden Makroviren eine .exe-Datei? (2)

Frage von FrAmEr zum Thema Viren und Trojaner ...

Windows Systemdateien
gelöst Starten einer EXE mittels LogonSkript schlägt ständig fehl (17)

Frage von M.Marz zum Thema Windows Systemdateien ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Base64 Decode (Batch,VBS) (26)

Frage von clragon zum Thema Batch & Shell ...

Flatrates
DeutschlandLAN der Telekom - welche internen IPs? (19)

Frage von qualidat zum Thema Flatrates ...

Linux
gelöst Schmaler Scrollbalken in Python-Anwendung (14)

Frage von indi955 zum Thema Linux ...