Virus löscht ntoskrnl.exe und verlangsamt das System
Undzwar hatte ich ein screenshot Tool angeklickt und zack schon hatte ich das Desaster. NOD32 schaltete sich ab und Symatic beendete sich auch.
Von nunan as System langam.
Es wurden alle NOD32 dateien gelöscht. Ich scannte von einem zweitem PC aus mit NOD32 den Programme Ordner und den Windows Ordner doch der zeigte nix an nur ein Par dateien die er nicht scannen konnte da sie verwendet wurden.
Dann packte ich mir den Ordner von NOD32 auf den betroffenen PC und die Exe Dateien wurden sofort gelöscht. Als ich sie umbenannte konnte ich sie draufpacken und z.T. ausführen aber nur z.B. da Programmteile nicht gefunden wurde ( warscheinlich durch die falschen namen). Habe ich die Dateien mit dem Attribut versehen "Verschlüsselt" konnte ich die Datei in den Originalnamen umwandeln doch das normale Programmsymbol verschwand und es kam das einer DOS Anwendung. Als ich NOD startete zeigte er an, dass die Datei möglicherweise von einem Virus befalen wurde konnte aber nix machen.
Dann wollte ich gerade hier den Bericht schreiben und zack war der PC aus, bzw. ich sah nurnoch das Hintergrundbild.
(Hinweis meine OS ist Windows Server 2003 umdie es geht)
Ok, neu gebootet bzw versucht, denn sobald ich Win zu starten kam der Fhler:
Windows kann nicht gestartet werden , da die folgende Datei fehlt oder beschädigt ist:
<Windows root > \system32\ntoskrnl.exe
Ok, ich startete als mit Winternals Admin Pack um zu schauen was da ist und was nicht. ntoskrnl fehlte komplett.
Ok ich holte sie mir von einem Zweitpc und legte sie drauf und starte Win neu und es klappte (klappt gerade noch).
Jetzt hatte ich den Verdacht auf Funlove aber der soll ja wohl garnicht die ntoskrnl.exe löschen.
Welcher kanns noch sein?
Von nunan as System langam.
Es wurden alle NOD32 dateien gelöscht. Ich scannte von einem zweitem PC aus mit NOD32 den Programme Ordner und den Windows Ordner doch der zeigte nix an nur ein Par dateien die er nicht scannen konnte da sie verwendet wurden.
Dann packte ich mir den Ordner von NOD32 auf den betroffenen PC und die Exe Dateien wurden sofort gelöscht. Als ich sie umbenannte konnte ich sie draufpacken und z.T. ausführen aber nur z.B. da Programmteile nicht gefunden wurde ( warscheinlich durch die falschen namen). Habe ich die Dateien mit dem Attribut versehen "Verschlüsselt" konnte ich die Datei in den Originalnamen umwandeln doch das normale Programmsymbol verschwand und es kam das einer DOS Anwendung. Als ich NOD startete zeigte er an, dass die Datei möglicherweise von einem Virus befalen wurde konnte aber nix machen.
Dann wollte ich gerade hier den Bericht schreiben und zack war der PC aus, bzw. ich sah nurnoch das Hintergrundbild.
(Hinweis meine OS ist Windows Server 2003 umdie es geht)
Ok, neu gebootet bzw versucht, denn sobald ich Win zu starten kam der Fhler:
Windows kann nicht gestartet werden , da die folgende Datei fehlt oder beschädigt ist:
<Windows root > \system32\ntoskrnl.exe
Ok, ich startete als mit Winternals Admin Pack um zu schauen was da ist und was nicht. ntoskrnl fehlte komplett.
Ok ich holte sie mir von einem Zweitpc und legte sie drauf und starte Win neu und es klappte (klappt gerade noch).
Jetzt hatte ich den Verdacht auf Funlove aber der soll ja wohl garnicht die ntoskrnl.exe löschen.
Welcher kanns noch sein?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71932
Url: https://administrator.de/contentid/71932
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
15 Kommentare
Neuester Kommentar
Okay nochmal,
auch wenn du Linux drauf haben solltest. Du bist der Meinung das dein System komprimitiert ist. Also gehst du von einem System welches definitiv infiziert ist auf die Jagd. Das ist bei Knoppix der Fall. Wenn du dir die Knoppix CD oder ein andere Derivat erstellst laedst du dir vorher natuerlich die neusten Definitionen runter.
Damit Scannst du dann dein System und hoffst (!) das eine der AV Awendung die auf der CD sind auch es schafft die Malware zu beseitigen.
Ansonsten holst du deine Datensicherung raus und installierst den Server neu. Das ist meistens die einfachere Methode.
auch wenn du Linux drauf haben solltest. Du bist der Meinung das dein System komprimitiert ist. Also gehst du von einem System welches definitiv infiziert ist auf die Jagd. Das ist bei Knoppix der Fall. Wenn du dir die Knoppix CD oder ein andere Derivat erstellst laedst du dir vorher natuerlich die neusten Definitionen runter.
Damit Scannst du dann dein System und hoffst (!) das eine der AV Awendung die auf der CD sind auch es schafft die Malware zu beseitigen.
Ansonsten holst du deine Datensicherung raus und installierst den Server neu. Das ist meistens die einfachere Methode.
Also gehst du von einem
System welches definitiv infiziert ist auf
die Jagd.
System welches definitiv infiziert ist auf
die Jagd.
Da fehlt doch definitiv ein Wort?
Informiere dich auf der Knoppixseite oder bei Googel ob es nicht auch fuer Virensuche optimierte
Knoppix Geschichten gibt. Ich weiss das C't sowas rausgebracht hatte.
Knoppix Geschichten gibt. Ich weiss das C't sowas rausgebracht hatte.
Und das System das du suchst heisst Knoppicillin.
Der W32/Bagle.KM auch bekannt unter den Namen
Email-Worm.Win32.Bagle.fy (Kaspersky), W32/Bagle.fb@MM (McAfee), W32.Beagle.FF@mm (Symantec), Worm/Bagle.GK (Avira), W32/Mitglieder.TL (F-Prot), W32/Bagle-KM (Sophos), Worm:Win32/Bagle.EG@mm (Microsoft)
laedt einen Trojaner mit Rootkit-Funktionen nach, den TROJ_ROOTKIT.FN auch bekannt unter den Namen
NTRootKit-W (McAfee), Trojan.Rootserv (Symantec), RKit/Bagle.GL (Avira), W32/Rootkit.CN (F-Prot), W32/Bagle-KN (Sophos), VirTool:Win32/Rootkit.B (Microsoft)
Letztgenannten deshabilitierst Du zuerst, danach kannst du die Bagle-Reste aufkehren.
saludos
gnarff
Email-Worm.Win32.Bagle.fy (Kaspersky), W32/Bagle.fb@MM (McAfee), W32.Beagle.FF@mm (Symantec), Worm/Bagle.GK (Avira), W32/Mitglieder.TL (F-Prot), W32/Bagle-KM (Sophos), Worm:Win32/Bagle.EG@mm (Microsoft)
laedt einen Trojaner mit Rootkit-Funktionen nach, den TROJ_ROOTKIT.FN auch bekannt unter den Namen
NTRootKit-W (McAfee), Trojan.Rootserv (Symantec), RKit/Bagle.GL (Avira), W32/Rootkit.CN (F-Prot), W32/Bagle-KN (Sophos), VirTool:Win32/Rootkit.B (Microsoft)
Letztgenannten deshabilitierst Du zuerst, danach kannst du die Bagle-Reste aufkehren.
saludos
gnarff
Ich hatte es nicht in den Griff bekommen ich installierte neu.
So das Ende vom Lied: Es half nur Neuinstallation
Der Virus wurde nicht entdeckt.
Du wirst einzusehen haben, dass 2003 Server nicht dazu taugt als Workstation eingesetzt zu werden...
saludos
gnarff