Trojaner BDS/Ciadoor.13.312 - diverse Admin Rechte abgeschaltet -

#16 1. loesche aus der Registry

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
r25o9D2UXD.ini

2.
kopiere in den Avenger, oder loesche manuell:

C:\WINDOWS\system32\r25o9D2UXD.ini
C:\WINDOWS\Msapin32.dll
C:\WINDOWS\mssys.exe
C:\WINDOWS\sys.exe
C:\WINDOWS\msdosdrv.exe

ich kann den Trojaner nicht zuordnen..und ohne die 4 Logs von datfindbat, weiss ich nicht, was es nun wirklich ist...................

-------------------------------------------------------

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

4.
scanne mit Kaspersky - (Fullscan) und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina,

habe Deine Tipps versucht umzusetzen mit folgendem Ergebnis:

zu 1) ich konnte den Registry-Eintrag löschen

zu 2) die genannten Dateien konnte ich nicht finden. Auch nicht mit der Suchfunktion von Windows. Speziell die Datei "r25o9D2UXD.ini" konnte ich nicht finden. Jedoch wenn man dem KASPERSKY-Scan aus Pkt. 4 glauben darf, dann ist die Datei da. Ist sie vielleicht versteckt?

Das Programm datfindbat konnte ich leider immer noch nicht laufen lassen, da immer noch die Fehlermeldung kommt, dass die Eingabeaufforderung vom Administrator deaktiviert ist.

zu 3) Den Eintrag mit fixme.reg konnte ich einbauen.

zu 4) Den Kaspersky-Scan habe ich laufen lassen. Im Vergleich zu meinem Virenscanner Antivir hat er noch mehr gefunden.

Hier der Report:

Infected Object Name Virus Name Last Action
C:\RECYCLER\S-1-5-21-1524621544-1206484848-1037046118-1005\Dc2\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped

C:\WINDOWS\system32\r25o9D2UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped

I:\Tommy\Eigene Dateien\Eigene Programme\Brennprogramme\Nero 7.2\Nero-7.2.0.3b.exe Infected: Backdoor.Win32.Ciadoor.13 skipped

I:\Tommy\Eigene Dateien\Eigene Programme\Internet\Morpheus\Morph20.exe/WISE0015.BIN/WISE0007.BIN Infected: Trojan-Downloader.Win32.Stubby.b skipped

I:\Tommy\Eigene Dateien\Eigene Programme\Internet\Morpheus\Morph20.exe/WISE0015.BIN Infected: Trojan-Downloader.Win32.Stubby.b skipped

I:\Tommy\Eigene Dateien\Eigene Programme\Internet\Morpheus\Morph20.exe WiseSFX: infected - 2 skipped

Tja vielleicht hast Du ja noch weitere Tipps für mich. Würde mich sehr freuen!

Vielen Dank nochmal an der Stelle.
Tommy

#18 loesche mit der killbox:

C:\RECYCLER\S-1-5-21-1524621544-1206484848-1037046118-1005\Dc2\scvhost.exe
C:\WINDOWS\system32\r25o9D2UXD.ini

PC neustarten

loeschen ??? wieso ist der verseucht ?? hast du den irgendwo geladen ??? Vielleicht ist der Trojaner so aufs System gekommen............
I:\Tommy\Eigene Dateien\Eigene Programme\Brennprogramme\Nero 7.2\Nero-7.2.0.3b.exe

poste das log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Sorry Sabina,

was ist die Killbox?

Grüße Tommy

#20 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\RECYCLER\S-1-5-21-1524621544-1206484848-1037046118-1005\Dc2\scvhost.exe
C:\WINDOWS\system32\r25o9D2UXD.ini

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo Sabina,

also die killbox konnte ich einsetzen und ich schätze dass damit auch die beiden Einträge gelöscht wurden.

Das gewünschte Log mit dem registry_stuff.html konnte ich wieder mal nicht laufen lassen , da auch an dieser Stelle wieder das Fenster aufging, mit der Meldung:

C:\windows\system32\cmd.exe : "Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken Sie eine beliebige Taste..."
Hast du vielleicht eine Idee wie man die Eingabeaufforderung wieder einschaltet, damit wir die bat-Dateien laufen lassen können?

Übrigends den Trojaner scheine ich mir wirklich durch den Download des Programms "Nero 7" eingefangen zu haben. Sonst scanne ich solche Dateien immer, aber diesmal habe ich es nicht getan. Dummer Fehler. Habe das Programm jetzt gelöscht.

Viele Grüße
Tommy

#22 Start->Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

-----------------------------------------------------------------------------

Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina,

so leicht macht es uns der Trojaner nicht:

wie schon in der Antwort #7 versucht, ist der von Dir genannte Eintrag garnicht in meiner Registry enthalten.

"...Die beiden anderen Einträge konnte ich nicht finden. Sie stehen nicht in der Registry oder nicht an der Stelle:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)...."

Das Verzeichnis SYSTEM unter Windows gibt es in meiner Registry schon nicht (mehr). Damit kann ich da auch nichts löschen oder korrigieren. Vielleicht ist es irgendwie ausgeblendet?

Auch der Versuch über mmc die Gruppenrichtlinie zu bearbeiten scheiterte wieder wie schon früher damit, dass ich garnicht die "Gruppenrichtlinie" zur Auswahl angezeigt bekomme, sondern nur den Punkt "Lokale Benutzer und Gruppen".

Wenn ich "Lokale Benutzer und Gruppen" auswähle, kommt ein neues Abfragefenster mit der Frage welcher Computer dieses Snap-In verwalten soll. Lokal oder anderer? Wenn ich einen Punkt auswähle kommt die Fehlermeldung: "Auf diesem Computer wird die Windows XP Home Edition ausgeführt. Dieses Snap-In kann mit dieser Windowsversion nicht ausgeführt werden.Verwenden Sie die Option Benutzerkonten in der Systemsteuerung, um lokale Benutzerkonten auf diesem Computer zu verwalten." (siehe auch Antwort #13)

So kommen wir anscheinend leider nicht weiter.

Ich habe ein Backup, von meiner Festplatte, das vor dem Trojaner-Befall erstellt worden ist. Das habe ich auf einer Externen Festplatte. Vielleicht kann ich das einfach über C: kopieren und erhalte damit wieder den Urzustand zurück? Es ist mit dem Programm "VersionBackup" erstellt. Welche Dateien müßte ich kopieren? Am besten alle?

Viele Grüße
Tommy

#24 du hast ein BackUp ??????? Uff !!!!! wende es an !!! kopiere es rueber, aber mache dich vorher mit jemandem schlau, der etwas davon versteht (ist nicht mein Gebiet....)
sieh hier -> http://board.protecus.de/f5.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#25 ich hatte bisher das Backup noch nicht gemacht, um nicht alle Überarbeitungsschritte wieder rückgängig zu machen. Habe aber gerade das Backup für Laufwerk C: laufen lassen, jedoch ohne jede Verbesserung.

Die Systemwiederherstellung und die weiteren Einschränkungen sind weiterhin nicht möglich.

Grüße
Tommy

#26 da hast du dir was eingebrockt............ich denke, du wirst in Zukunft den Nero kaufen, wie jeder zivilisierte Mensch

beginnen wir mit der systemwiederherstellung:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT \CurrentVersion\systemrestore
"DisableSR" =dword:00000001 -> auf 0 setzen
"DisableConfig" =dword:00000001 -> auf 0 setzen

findest du es /kannst es umstellen?
__________
MfG Sabina

rund um die PC-Sicherheit

#27 ja ja. Ich werde natürlich zukünftig Nero kaufen. Tja die Systemwiederherstellung bleibt mir wohl nicht erspart.

Leider kann ich das Verzeichnis "Systemrestore" auch nicht in dem von dir genannten Pfad finden.

Vielleicht sollte ich auf die sichere Variante FORMAT C: zurückgreifen?

Ist auch viel Arbeit alles wieder zu installieren, ich bin mir dann aber sicher, dass ich keine Viren mehr habe.

Was meinst Du?

Grüße
Tommy

#28 ja...Format ist wirklich anzuraten... es ich sehe auch keinen anderen Ausweg mehr.
tut mir leid, dass auch das backup nicht funktioniert hat und meine Hilfe auch nicht
__________
MfG Sabina

rund um die PC-Sicherheit