Virus.Win32.Hidrag.a / O23 - Service: Power Manager

#0
30.05.2005, 17:18
...neu hier

Beiträge: 9
#1 Hallo ;)

Habe gesucht, aber nicht gefunden. Entschuldigung, wenn es doch einen Topic gibt ...

Mein Problem ist folgendes:
Seit vorgestern habe ich einen Virenscanner auf meinem System. Es ist der "F-Secure Internet Security 2005" mit dem neusten Update.
Bis vorgestern lief mein Computer noch einwandfrei, jedoch seitdem ich den Virenscanner drauf habe, öffnen sich keine Programme mehr. So z.B. kommt diese Fehlermeldung, wenn ich auf MS Outlook klicke:
"C:/Programme/Microsoft Office/OFFICE11/OUTLOOK.EXE
Nur ein Teil der ReadProcessMemory- oder WriteProcessMemory-Anforderung wurde geschlossen.
OK"
Klicke ich auf OK, schließt sich das Fenster einfach und nichts passiert. Eine andere Fehlermeldung ist:
"C:/Dokumente und Einstllungen/Admin/Desktop/Silberweide.zip
Falscher Parameter
OK"
Auch hier passiert nachdem ich auf OK klicke, nichts.

Als ich gestern den Virenscan durchlaufen ließ, hat er knappe 1000 Würmerchen gefunden, was ja kein Wunder ist, wenn man so lange ohne Virenscan im Netz ist, aber es konnten auch alle bis auf einen gelöscht werden. Und dieser eine ist "Virus.Win32.Hidrag.a" Kaum öffne ich ein Programm, sagt mir mein Internetsecurity, dass ein Virus gefunden und desinfiziert wurde. Das passiert ein Mal pro Programm, danach ist auch gut. Nur leider lassen sich viele der Programm, wo desinfiziert wurde, nun nicht mehr öffnen. Die Fehlermeldungen stehen oben.
Nun lasse ich gerade zum 3. Mal den Virenscan durchrennen. Wieder hat er "Virus.Win32.Hidrag.a" gefunden.

Gibt es eine Möglichkeit, den komplett loszuwerden?
Würde mich sehr über eine Antwort freuen.

Liebe Grüße,
Christina

P.S.: Falls das hier helfen sollte, ich hab einen Log mit Hijakthis gemacht (sieht vermutlich sehr, sehr dunkel und böse aus...) :

Logfile of HijackThis v1.99.1
Scan saved at 17:37:48, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Admin\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = e:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DDF6BB03-BB25-4614-B1CE-001B207CA88D} - C:\WINDOWS\system32\eoba.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4B280838-680A-486E-A99F-F97D73F82D42} (egames.AxRTPC) - http://dreamville.e-games.com.my/AxClient/AxRTPC.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/216b77833a735f030c05/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07A6911A-5C3F-4DC0-9A34-4AB664EADF4F}: NameServer = 200.200.200.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAB05749-CFC2-4962-9198-88795005BB80}: NameServer = 200.200.200.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{07A6911A-5C3F-4DC0-9A34-4AB664EADF4F}: NameServer = 200.200.200.77
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

(Noch eine kurze Bemerkung: Mein Virenscanner läuft grad)

Habe nach dem Scann noch etwas gemeldet bekommen:
Objekt: "C:/Windows/svchost.exe"
Virusname: "Virus.Win32.Hidrag.a"
Ergebnis: "Das Objekt konnte nicht desinfiziert werden"
Hm... =/
Dieser Beitrag wurde am 30.05.2005 um 18:01 Uhr von Leonie editiert.
Seitenanfang Seitenende
30.05.2005, 23:52
Member

Beiträge: 1132
#2 Hi Leonie,

Win32.Hidrag.a ist ein relativ "harmloser" Virus und wäre leicht zu entfernen! Aber, Du hast noch viel mehr "Rest"-Probleme!

Ganz abgesehen davon, würde ich, wenn ich "1000 Würmerchen" (Du bist Dir sicher, dass die Zahl stimmt?) auf meinem PC hatte, von denen aller Wahrscheinlichkeit nach 995 Backdoors waren, die Windows-CD zur Hand nehmen und das System neu auflegen. Aber das ist nur meine ganz persönliche Meinung.

Manch andere Boardies finden es nicht gut , wenn man so etwas gleich empfiehlt. Es gibt bestimmt jemanden hier im Board, der Dir hilft, Dein System zu "reinigen", also nicht verzagen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 31.05.2005 um 00:47 Uhr von Heron editiert.
Seitenanfang Seitenende
31.05.2005, 16:02
...neu hier

Themenstarter

Beiträge: 9
#3 Es waren keine Backdoors. Ok, vielleicht ein paar, aber nichtmal 10 ;)
Meistens war es ein und der selbe Virus in verscheidenen Dateien. Bei 3 Festplatten kann das schon vorkommen =J
Gibt's denn irgend eine Möglichkeit, den Virus endlich komplett wegzubekommen?
Seitenanfang Seitenende
31.05.2005, 16:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Leonie

•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"-->Remove
und loesche die winsflt.dll
(eventuell musst du die dll von links nach rechts bringen)

Start<Ausfuehren < schreib rein: cmd

kopiere rein:
sc stop PowerManager
klicke "enter"

und warte ein bisschen,
dann kopiere rein:

sc delete PowerManager
klicke "enter"

kopiere rein:
del C:\WINDOWS\svchost.exe
Klicke "enter"

kopiere rein:
del C:\WINDOWS\IsUn0407.exe
Klicke "enter"

Hijacker about:blank - se.dll\sp.html--> scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Admin\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = e:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: (no name) - {DDF6BB03-BB25-4614-B1CE-001B207CA88D} - C:\WINDOWS\system32\eoba.dll (file missing)
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4B280838-680A-486E-A99F-F97D73F82D42} (egames.AxRTPC) - http://dreamville.e-games.com.my/AxClient/AxRTPC.CAB
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe

PC neustarten


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

PowerManager

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2005, 17:13
...neu hier

Themenstarter

Beiträge: 9
#5 Moin ;)

Ok, hier kümmt der Bericht vom regsrch.vbs:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "PowerManager" 31.05.2005 17:16:06

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000]
"Service"="PowerManager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager\Enum]
"0"="Root\\LEGACY_POWERMANAGER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
"Service"="PowerManager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
"Service"="PowerManager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
"0"="Root\\LEGACY_POWERMANAGER\\0000"

Brauchst du sonst noch etwas?
Seitenanfang Seitenende
01.06.2005, 12:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Leonie

Start-->Ausfuehren--> regedit

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2005, 20:12
...neu hier

Themenstarter

Beiträge: 9
#7 Hi nochmal

Ich hab das Problem, dass ich nicht in den abgesicherten Modus komme ='( Es gibt zwar (denk ich mal) den Text "Windoof wird gestartet", aber das in der Geschwindigkeit "da-weg" und ich bin mir nichtmal sicher, dass das da wirklich steht, so schnell geht das ='( Auch, wenn ich lustiges Dauerfeuer auf F8 mache, öffnet sich nichts und Windoof startet normal... Ich habe XP. Gibt's da noch 'ne andere Möglichkeit, da reinzukommen ='(?
Seitenanfang Seitenende
01.06.2005, 23:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 versuche es im Normalmodus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 15:45
...neu hier

Themenstarter

Beiträge: 9
#9 C:\Dokumente und Einstellungen\Admin\Desktop\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

Das ist der Log ;)
Kleine Frage nocht: Was ist der WoerManager eigentlich...?
Seitenanfang Seitenende
02.06.2005, 17:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@Leonie

Obwohl wahrscheinlich alles o.k. ist:
Mache bitte onlinescans+ berichte

Online-Scan (Panda)+Bitdefender/Online und andere
http://virus-protect.org/onlinescan.html

(P.S: der Dienst POWERMANAGER wurde vom Virus erstellt, so als waere es ein Dienst von Windows und wurde somit immer mitgestartet)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 17:52
...neu hier

Themenstarter

Beiträge: 9
#11 Ok, danke, ich lass gerade den von Trend Micro durchlaufen =J

Kann ich eigentlich noch irgendwie meine Daten retten, oder sind die nun alle auf ewig kaputt? (Also die, die mir sagten "falscher Parameter", etc.)

Sö, der ist durch.
Gefunden hat er:
JAVA_BYTEVER.C und das gleiche mit .A

F-Secure hat zeitgleich auch noch
Trojan.Java.ClassLoader.h
gefunden -.-°

gelöscht können beide merkwürdiger Weise nicht werden.
ehm... was nu?

Edit: Irgendwie scheinen die nun doch weg zu sein... hmm... Noja, eine Frage steht ja noch weiter oben ;)

Edit2: Ok, zu früh gefreut: Trojan-Downloader.Win32.Dyfuca.ds <-- der wurde gefunden -.-° (gerade auch schon, aber den hatte ich vergessen, mitanzuführen...) Der lässt sich übrigens nicht löschen.

Edit3: Ok, die Java-Viren sind auch wieder da...

Edit4: (langsam sammel ich die...) Habe gerade F-Secure komplett durchlaufen lassen. Ergebnis:
16 Viren, aber alle liegen im Papierkorb auf D:/ Ich habe auch in das Verzeichnis gewechselt (klappte ja schonmal, dass ich die "einfach" gelöscht habe und die kamen nicht wieder), aber obwohl ich angeklickt habe, dass alle unsichtbaren Dateien zu sehen sein sollen, zeigt er mir die nicht an *grummel*

Edit5: mit Glück wird morgen mein Compi nochmal umgekremeplt. Allerdings nur die Festplatte C:/ Jetzt mach ich mir aber Sorgen wegen der Viren im D:/Recycle - so sehr, wie Murphy mich hasst, springen die hundert Pro auch wieder auf C:/ zurück -.-° Kann ich die irgendwie löschen =/?
Dieser Beitrag wurde am 02.06.2005 um 22:19 Uhr von Leonie editiert.
Seitenanfang Seitenende
02.06.2005, 23:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du haettest mir alles posten sollen, was angezeigt wird, dann haette ich einen Weg gefunden das alles zu loeschen...

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



also noch mal scannen und ALLES posten, die kompletten Pfade . ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.06.2005, 14:59
...neu hier

Themenstarter

Beiträge: 9
#13 Ich HAB ja alles gepostet ;) Am Anfang war es nunmal nur der Hidrag. Die anderen hat gerade erst der andere gefunde... *seufz* Ich lass das mal durch laufen ;)

Ich glaub, ich hab grad was falsch gemacht...

ANALYSE komplett - (0,812 Sek)
------------------------------------------------------------------------------------------
2.048,0MB zu entfernen. (Ungefähre Größe)


Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
C:\DOKUME~1\Admin\LOKALE~1\Temp\WCESCOMM.LOG 0 bytes
C:\DOKUME~1\Admin\LOKALE~1\Temp\IadHide5.dll 24,04KB
Geleerter Papierkorb (45 Dateien) 2.048,0MB

(noch ist mein Compi übrugens komplett, Montag kommt der Techniker)

Ich glaub, ich hab's doch nicht ganz so falsch gemacht ^.^ (Dachte erst, ich hätte den Log vergessen und nun wär's weg oder so...)

ANALYSE komplett - (7,734 Sek)
------------------------------------------------------------------------------------------
2.066,2MB zu entfernen. (Ungefähre Größe)


Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 300 bytes
Entfernte Cookies: bravenet.com
Entfernte Cookies: bravenet.com
Entfernte Cookies: posterxxl.com
Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\profiles\ik2r86di.default\cache\01F4335Ed01 0,16MB
Geleerter Papierkorb (45 Dateien) 2.048,0MB
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\desktop.ini 67 bytes
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini 67 bytes
Dieser Beitrag wurde am 03.06.2005 um 19:16 Uhr von Leonie editiert.
Seitenanfang Seitenende
04.06.2005, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Leonie

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

ClaerProg..lade die neuste Version <1.5.1
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat


Tipps zur Anwendung:
http://www.sophos.com/support/disinfection/jeefoa.html

1.) PC im abgesicherten Modus starten.
2.) Entfernungstool ausführen.
3.) Systemwiederherstellung deaktivieren (wichtig!)
4.) System neu starten.
5.) Entfernungstool nochmals ausführen (zur Kontrolle).
6.) Systemwiederherstellung reaktivieren.
7.) System neu starten.



dann duerfte alles ok. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2005, 16:40
...neu hier

Themenstarter

Beiträge: 9
#15 Danke ;)
Anscheinend ist BIS JETZT alles gelöscht, was gelöscht gehört... Aber ich lass gerade nochmal den Virenscanner durchrennen ;) Mein D:/REcycle ist hoffentlich nun auch leer, ich werd's ja gleich sehen. Wenn ich noch etwas finde, poste ich's hier weiter ;)

Jetz nochmal kurze Frage: Sind meine ganzen Daten jetz wirklich immer kaputt und zeigen mir an vonwegen "Parameter falsch" und "Nur ein Teil der ReadProcessMemory- oder WriteProcessMemory-Anforderung wurde geschlossen."? Oder lässt sich das noch reparieren? (hab grad mal nachgeschaut, dann sind nämlich nu knappe 10GB für'n A**** ='( ) Viele Programme /z.B. PhotoImpact 10 und Poser 5) starten zwar schon wieder, aber brechen kurz darauf in sich zusammen -.-° Auch Neuinstall klappt da nicht =/

Sö, der Scan ist nun durch. Habe nur noch den Trojan-Spy.Win32.Briss.g 2x auf der Platte. Ich hab gelöscht und lass nochmal durchlaufen. Mal sehen, ob der gelöscht bleibt...
Dieser Beitrag wurde am 04.06.2005 um 18:26 Uhr von Leonie editiert.
Seitenanfang Seitenende