msdirectx.sys Hacktool.Rootkit entfernen + xpjava.exe + steam.exeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.08.2005, 12:17
Ehrenmitglied
Beiträge: 29434 |
||
|
||
04.08.2005, 12:26
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@
Zitat http://www.sophos.de/virusinfo/analyses/w32rbotyc.htmleinzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\System32\steam.exe Gehe in die Registry Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten Start-->Ausfuehren-->regedit bearbeiten-->suchen--> xpjava.exe msdirectx (loesche alles, was du findest) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O4 - HKLM\..\Run: [steam] steam.exe O4 - HKLM\..\RunServices: [steam] steam.exe PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\msnt.exe C:\WINDOWS\System32\xpjava.exe C:\WINDOWS\System32\msdirectx.sys Pc neustarten •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: msdirectx Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ------------ Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus (auch den jeweiligen Pfad mitkopieren) einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2005, 15:57
Member
Beiträge: 12 |
#3
Hallo Sabina,
danke für Deine schnelle Antwort und Deine Mühe! Ich bin gerade bei der Arbeit und somit nicht in der Lage, was Du mir geschrieben hast durchzuführen. Werde noch ca. eine Stunde bei der arbeit sein und dann mal schauen, was zuhause Sache ist. Melde mich dann umgehend bei Dir. Sonnige Grüße von Koh Samui ;-) ! Dome ;-) |
|
|
||
04.08.2005, 16:27
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
ich werde auch erst heute Abend wieder nachsehen koennen, bis dann also
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2005, 16:48
Member
Beiträge: 12 |
#5
Hier das Ergebnis von: www.virustotal.com
This is a report processed by VirusTotal on 08/04/2005 at 17:59:54 (CET) after scanning the file "steam.exe" file. Antivirus Version Update Result AntiVir 6.31.1.0 08.04.2005 Worm/RBot.80503 Avast 4.6.695.0 08.03.2005 no virus found AVG 718 08.03.2005 IRC/BackDoor.SdBot.196.AO Avira 6.31.1.0 08.04.2005 Worm/RBot.80503 BitDefender 7.0 08.04.2005 Backdoor.RBot.01385309 CAT-QuickHeal 7.03 08.04.2005 (Suspicious) - DNAScan ClamAV devel-20050725 08.04.2005 no virus found DrWeb 4.32b 08.04.2005 no virus found eTrust-Iris 7.1.194.0 08.04.2005 no virus found eTrust-Vet 11.9.1.0 08.04.2005 no virus found Fortinet 2.36.0.0 08.04.2005 W32/RBot.AF-bdr F-Prot 3.16c 08.04.2005 no virus found Ikarus 0.2.59.0 08.04.2005 no virus found Kaspersky 4.0.2.24 08.04.2005 Backdoor.Win32.Rbot.af McAfee 4549 08.03.2005 New Malware.n NOD32v2 1.1185 08.01.2005 a variant of Win32/Rbot Norman 5.70.10 08.01.2005 no virus found Panda 8.02.00 08.04.2005 Bck/Agent.AFS Sophos 3.96.0 08.04.2005 no virus found Sybari 7.5.1314 08.04.2005 Worm.RBot.CCD Symantec 8.0 08.04.2005 no virus found TheHacker 5.8.2.080 08.03.2005 no virus found VBA32 3.10.4 08.04.2005 Backdoor.Win32.Rbot.gen VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. > Go to: Home Contact En español www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com Wenn ich in der registry den eintrag: Legacy_Msdirectx löschen will, bekomme ich die Meldung: Fehler beim Löschen des Schlüssels---Legacy_Msdirectx kann nicht gelöscht werden : Fehler beim löschen des Schlüssels Wenn ich regsrch.vbs ausführen will, geht ein Fenster au in dem steht: Windows Script Host Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator um weitere Details in Erfahrung zu bringen. Das ist das Neue Log von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 23:06:22, on 04.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\D-Link\DSL-210\CnxDslTb.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\regedit.exe C:\Dokumente und Einstellungen\rocco\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\D-Link\DSL-210\CnxDslTb.exe" O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{B5527747-6FFB-4A2B-886A-90522E12B295}: NameServer = 203.155.33.2 202.44.144.34 O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe Also ich hab da noch ein Problem, ich weiß nicht wie Du das meinst bzw. was ich da machen soll: Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus (auch den jeweiligen Pfad mitkopieren) einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Wenn ich unter: Start--> Ausfuehren--> cmd--> reingehe, dann soll ich wenn ich das richtig verstanden habe, z.B.: das: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit einfach in den schwarzen kasten wo der curser blinkt reinkopieren. richtig? Hab ich gemacht, dann geht ein weises Fenster auf (Editor?) und da soll ich dann die Einträge der letzten 30 Tage löschen? Hab ich gemacht, aber wenn ich das dann zum zweiten mal mache, um zu sehen ob sich was geändert hat, dann stehen da wieder die Einträge bis 04.08.2005? Noch ne Frage.... Mein Rechner Stürzt regelmäßig ab (Blauer Bildschirm) dann kommt die Meldung: DRIVER_IRQL_NOT_LESS_OR_EQUAL weiter unten steht: *** STOP: 0x000000D1 (0x00000000,0x00000002,0x00000001,0x86266000) Kannst Du mir da helfen? Bin hier in Thailand und hier kennt Sich keiner aus, ich bekomme immer nur als Antwort: Can not! Can not! May be in Bangkok.... :-((((( Sorry, Sabina, ich raff das nett so ganz... :-( Was nun? Vielen Dank für Deine Mühe!!!!!!!!!! Dome Dieser Beitrag wurde am 04.08.2005 um 18:56 Uhr von samuidome editiert.
|
|
|
||
05.08.2005, 01:13
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
nun gut, ich erklaere es noch mal:
Zitat soll ich dann die Einträge der letzten 30 Tage löschen?... nein !!!!!!!! Nicht loeschen, sondern abkopieren und mir hier posten. So weiss ich, was du alles auf dem PC hast. du sollst in das schwarze DOS-Fenster kopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit dann oeffnet sich der Editor, du kopierst die letzten 30 Tage ab (mit Pfad und allem) und postest es hier, dann kommt das naechste .------------- der PC ist voellig verseucht, mit Backdoors, aber wenn du mir alles postest, koennen wir vielleicht noch was retten, ohne neu zu formatieren) Gruss aus Lissabon __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2005, 06:00
Member
Beiträge: 12 |
#7
Guten Morgen, Sabina,
danke für Deine Antwort, werde ich so machen, allerdings wieder erst heute abend. Was sind denn die Backdoors, gefährlich? edit: doch früher... Das hab ich jetzt gerafft,... Ergebnisse: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 88D3-D382 Verzeichnis von C:\WINDOWS\system32 05.08.2005 12:20 201.252 DSL210.log 03.08.2005 23:25 44 msssc.dll 03.08.2005 23:18 351.166 perfh009.dat 03.08.2005 23:18 50.816 perfc009.dat 03.08.2005 23:18 363.932 perfh007.dat 03.08.2005 23:18 61.152 perfc007.dat 03.08.2005 23:18 828.752 PerfStringBackup.INI 03.08.2005 23:17 35.992 jspWinRnia.DLL 03.08.2005 23:17 53.248 jspWinRni.DLL 03.08.2005 23:17 56.832 smemory.dll 03.08.2005 23:17 49.152 TrayIcon12.dll 03.08.2005 23:17 60.156 jspWinNm.DLL 03.08.2005 23:17 45.056 jspWin.dll 03.08.2005 23:11 110.992 FNTCACHE.DAT 03.08.2005 22:31 3.241 CnxDslWz.log 03.08.2005 22:29 1.503 lvcoinst.log 03.08.2005 22:28 573 Installer.log 03.08.2005 17:36 2.206 wpa.dbl 03.08.2005 17:35 0 TFTP1268 02.08.2005 23:58 25.065 wmpscheme.xml 02.08.2005 13:32 0 h323log.txt 02.08.2005 13:22 261 $winnt$.inf 02.08.2005 13:20 2.951 CONFIG.NT 02.08.2005 13:20 16.832 amcompat.tlb 02.08.2005 13:20 23.392 nscompat.tlb 02.08.2005 13:19 488 logonui.exe.manifest 02.08.2005 13:19 488 WindowsLogon.manifest 02.08.2005 13:19 749 nwc.cpl.manifest 02.08.2005 13:19 749 cdplayer.exe.manifest 02.08.2005 13:19 749 ncpa.cpl.manifest 02.08.2005 13:19 749 sapi.cpl.manifest 02.08.2005 13:19 749 wuaucpl.cpl.manifest 02.08.2005 13:17 21.740 emptyregdb.dat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 88D3-D382 Verzeichnis von C:\DOKUME~1\rocco\LOKALE~1\Temp 05.08.2005 12:18 19.006 LVCOMSX.LOG 04.08.2005 23:30 16.384 ~DFAF8E.tmp 04.08.2005 22:44 199 kb.log 04.08.2005 22:41 16.384 ~DFBCED.tmp 04.08.2005 22:29 16.384 Perflib_Perfdata_950.dat 04.08.2005 22:25 16.384 ~DF4856.tmp 04.08.2005 13:21 514.569 tmp.xpi 04.08.2005 13:12 16.384 ~DF8990.tmp 04.08.2005 13:03 512 ~DF766C.tmp 04.08.2005 13:02 16.384 ~DF6F0F.tmp 04.08.2005 12:50 16.384 ~DFAE2D.tmp 04.08.2005 12:41 512 ~DF6C72.tmp 03.08.2005 23:29 0 ~2E.tmp 03.08.2005 23:28 0 ~2C.tmp 03.08.2005 23:25 0 ~1.tmp 03.08.2005 23:14 16 persistent_state 03.08.2005 23:10 5.851 plfA8.tmp 03.08.2005 22:59 9.555 Microsoft Office 2003 Setup(0001).txt 03.08.2005 22:59 377.770 Microsoft Office 2003 Setup(0001)_Task(0001).txt 03.08.2005 22:54 49.217 offcln11.log 20 Datei(en) 1.091.895 Bytes 0 Verzeichnis(se), 15.849.975.808 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 88D3-D382 Verzeichnis von C:\WINDOWS 05.08.2005 12:20 0 0.log 05.08.2005 12:20 159 wiadebug.log 05.08.2005 12:20 50 wiaservc.log 05.08.2005 12:18 51 iTouch.ini 05.08.2005 12:18 2.048 bootstat.dat 05.08.2005 00:11 4.902 SchedLgU.Txt 04.08.2005 13:21 3.254 mozver.dat 04.08.2005 13:00 65.536 DUMP2bd2.tmp 03.08.2005 23:29 625.317 setupapi.log 03.08.2005 23:28 3.006 Windows Update.log 03.08.2005 23:24 2.888 Ascd_tmp.ini 03.08.2005 23:10 238.828 setupact.log 03.08.2005 23:08 0 nsreg.dat 03.08.2005 23:08 99.970 UninstallFirefox.exe 03.08.2005 22:59 400 ODBC.INI 03.08.2005 22:58 568 win.ini 02.08.2005 23:58 829 OEWABLog.txt 02.08.2005 23:58 632.789 setuplog.txt 02.08.2005 14:08 4.612 regopt.log 02.08.2005 14:08 231 system.ini 02.08.2005 14:06 374 setuperr.log 02.08.2005 13:42 1.326 imsins.BAK 02.08.2005 13:30 0 Sti_Trace.log 02.08.2005 13:23 8.192 REGLOCS.OLD 02.08.2005 13:22 19.995 ntdtcsetup.log 02.08.2005 13:22 36.655 comsetup.log 02.08.2005 13:22 89.713 iis6.log 02.08.2005 13:22 22.580 tsoc.log 02.08.2005 13:22 4.326 imsins.log 02.08.2005 13:22 3.125 tabletoc.log 02.08.2005 13:20 0 control.ini 02.08.2005 13:20 299.552 WMSysPrx.prx 02.08.2005 13:20 4.161 ODBCINST.INI 02.08.2005 13:19 749 WindowsShell.Manifest 02.08.2005 13:18 2.313 ocmsn.log 02.08.2005 13:18 2.025 msgsocm.log 02.08.2005 13:18 33.640 ocgen.log 02.08.2005 13:18 26.611 FaxSetup.log 02.08.2005 13:18 1.060 sessmgr.setup.log 02.08.2005 13:17 5.757 netfxocm.log 02.08.2005 13:17 371 DtcInstall.log 02.08.2005 13:16 22.492 msmqinst.log 02.08.2005 07:34 37 vbaddin.ini 02.08.2005 07:34 36 vb.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 88D3-D382 Verzeichnis von C:\ 05.08.2005 12:25 0 sys.txt 05.08.2005 12:23 5.111 system.txt 05.08.2005 12:22 1.281 systemtemp.txt 05.08.2005 12:21 90.986 system32.txt 05.08.2005 12:18 1.073.315.840 hiberfil.sys 05.08.2005 12:18 1.610.612.736 pagefile.sys 03.08.2005 23:10 0 itouch_crash_info.txt 02.08.2005 13:20 0 CONFIG.SYS 02.08.2005 13:20 0 IO.SYS 02.08.2005 13:20 0 MSDOS.SYS 02.08.2005 13:20 0 AUTOEXEC.BAT 02.08.2005 13:16 194 boot.ini Bis später.... Sonnige Grüße nach Lissabon! Dome Dieser Beitrag wurde am 05.08.2005 um 07:26 Uhr von samuidome editiert.
|
|
|
||
05.08.2005, 11:31
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
Hallo@samuidome
das hast du gut gemacht Du musst verstehen, dass ich bestimmte Infos ueber deinen PC brauche, denn ich sitze ja nicht davor und kann nachsehen. Ein Backdoor hat vollen Zugriff auf deinen PC, kann loeschen, veraendern und alle deine Passworte usw. stehlen. In diesem Fall geschieht die Verbindung ueber einen TFTP-Server (den du loeschen wirst) ich brauche diese Eintraege....das Tool wird sie erstellen und ich mache dann eine reg-Datei fuer die Registry HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: msdirectx Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: SYSMON32 Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" falls es noch nicht geloescht ist: C:\WINDOWS\System32\msnt.exe C:\WINDOWS\System32\xpjava.exe C:\WINDOWS\System32\msdirectx.sys das ist unbedingt zu loeschen: C:\WINDOWS\system32\msssc.dll C:\WINDOWS\system32\smemory.dll C:\WINDOWS\system32\SYSMON32.EXE C:\WINDOWS\System32\steam.exe C:\WINDOWS\system32\TFTP1268 PC neustarten Lade: rkfiles.zip (warte unbedingt, bis sich das schwarze DOS-Fenster von allein schliesst.....auch wenn es sehr lange dauert) http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt AboutBuster (scanne solange, bis keine Fehlermeldung mehr kommt--> suche dann die log-Datei vom Scan und poste sie mir) http://virus-protect.org/antispywaretools.html Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und dann den abgesicherten modus waehlen)) ausführen. Zitat Dieser Trojaner, wie es auch immer üblich ist, wird von jedem Antivirus Hersteller anders genannt, Sophos nennt ihn zum Beispiel __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2005, 12:46
Member
Beiträge: 12 |
#9
Hallo Sabina,
ich hatte gestern schon das Problem, dass sich Regsrch.vbs nicht öffnen kann.Ich bekomme folgende Meldung: Windows Script Host Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator um weitere Details in Erfahrung zu bringen. Bin in ungefähr zwei Stunden zuhause, hast Du dann Zeit für mich? 1000 Dank! Dome p.s: Was machst Du denn in Lissabon? |
|
|
||
05.08.2005, 12:57
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#10
dann gehe in die Registry
Start-->Ausfuehren--> regedit bearbeiten--> ausfuehren--> schreib rein: msdirectx poste mir alle Eintraege, die du findest, ungefaehr in dieser Form: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX HKLM\SYSTEM\CurrentControlSet1\Enum\Root\LEGACY_MSDIRECTX HKLM\SYSTEM\CurrentControlSet2\Enum\Root\LEGACY_MSDIRECTX dann suche: SYSMON32 und natuerlich moechte ich auch, dass du mit der Killbox loeschst und die anderen Tools rkfiles.zip+ AboutBuster anwendest. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2005, 16:46
Member
Beiträge: 12 |
#11
Hallo Sabina,
bin nun endlich zuhause. war in regedit, kann aber kein bearbeiten--ausfuhren finden. Was tun? Grüße, dome |
|
|
||
05.08.2005, 17:20
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#12
wenn du START-->Ausfuehren-->regedit , kommst du in die Registry
oben links muesstest du dann unter einem Link diese Funktionen finden (bearbeiten-->suchen) du kannst es auch mit diesem Tool versuchen http://virus-protect.org/registrarlite.html das Beispiel auf der Seite trifft nicht auf dich zu, du musst was anderes suchen msdirectx SYSMON32 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.08.2005, 09:36
Member
Beiträge: 12 |
#13
Hallo Sabina,
ich glaube das Problem hat sich dann erledigt. Nachdem mein Rechner nun garnicht mehr starten wollte, auch nicht im Abges. Modus, hab ich Ihn und die Pferdchen zum Schlachter gebracht...Komplett formatiert und neu installiert. Bisher funktioniert alles, toi toi toi das dies so bleibt... Danke für Deine Bemühungen! Sonnige Grüße nach Lissabon?! Dome |
|
|
||
30.09.2005, 22:08
...neu hier
Beiträge: 6 |
#14
Guten Abend,
leider habe ich mir auch so ein Problem wie samiudome eingefangen :-( Bei mir zeigt Norton Antivirus an, dass es einen Virus mit dem Namen Hacktool.Rootkit in der Datei C:\WINDOWS\system32\remon.sys gefunden hat. Leider habe ich von der ganzen Materie keine Ahnung und würde mich freuen, wenn mir jemand schnell helfen könnte, weil ich meinen PC nicht formatieren möchte. Vielen Dank... Gathor |
|
|
||
30.09.2005, 23:43
Ehrenmitglied
Beiträge: 6028 |
#15
Hallo@Gathor
Download Hijack This (poste das Log hier ) http://virus-protect.org/hjtkurz.html __________ MfG Argus |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit