Spyaxe - Computer fast komplett lahmgelegt, nichts funktioniert!!!

#0
30.12.2005, 13:50
...neu hier

Beiträge: 10
#1 Hallo!
War so blöd und bin auf Spyaxe reingefallen ... nun funktioniert fast nichts mehr! Nicht einmal mehr im abgesicherten Modus. Habe versucht Spyaxe nach der Beschreibung zu entfernen, danach machte der Computer total schlapp! Habe sogenannte Entfernungs-Programme auf dem USB-Stick und CD - der Computer erkennt aber nichts mehr.
Bräuchte dringend Hilfe!!!!!
Seitenanfang Seitenende
30.12.2005, 13:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 datfindbat--kopiere hier die 4 Textdateien, ich schau dann nach, was los ist ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 14:05
...neu hier

Themenstarter

Beiträge: 10
#3 Geht nicht. Bin jetzt an einem anderen Laptop - der hier geht problemlos. Ich kann hier zwar alles runterladen, aber der infizierte Laptop erkennt keine Datenträger an. Ich kann datfindbat nicht verwenden ;)
Es kommt immer die Nachricht "Das Gerät ist nicht bereit"
Ich kann auch nur noch über den Windows Task-Manager agieren - alles andere reagiert nicht mehr!!!! Was soll ich denn jetzt machen??
Seitenanfang Seitenende
30.12.2005, 14:19
Member

Beiträge: 19
#4 Hi,

Sind auf deinem Leptop so wichtige Sachen ??
Wen es nich der Fall ist und du deine Datein oder Spiele wieder auf den Pc ohne Probleme instalieren kannst dann würde ich dir empfehlen dein Pc zu formatieren. Den auch wen du dein Pc jetzt versuchs zu reparieren Restspuren bleiben immer

mfg

jjock@gmx.net
Seitenanfang Seitenende
30.12.2005, 14:29
...neu hier

Themenstarter

Beiträge: 10
#5 Leider sind dort sehr wichtige Sachen drauf. Unter anderem das Referat an dem ich gerade arbeite!! Man hat mir gesagt, dass ich es mit einer Boot-CD probieren soll, oder die CD zur Erstinstallation zum Reparieren nehmen soll - ginge das? Da wäre dann nur das Problem, dass der Computer nicht mehr auf CDs oder andere Datenträger reagiert.
Habe auch versucht gleich beim Start F2 zu drücken, um erst das Laufwerk starten zu lassen und dann die Festplatte, aber irgendwie steht es da nicht so wie man es mir beschrieben hat!! Sind meine Daten jetzt etwa alle futsch?? ;)
Seitenanfang Seitenende
30.12.2005, 15:37
Member

Beiträge: 19
#6 hm

versuch mal ins bios reinzukommen mit f8 Taste und da zu schauen ob das erste Boot-sektor das CD laufwerk ist.
Wenn das geht las Windows mal normal neu draufspielen


Mfg

Jjock@gmx.net
Seitenanfang Seitenende
30.12.2005, 16:05
...neu hier

Themenstarter

Beiträge: 10
#7 Ja danke, das mit Bios hab ich auch schon probiert, hat mich leider nicht weiter gebracht ;) . Aber wenn ich Windows Xp neu installiere gehen doch alle Daten verloren! Lade gerade 'ne Boot-CD runter ... aber das dauert noch 12 Stunden!
Kann ich die Recovery-CD nutzen, um das Programm zu reparieren, oder nützt das nix?!
Ein Bekannter meinte ich soll mal zum Computerfachmann gehen, damit der auf meine Festplatte zugreift und noch was rettet, allerdings hab ich von jemandem gehört, dass der locker 600-700 Euro nimmt - wenn man an den falschen gerät!! Also will ich es erst lieber selbst probieren!
Seitenanfang Seitenende
30.12.2005, 16:28
Member

Beiträge: 19
#8 hm

Also wenn dein leptop nicht bootet lohnt es sich ja eigentlich nicht BOOt cd runter zu laden.
Wenn er bootet dann lass windows nicht reperiern sondern lass windows ohne was zu läuschen drüber spielen dann müsste es weider klappen


mfg

jjock@gmx.net
Seitenanfang Seitenende
30.12.2005, 16:56
...neu hier

Themenstarter

Beiträge: 10
#9 Habe es mit der Recovery-CD probiert - die bootet er. Reparieren geht nicht, ich kann nur alles neu draufmachen, aber das hat dann das vollständige Löschen aller Dateien zur Folge.
Die Dateien sind extrem wichtig und dürfen keinesfalls verloren gehen!! Gibt es keinen Weg an sie ranzukommen und sie zu sichern??
Seitenanfang Seitenende
30.12.2005, 17:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 hast du es mal im abgesicherten Modus versucht, die datfindbat anzuwenden ?

im abgesicherten Modus kannst du auch versuchen:

Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.12.2005, 13:53
...neu hier

Themenstarter

Beiträge: 10
#11 Danke für den Tip, aber bei mir geht gar nichts mehr. Komme gar nicht erst dazu etwas bei Ausführen einzugeben. Der Start-Button reagiert nicht mehr! Ich kann weder im normalen, noch im abgesicherten Modus etwas ausführen.
Seitenanfang Seitenende
31.12.2005, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du kannst doch noch ueber den tasmanager agieren...so hast du jedenfalls geschrieben.... welche prozesse findest du dort ? tippe sie ab und poste sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.12.2005, 17:40
...neu hier

Themenstarter

Beiträge: 10
#13 Mmmh ... also:

wmiprvse.exe - wurde gerade plötzlich zu drwtsn32.exe
drwtsn32.exe
taskmgr.exe
explorer.exe
svchost.exe (3x)
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
System
Leerlaufprozess
Seitenanfang Seitenende
31.12.2005, 17:43
...neu hier

Beiträge: 1
#14 Hi Sabina !

Deine generelle Anleitung zum Löschen des Spyaxe war perfekt !

Ich bedanke mich bei Euch allen für den Aufwand und schätze Euer wissen !

Vielen Dank

Roman-TheVision
Seitenanfang Seitenende
31.12.2005, 18:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 es kann eines, wie das andere sein...es ist mir ein Raetsel, dass du nicht mal im abgesicherten modus auf Windows Zugriff hast.

mache mit der Recovery-CD eine Reparatur.... so gehen zwar die Windowsupdates verloren...aber nicht deine Daten
----------------------------------------------------------------------------

Zitat

Wmiprvse.exe

* Kontext: NETZWERKDIENST, kann nicht mit dem Task-Manager beendet werden.
* Wmiprvse.exe behandelt WMI (Windows Management Infrastructure) Operationen

Zitat

W32/Sonebot-B ist ein Netzwerkwurm, der eine IRC-bot- und Backdoor-Funktion enthält, die unbefugten Fernzugriff auf den infizierten Computer ermöglicht.

Dieser Wurm kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern, initiiert einen remoten Hintergrundprozess und verbindet sich mit einem remoten IRC-Server sowie einem bestimmten Kanal.

W32/Sonebot-B legt eine Kopie von sich mit dem Dateinamen WMIPRVSE.EXE im Windows-System32-Ordner ab und erstellt die folgenden Registrierungseinträge, so dass die Kopie beim Systemneustart aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Kernel_check = wmiprvse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Kernel_check = wmiprvse.exe

W32/Sonebot-B versucht außerdem zahlreiche Prozesse zu beenden und mehrere Dateien auf dem infizierten Computer zu löschen.

Dieser Wurm kann außerdem die folgenden Registrierungseinträge erstellen:

HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\
AutoShareServer = <Wert>
AutoShareWks = <Wert>

HKLM\System\CurrentControlSet\Control\lsa\
RestrictAnonymous = <Wert>
RestrictAnonymousSam = <Wert>

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende