Home » Spyware & Browser Hijacker Support Forum » Probleme mit Win Antivirus Pro Popups » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Probleme mit Win Antivirus Pro Popups

30.08.2006, 21:08

Andrea_K.

...neu hier

Beiträge: 4

#1 Hallo,

ich bekomme jetzt schon seit einigen Wochen ständig diese nervenden Popups von Win Antivirus Pro, die mir irgendwelche Infektionen mit Viren, Trojanern, et. anzeigen und mich dann zum Download des Programms auffordern. Auch Popups anderer angeblicher Virenschutzprogramme öffnen sich inzwischen regelmäßig in meinem Browserfenster - ich glaube echt, dass mein PC total verseucht ist. Es kommt inzwischen während des Surfens auch regelmäßig zu Systemabstürzen, bin echt verzweifelt.

Und sowohl Antivir und Ad-Aware finden nix. Kann mir jemand von euch helfen, diesen Mist wieder loszuwerden?

Hier die Ergebnisse von Hijackthis, ComboFix und Datfind.bat:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:14:49, on 30.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dllprd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {dfaa4f74-e6b3-4b7f-a274-4b78829c95bd} - C:\WINDOWS\system32\DSenCtl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [system] C:\Programme\Gemeinsame Dateien\system\lsass.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.01.0004/OCI/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246824727798523/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O20 - Winlogon Notify: DSenCtl - C:\WINDOWS\SYSTEM32\DSenCtl.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Zitat

Andrea - 06-08-30 18:08:43.46
ComboFix 06.08.27BT - Running from: C:\Transferierte Dateien

((((((((((((((((((((((((((((((( Files Created from 2006-07-30 to 2006-08-30 ))))))))))))))))))))))))))))))))))

2006-08-23 02:46 7,168 --a------ C:\WINDOWS\SYSTEM32\xatk.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-08-30 18:05 -------- d-------- C:\Programme\AVPersonal
2006-08-30 17:41 -------- d-------- C:\Programme\CleanUp!
2006-08-30 03:01 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-30 02:56 -------- d-------- C:\Programme\DivX
2006-08-24 17:58 -------- d-------- C:\Programme\TrojanHunter 4.5
2006-08-24 03:06 37376 --a------ C:\WINDOWS\SYSTEM32\USERINIT.EXE
2006-08-24 03:06 135168 --a------ C:\WINDOWS\SYSTEM32\sfc_os.dll
2006-08-11 21:51 -------- d-------- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Canon
2006-07-05 05:57 -------- d-------- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\TrojanHunter
2006-07-02 18:23 -------- d-------- C:\Programme\Lavasoft
2006-07-02 18:23 -------- d-------- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Lavasoft
2006-06-08 22:47 49152 --a------ C:\WINDOWS\SYSTEM32\pmnlk.exe
2006-06-08 22:47 27648 --a------ C:\WINDOWS\SYSTEM32\DSenCtl.dll
2006-06-08 01:57 13837 --ahs---- C:\WINDOWS\SYSTEM32\vturpom.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"diagent"="C:\\Programme\\Creative\\SBLive\\Diagnostics\\diagent.exe startup"
"UpdReg"=""
"DVDSentry"=""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"AVGCtrl"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"WMC_AutoUpdate"=""
"nwiz"=""
"NvMediaCenter"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sonic RecordNow!"=""
"system"="C:\\Programme\\Gemeinsame Dateien\\system\\lsass.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
@=""
"NoDriveTypeAutoRun"=hex:5f,00,00,00
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoLogoff"=hex:01,00,00,00
"NoRecentDocsMenu"=hex:01,00,00,00
"ClearRecentDocsOnExit"=hex:01,00,00,00
"NoSMMyDocs"=hex:01,00,00,00
"NoSMMyPictures"=hex:01,00,00,00
"NoDriveAutoRun"=hex:18,00,00,00
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DSenCtl

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job

Completion time: 06-08-30 18:08:49.57
ComboFix.txt
ComboFix2.txt

Zitat

System32.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0844-AFA7

Verzeichnis von C:\WINDOWS\SYSTEM32

06-08-30 18:05 41,237 nvapps.xml
06-08-30 17:49 723 divx.ini
06-08-29 20:45 1,170 WPA.DBL
06-08-24 03:08 148 kU9.c
06-08-24 03:06 135,168 sfc_os.dll
06-08-24 03:06 37,376 USERINIT.EXE
06-08-23 02:46 7,168 xatk.dll
06-07-05 05:42 59,392 streamhlp.dll
06-06-21 21:44 421,888 pxdrv.dll
06-06-21 21:44 172,032 pxmas.dll
06-06-21 21:44 372,736 px.dll
06-06-21 21:44 61,440 pxhpinst.exe
06-06-21 21:44 339,968 pxwave.dll
06-06-21 21:44 28,672 VXBLOCK.dll
06-06-21 12:33 3,136 dtu_de.qm
06-06-08 22:47 27,648 DSenCtl.dll
06-06-08 22:47 49,152 pmnlk.exe
06-06-08 01:57 13,837 vturpom.dll
06-05-16 23:18 316,594 PERFH007.DAT
06-05-16 23:18 311,604 PERFH009.DAT
06-05-16 23:18 48,156 PERFC007.DAT
06-05-16 23:18 39,992 PERFC009.DAT
06-05-16 23:18 723,568 PerfStringBackup.INI
06-04-27 02:50

Temp.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0844-AFA7

Verzeichnis von C:\DOKUME~1\Andrea\LOKALE~1\Temp

06-08-30 18:14 512 ~DFE954.tmp
06-08-30 18:14 0 off3.tmp
06-08-30 18:14 0 off2.tmp
06-08-30 18:14 512 ~DFC7E3.tmp
4 Datei(en) 1,024 Bytes
0 Verzeichnis(se), 74,663,428,096 Bytes frei

Windows.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0844-AFA7

Verzeichnis von C:\WINDOWS

06-08-30 18:05 0 0.LOG
06-08-30 18:04 159 WIADEBUG.LOG
06-08-30 18:04 50 WIASERVC.LOG
06-08-30 18:04 2,048 BOOTSTAT.DAT
06-08-30 18:04 32,618 SchedLgU.Txt
06-08-30 03:19 192 winamp.ini
06-08-23 02:40 11,776 Thumbs.db
06-08-16 23:26 73,153 wmsetup.log
06-08-02 22:52 92 cdplayer.ini
06-06-21 01:02 857 orun32.ini
06-05-23 17:03 2,795,310 SETUPAPI.LOG
06-05-23 06:32 36,498 Windows Update.log

C.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0844-AFA7

Verzeichnis von C:\

06-08-30 18:16 0 sys.txt
06-08-30 18:15 6,984 system.txt
06-08-30 18:14 426 systemtemp.txt
06-08-30 18:11 96,055 system32.txt
06-08-30 18:08 5,337 ComboFix.txt
06-08-30 18:06 5,322 ComboFix2.txt
06-08-30 18:04 535,891,968 hiberfil.sys
06-08-30 18:04 805,306,368 pagefile.sys

CleanUp habe ich schon laufen lassen.

31.08.2006, 02:40

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Andrea_K.

das sieht boese aus.. da ist noch mehr drauf, als der WinAntivirus Pro....

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\Programme\Gemeinsame Dateien\system\lsass.exe
C:\WINDOWS\SYSTEM32\xatk.dll
C:\WINDOWS\SYSTEM32\streamhlp.dll
C:\WINDOWS\SYSTEM32\sfc_os.dll
C:\WINDOWS\SYSTEM32\pmnlk.exe
C:\WINDOWS\SYSTEM32\DSenCtl.dll
C:\WINDOWS\SYSTEM32\vturpom.dll

poste die reporte hier
__________
MfG Sabina

rund um die PC-Sicherheit

31.08.2006, 15:39

Andrea_K.

...neu hier

Themenstarter

Beiträge: 4

#3 Hallo Sabina,

danke für die Hilfe, aber leider kann ich momentan gar nichts machen, weil es mir gestern mein ganzes System zusammengehauen hat. Windows lässt sich jetzt überhaupt nicht mehr starten (sitze gerade an einem fremden Rechner).

Da ich vermutet hatte, dass sich Viren auf dem PC befinden, hab ich mir gestern den Panda-Virenscanner (Testversion) runtergeladen, und er hat auch prompt einige böse Sachen gefunden, darunter die Trojaner Sfc.A, Dyfuca, Bancos.NM und Banker. Panda hat die Dateien desinfiziert, ich wollte den PC neu starten - und dann nach dem Neustart lief nix mehr! Windows startet nicht mehr, es kommt nur folgende Fehlermeldung von winlogon.exe: "Anwendung kann nicht geöffnet werden, weil sfc_os.dll nicht gefunden wurde."

Heißt das jetzt, dass mir der Panda-Scanner eine (infizierte) Systemdatei rausgeschossen hat? Wie kriege ich mein System jetzt denn wieder zum Laufen? Bin gerade echt am Verzweifeln!

P.S.: Ist Antivir eigentlich wirklich so ein Müll, dass er diese ganzen Trojaner nicht erkennt? Ich hab leider nicht allzuviel Ahnung von diesen Sachen.

31.08.2006, 21:55

Sabina

Ehrenmitglied

Beiträge: 29434

Zitat

Panda-Scanner eine (infizierte) Systemdatei rausgeschossen hat?

ja, das ist passiert..........

man koennte das Problem loesen (siehe fehlermeldung), aber ich empfehle dir zu formatieren, der Rechner ist kompromitiert.
mache alles platt - formatiere c:\
dann mache als erstes die Windowsupdates, lade SP2, denn du bist voellig ungeschuetzt im Internet rumgepaddelt, dann noch sorglos auf infizierte Mails geklickt.... - und das Ergebnis sieht man ja....

Zitat

Dieser Abschnitt enthält die Beschreibung und erweiterte technische Informationen

Troj/Viran-B ist ein Backdoortrojaner, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer ermöglicht.

Troj/Viran-B enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn er erstmals gestartet wird, kopiert sich Troj/Viran-B nach:

<Gemeinsame Dateien>\System\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe

und erstellt folgende Dateien:

<System>\divx5.dll
<System>\h323.txt

Die Datei divx5.dll ist die Tarnkomponente Troj/HideProc-K.

Der Trojaner verändert die Systemdatei sfc.dll oder sfc_os.dll, abhängig vom verwendeten Betriebssystem. Dies ist Teil des Versuches, den Windows System File Checker zu deaktivieren. Der Trojaner kann diesen Vorgang ausführen, um Änderungen an weitere Systemdateien vornehmen zu können.

Folgende Registrierungseinträge werden erstellt, um Troj/Viran-B beim Start auszuführen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Userinit
<Gemeinsame Dateien>\system\lsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
<System>\ctfmon.exe

Der folgende Registrierungseintrag wird verändert, um userinit.exe beim Start auszuführen:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe

Der folgende Registrierungseintrag wird erstellt:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable
ffffff9d

Registrierungseinträge werden an folgender Stelle erstellt:

HKLM\SOFTWARE\

__________
MfG Sabina

rund um die PC-Sicherheit

01.09.2006, 18:19

Andrea_K.

...neu hier

Themenstarter

Beiträge: 4

#5 Mist, ist wohl nix mehr zu machen, oder?

Tja, so ist es halt, wenn man sich auf den Rat von Leuten verlässt, die selber nicht viel Ahnung haben: Ein Freund von mir, der mir den PC eingerichtet hat, meinte, dass ich durch Antivir zuverlässig geschützt sei. Aber das war dann wohl nix. *seufz* Welches Virenschutzprogramm würdest du mir denn in Zukunft empfehlen?

Übrigens: Auf infizierte Email-Anhänge habe ich eigentlich noch nie geklickt, da mein Mailprogramm Dateianhänge automatisch auf Viren untersucht. Und Spammails öffne ich grundsätzlich nicht. Wie kommen dann diese ganzen Viren in meinen Rechner?

Sollte ich mir eine Firewall installieren?

Gibt es denn jetzt noch eine Möglichkeit, meine Daten zu retten? Das wäre echt eine persönliche Katastrophe für mich, wenn die alle weg wären!!!

02.09.2006, 01:33

Sabina

Ehrenmitglied

Beiträge: 29434

#6 wenn sich der rechner garnicht mehr starten laesst, kann auch ein Hardware-Fehler vorliegen, im schlimmsten Fall deine Festplatte zerstoert sein, da kann man dann nichts mehr retten.
kommst du denn noch in den abgesicherten modus ?
__________
MfG Sabina

rund um die PC-Sicherheit

03.09.2006, 03:19

Andrea_K.

...neu hier

Themenstarter

Beiträge: 4

#7 Ja, in den abgesicherten Modus komme ich noch. Allerdings kommt dann wieder genau dieselbe Fehlermeldung wie vorher ("sfc_os.dll nicht gefunden")und dann geht's nicht mehr weiter. Die Windows-Anmeldeseite erscheint noch, aber anmelden kann ich mich nicht mehr. Der Vorgang bricht jedesmal ab.

Hab hier übrigens das Programm "Bart PE" liegen. Taugt das denn was zur Datenrettung, oder sollte ich davon lieber die Finger lassen? Dass die Festplatte kaputt ist, hoffe ich jetzt mal nicht!

03.09.2006, 12:31

Sabina

Ehrenmitglied

Beiträge: 29434

#8 1.

panda hat das anscheinend geloescht: 06-08-24 03:06 135,168 sfc_os.dll - die Systemdatei wurde vom Trojaner veraendert/ersetzt....
versuche es erst einmal mit einer Reparatur-Installation, also lege die XP-CD ein und waehle dann Reparatur, so muesste die sfc_os.dll wieder ersetzt werden.

Zitat

Troj/Viran-B ist ein Backdoortrojaner, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer ermöglicht.

Der Trojaner verändert die Systemdatei sfc.dll oder sfc_os.dll, abhängig vom verwendeten Betriebssystem. Dies ist Teil des Versuches, den Windows System File Checker zu deaktivieren. Der Trojaner kann diesen Vorgang ausführen, um Änderungen an weitere Systemdateien vornehmen zu können.
http://www.sophos.de/security/analyses/trojviranb.html

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DSenCtl

Files to delete:
C:\Programme\Gemeinsame Dateien\system\lsass.exe
C:\WINDOWS\SYSTEM32\xatk.dll
C:\WINDOWS\SYSTEM32\pmnlk.exe
C:\WINDOWS\SYSTEM32\DSenCtl.dll
C:\WINDOWS\SYSTEM32\vturpom.dll
C:\WINDOWS\SYSTEM32\divx5.dll
C:\WINDOWS\SYSTEM32\divx.ini
C:\WINDOWS\SYSTEM32\divx.dll
C:\WINDOWS\SYSTEM32\kU9.c
C:\WINDOWS\SYSTEM32\h323.txt

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Windows File Protection: öffnen der Datei Windows/System32/sfc_os.dll in einem Hex-Editor. Am Offset E2B8 die zwei Bytes 8Bh und C6h durch den Wert 90h ersetzen. Anschließend verlangt Windows XP nach der Installations-CD, akzeptiert aber nach einem Klick auf Abbrechen und Ja die geänderte Datei. Durch erneuten Eingriff in die Datei sfc_os.dll wir der Dateischutz wieder aktiv!
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1