Kann Backdoor mswincom32.exe nicht entfernen |
||
---|---|---|
#0
| ||
04.09.2006, 17:39
...neu hier
Beiträge: 5 |
||
|
||
05.09.2006, 10:44
Ehrenmitglied
Beiträge: 29434 |
#2
Zitat So, ich habe jetzt die Datei in gezipter Form angehängt.warum postest du den backdoor als Anhang, darf man das erfahren ? Vielleicht damit die anderen, die draufklicken sich auch am Backdoor erfreuen duerfen ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 10:50
...neu hier
Themenstarter Beiträge: 5 |
#3
Ich habe das Backdoor-Programm gepostet, damit es vielleicht jemand identifiziert und eine Möglichkeit kennt, es zu entfernen.
Ich gehe mal davon aus, dass die Leute, die hier verkehren, sich mit der Thematik halbwegs auskennen und nicht gleich jede Datei öffnen/ausführen. Das entpacken der Zip-Datei führt ja nicht direkt zu einer Infizierung. Nebenbei bemerkt habe ich gerade diese Seite http://www.virustotal.com/ gefunden, die eine größere Auswahl an Scanner als Jotti hat. Dort ist das Backdoor-Programm von Symantec als W32.Spybot.Worm identifiziert worden. Ich hoffe, dass ich es mit deren Anleitung entfernen kann. |
|
|
||
05.09.2006, 13:43
Ehrenmitglied
Beiträge: 29434 |
#4
na fein, sich infizieren...hab ich gemacht... war wohl etwas muede gestern nacht und habe es auch wegbekommen - musste ich, denn ich bin nicht mehr ins net gekoemmen, heute frueh, aber da ich ja mein ganzes Arsenal an Tools auf dem Rechner habe- war es kein Problem....
ich habe auch einen Entfernung-Weg erstellt, allerdings bin ich nicht mehr an alle Logs rangekommen, weil sich einige ueberschrieben haben und damit verloren sind. uebrigens, ICH habe es geladen - kein Problem - aber du darfst nicht in ein oeffentliches Forum einen Backdoor stellen, denn wer garantiert dir, dass nicht auch andere draufklicken ?? Fuer so etwas gibt es PMs..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 13:52
...neu hier
Themenstarter Beiträge: 5 |
#5
Ich habe nicht "infizieren" sondern "identifizieren" geschrieben.
Vielleicht hat ja jemand ein Tool auf seinem Rechner, welches die Datei "identifiziert". |
|
|
||
05.09.2006, 15:37
Ehrenmitglied
Beiträge: 29434 |
#6
ein Tool ? nein, ein Tool gibt es nicht, aber ich kenne nun die Routine vom Backdoor
1. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 17:37
...neu hier
Themenstarter Beiträge: 5 |
#7
Inzwischen habe ich es geschafft die Datei mswincom32.exe zu entfernen und alle Registry-Einträge zu löschen. Leider läuft aber Hijackthis nciht mehr. Es stürtzt beim Scan immer wieder ab.
|
|
|
||
05.09.2006, 17:48
Ehrenmitglied
Beiträge: 29434 |
#8
es sind noch Dienste mit dabei, auch Programme.... deshalb poste die ServiceFilter
es ist nie nur eine exe........... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 18:02
...neu hier
Themenstarter Beiträge: 5 |
#9
Okai, das hat ServiceFilter gefunden.
Zitat ServiceFilter 1.1Ein paar Bemerkungen hierzu: MSCommand habe ich bereits in der Registry als Service-Eintrag entfernt und sollte nach einem Neustart nicht mehr auftauchen. Network Monitor existiert ebensowenig noch. Den habe ich bereits gestern mit AdAware entfernt. Warum PsShutdownSvc dort eingetragen ist, weiß ich nicht. Es handelt sich eigentlich um ein Programm von www.sysinternals.com, mit dem man ein Windowssystem remote runterfahren kann. Ich habe zur Sicherheit die Datei mal umbenannt. Eigentlich klingt aber alles plausibel Ich hoffe mal, dass es das war. Dieser Beitrag wurde am 05.09.2006 um 18:47 Uhr von passt editiert.
|
|
|
||
05.09.2006, 22:51
Ehrenmitglied
Beiträge: 29434 |
#10
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint ** poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich versuche heute bereits den ganzen Tag einen Kiste per Remotezugriff (pcanywhere) Viren-Wurm-und-Spyware-frei zu kriegen. Inzwischen scheint nur noch das Backdoor-Programm mswincom32.exe übrig geblieben zu sein. Das ist aber so clever, dass es Hijackthis und Norton Antivirus sofort beendet und ich mit diesen Tools keine Möglichkeit habe, es zu entfernen.
Ich weiß inzwschen nicht mehr weiter. Ich versuche gerade mit Eraser die Datei mswincom32.exe zu löschen, aber das scheint auch nicht zu klappen.
Ad-Aware scheint das Programm auch nicht zu erkennen.
Kann mir jemand weiterhelfen?
+++++++++++++
Ich habe jetzt mal online die Datei über http://virusscan.jotti.org/ scannen lassen und das ist dabei herausgekommen.
Zitat
Leider hilft mir das so auch nicht weiter, da die vier erkennenden Scanner auf ihrer Webseite auch nicht mehr über das Entfernen dieses Programmes verraten.Das größte Problem, dass ich rund 400km von dem Rechner entfernt sitze und nicht mal auf die Schnelle eine CD reinwerfen kann, um die Datei zu löschen.
So, ich habe jetzt die Datei in gezipter Form angehängt.
Außerdem habe ich festgestellt, dass dieses Backdoor-Programm eine Verbindung zum Internet aufbaut und dann diverse Programme (Command, Network Monitor, Search Bar, Toolbar888) runterlädt, aber diese lassen sich recht einfach über Systemsteuerung-Software und mit Hilfe von AdAware wieder entfernen. (Ich hoffe es zumindest, da ich diese bereits heute einmal entfernt habe.)
Gruß
Peter[/url]