Home » Viren, Trojaner & Malware Forum » Habe ein Virenproblem mit Backdoor und Cybersitter » Themenansicht

Habe ein Virenproblem mit Backdoor und Cybersitter

Thema ist geschlossen!
Thema ist geschlossen!
#0
08.05.2008, 11:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 nun versuche Combofix anzuwenden
http://virus-protect.org/artikel/tools/combofix.html

wenn es im normalmodus nicht klappt:
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

dann combofix im abgesicherten Modus anwenden + hier das Log, was erstellt wird posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2008, 13:20
lady_amalia
Member

Themenstarter

Beiträge: 33
#17 Geht leider immer noch nicht.:-(
Seitenanfang Seitenende
08.05.2008, 16:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 funktioniert Comboscan ? - poste die 2 logs hier
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2008, 18:00
lady_amalia
Member

Themenstarter

Beiträge: 33
#19 Nein das geht leider auch nicht,versteh das nicht.
Seitenanfang Seitenende
08.05.2008, 18:36
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 AVZ Antiviral Toolkit
Download AVZ Antiviral Toolkit (Anhang)
avz4.zip klicken - - avz.exe – entpacken
klicke: avz.exe

klicke>> File>>System Restore>>setze ein haeckchen bei 10
klicke unten auf “Execute Selected operations”
Starte neu
Und versuche es mit ComboFix nochmal
__________
MfG Argus
Seitenanfang Seitenende
08.05.2008, 19:57
lady_amalia
Member

Themenstarter

Beiträge: 33
#21 Auch kein Erfolg,wenn ich die exe anklicke hängt es sich auf.
Soviel Pech kann man doch echt nicht haben.heul
Seitenanfang Seitenende
08.05.2008, 20:42
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 Neuer versuch ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip
Download zum Desktop
__________
MfG Argus
Seitenanfang Seitenende
08.05.2008, 21:13
lady_amalia
Member

Themenstarter

Beiträge: 33
#23 Den hatte ich schon.:-)
Hat auch gescannt,nur trotzdem is der Rechner noch so wie vorher.
Seitenanfang Seitenende
08.05.2008, 21:26
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#24 RVAXO
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken

Öffne die Datei RVAXO und doppelklick “RunMe.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd
__________
MfG Argus
Seitenanfang Seitenende
08.05.2008, 22:50
lady_amalia
Member

Themenstarter

Beiträge: 33
#25 ---RVAXO.exe Updated: 2008-05-08---first run---
Uninstallers:

Files found:
C:\Dokumente und Einstellungen\user\ResErrors.log
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\system32\cpmsky-uninst.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\BAN_LIST.TXT

Folders Found:
C:\Dokumente und Einstellungen\All Users\Application Data\SalesMon

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe

--------------RVAXO.exe finished----------------
Seitenanfang Seitenende
09.05.2008, 00:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Lade Avenger
http://virus-protect.org/artikel/tools/avenger.html

«
setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable:
srosa
hldrrr
downld

Drivers to delete:
srosa
hldrrr
downld

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\exefld

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner zweimal neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

--------------

««
lade Kaspersky - Virus Removal Tool - AVPTool, scanne + poste den report
http://virus-protect.org/artikel/tools/kaspersky.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2008, 09:03
lady_amalia
Member

Themenstarter

Beiträge: 33
#27 Lässt sich nicht starten ist keine win32 anwendung.:-(
Seitenanfang Seitenende
09.05.2008, 10:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 ««
Kopiere diesen Text in den Editor (Start - Alle Programme - Zubehör) und speichere das als fix.bat
Gebe bei Dateityp 'Alle Dateien' an (nicht als txt-Datei abspeichern!)
auf dem Desktop speichern:

Zitat

cmd /c attrib -r -a -h -s C:\WINDOWS\system32\drivers\srosa.sys
cmd /c attrib -r -a -h -s C:\WINDOWS\system32\drivers\hldrrr.exe
cmd /c attrib -r -a -h -s C:\WINDOWS\system32\wintems.exe
cmd /c attrib -r -a -h -s C:\WINDOWS\system32\mdelk.exe
cmd /c del /q C:\WINDOWS\system32\drivers\srosa.sys
cmd /c del /q C:\WINDOWS\system32\drivers\hldrrr.exe
cmd /c del /q C:\WINDOWS\system32\wintems.exe
cmd /c del /q C:\WINDOWS\system32\mdelk.exe
cmd /c del /q C:\WINDOWS\temp\*.*
cmd /c del /q C:\WINDOWS\prefetch\*.*
cmd /c del /q C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\*.*

Dann die fix.bat auf dem Desktop doppelklicken.

-------------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als restore.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Die Datei restore.reg auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\config\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"
PC neustarten

schau, ob der avenger funktioniert.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2008, 14:24
lady_amalia
Member

Themenstarter

Beiträge: 33
#29 Nein geht immer noch nicht.
Seitenanfang Seitenende
09.05.2008, 15:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Start -- Ausführen - reinschreiben; cmd

«
reinkopieren: in das schwarze dos-Fenster

cd %windir%\system32
attrib -s -r -h wintems.exe
ren wintems.exe wintems.old
del wintems.old
attrib -s -r -h mdelk.exe
ren mdelk.exe mdelk.old
del mdelk.old

«
reinkopieren: in das schwarze dos-Fenster

cd %windir%\system32\drivers
attrib -s -r -h srosa.sys
ren srosa.sys srosa.old
del srosa.old
attrib -s -r -h hldrrr.exe
ren hldrrr.exe hldrrr.old
del hldrrr.old

---------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als rest.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Die Datei rest.reg auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hldrrr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hldrrr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hldrrr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hldrrr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\hldrrr]
[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\scrfile\shell\config\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"
PC neustarten

nochmal:

Start -- Ausführen - cmd

«
reinkopieren: in das schwarze dos-Fenster

cd %windir%\system32
attrib -s -r -h wintems.exe
ren wintems.exe wintems.old
del wintems.old
attrib -s -r -h mdelk.exe
ren mdelk.exe mdelk.old
del mdelk.old

«
reinkopieren: in das schwarze dos-Fenster

cd %windir%\system32\drivers
attrib -s -r -h srosa.sys
ren srosa.sys srosa.old
del srosa.old
attrib -s -r -h hldrrr.exe
ren hldrrr.exe hldrrr.old
del hldrrr.old

---------------------------------

dann berichte, ob der Avenger funktioniert
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12345