Home » Viren, Trojaner & Malware Forum » Habe ein Virenproblem mit Backdoor und Cybersitter » Themenansicht
Habe ein Virenproblem mit Backdoor und CybersitterThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
14.05.2008, 22:57
Member
Themenstarter Beiträge: 33 |
||
 
|
|
|
|
14.05.2008, 23:25
Ehrenmitglied
 Beiträge: 29434 |
#47
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fix.reg" auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird. Zitat REGEDIT4PC neustarten «« dann wende noch mal RegSrch.vbs an : kopiere rein: SROSA + poste, erscheint ------------------- «« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren « prüfe, ob du inzwischen den kaspersky installieren kannst Kaspersky - Virus Removal Tool - AVPTool http://virus-protect.org/artikel/tools/kaspersky.html falls es klappt, scanne + poste hier den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2008, 07:40
Member
Themenstarter Beiträge: 33 |
#48
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "srosa" 15.05.2008 07:38:38 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000] "Service"="srosa" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000\Control] "ActiveService"="srosa" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA\0000] "Service"="srosa" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000] "Service"="srosa" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control] "ActiveService"="srosa" |
|
|
|
|
|
|
15.05.2008, 10:15
Ehrenmitglied
Beiträge: 29434 |
#49
1.
Start -- Ausführen -- regedit (reinschreiben) oben links - suche : schreib rein: srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. «« http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSAKlicke auf den Roten MoveIt! poste, was rechts im Fenster erscheint ------------- « prüfe, ob du inzwischen den kaspersky installieren kannst Kaspersky - Virus Removal Tool - AVPTool http://virus-protect.org/artikel/tools/kaspersky.html falls es klappt, scanne + poste hier den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2008, 11:35
Member
Themenstarter Beiträge: 33 |
#50
Kann ihn nicht löschen trotz Berechtigungen vollzugriff häkchen gesetzt.:-(
|
|
|
|
|
|
|
15.05.2008, 11:54
Ehrenmitglied
Beiträge: 29434 |
#51
kannst du OTMoveIt anwenden ? Berichte (siehe oben)
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2008, 13:37
Member
Themenstarter Beiträge: 33 |
#52
japp geht.
< HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA > Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\\ . < HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA > Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\\ . < HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA > Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA\\ . < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA > Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\\ . File/Folder C:\WINDOWS\system32\clusap.dll not found. File/Folder C:\WINDOWS\system32\AnalFTP2.exe not found. File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. C:\WINDOWS\system32\8FAE910D1B.sys moved successfully. C:\WINDOWS\system32\ban_list.txt moved successfully. OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05152008_133626 kaspersky geht nicht zu installieren. Dieser Beitrag wurde am 15.05.2008 um 13:50 Uhr von lady_amalia editiert.
|
|
|
|
|
|
|
15.05.2008, 14:00
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
15.05.2008, 14:22
Ehrenmitglied
Beiträge: 29434 |
#54
bevor du PREVXCSI anwendest, starte den Rechner neu
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2008, 15:22
Member
Themenstarter Beiträge: 33 |
||
|
|
|
|
|
15.05.2008, 16:56
Ehrenmitglied
Beiträge: 29434 |
#56
Lade Avenger
http://virus-protect.org/artikel/tools/avenger.html « setze ein Häkchen in: "Automatically disable any rootkits found" Das Häkchen "Scan for Rootkits" sollte angehakt sein. kopiere in das weisse Feld: Zitat Drivers to disable:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner zweimal neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen -------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2008, 18:22
Member
Themenstarter Beiträge: 33 |
#57
Nix zu machen hängt sich alles auf wenn ich den avenger starten will.
|
|
|
|
|
|
|
15.05.2008, 18:39
Ehrenmitglied
Beiträge: 6028 |
#58
Poste mal die Daten von Regslook
http://virus-protect.org/artikel/tools/reglooks.html __________ MfG Argus |
|
|
|
|
|
|
16.05.2008, 00:05
Ehrenmitglied
Beiträge: 29434 |
#59
versuche es mit dem avenger im abgesicherten modus
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. http://www.virus-protect.org/zip/SafeBoot.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2008, 01:42
Member
Beiträge: 325 |
#60
Hallo lady_amalia !
Dein "Untermieter" (Srosa, hldrr& Co) auf dem PC war bei mir vor kurzem auch schon zu "Gast" lese unter den Beitrag http://board.protecus.de/t32413.htm mal meinen(e) Bericht(e) Ich habe fast die gleiche Geschichte wie Du durch mit dem Mistkriepel.Beachte unbedingt, dass dieser Virus sich immer wieder aus Deinen Wiederherstellungsdateien (System Volume Information-mit Explorer unter XP z.B. nicht zu öffnen,- und es wird auch Dateigröße "0" angezeigt) reproduziert, wenn Du Ihn vorher gelöscht hattest und wieder neu hochfährst oder "hochgefahren wurdest" .Bei mir war weiterhin die Systemwiederherstellung auf ein früheres Datum außer Kraft gesetzt, obwohl der PC erstmal versucht hat eine Wiederherstellung durchzuführen (Es kam erst am Schluß die Meldung; Ihr System konnte nicht auf das gewünschte Datum zurückgestellt werden.) Deshalb mein Tipp; wenn möglich Daten Sichern und die Systemwiederherstellung deaktivieren, dann nochmal alles absuchen und löschen.Bei mir war dann auch noch der Fall, dass er die Daten für mein Benutzerkonto beim Hochladen nach der Löschung der Dateien nicht mehr gefunden hat; Windows hat mir dann immer nur ein Temporäres Benutzerkonto angeboten , wo sämtliche Ordneroptionen und Desktopeinstellungen nicht mehr so waren wie ich sie vorher eingestellt hatte. Schau mal ob die Auswahl; "Versteckte Ordner und Dateien" anzeigen unter Extras/Ordneroptionen/Ansicht/- auch (wie es bei mir war) gänzlich aus der Liste verschwunden sind! Ansonsten habe ich meinen PC schon platt gemacht und neu aufgespielt, und habe immer noch (gelegentlich) Systemabstürze. Auf einem anderem Thema in diesem Forum sind wir immer noch am rätseln was da noch nicht wieder i.O. ist! PS.:Kontrolliere noch C/Windows/Tasks !!!! auf --.job -Dateien dann such noch unter Dokumente und Einstellung/Username/ nach einer Datei WIN.EXE und unter C/Windows/ nach der Datei WINUPDT.EXE (die unverschämterweise ein Erstellungsdatum von 2006 bei mir aufwiesen, wo sie aber zu 100% noch nicht zu dem Zeitpunkt dort waren, weil ich regelmäßig mal die Ordner manuell durchsehe und ich sofort bemerkt hätte, dass diese Kandidaten dort nichts zu suchen haben - habe sie auch durch "manuelle Suche" +Hijackthis Logfileauswertung [was ich immer regelmäßig gemacht hatte] erst entdeckt --wie gesagt, ich bin mir 100 %ig sicher!!!) Diese waren noch "Passagiere" im Schlepptau die z.B bei Norton AV noch nicht als Virus definiert sind ,- erst auf "Virus Total" haben 54% der Tools Alarm geschlagen,- darunter Kaspersky und Antivir! Dieser Beitrag wurde am 16.05.2008 um 02:49 Uhr von Provisitor editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
; RegSrch.vbs © Bill James
; Registry search results for string "srosa" 14.05.2008 22:53:34
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000]
"Service"="srosa"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA\0000\Control]
"ActiveService"="srosa"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSA\0000]
"Service"="srosa"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000]
"Service"="srosa"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA\0000\Control]
"ActiveService"="srosa"
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "hldrrr" 14.05.2008 23:03:54
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_USERS\S-1-5-21-1482476501-436374069-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\drivers\\hldrrr.exe"="setup"