Habe ein Virenproblem mit Backdoor und Cybersitter

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.05.2008, 07:10
Member

Beiträge: 33
#1 Hallo!

Ich habe das Problem das mein Rechner verseucht ist und ich die Viren nicht runterbekomme.Kann mein Avast nicht starten ist keine Win32 Anwendung,dann ist die CPU Auslastung auf 100%,Systemwiederherstellung unvollständig,komme nicht mehr in den abgesicherten Modus etc.Hatte ein Virenprogramm runtergeladen was zwar die Viren fand aber konnte sie damit nicht löschen.Bin noch am Verzweifeln mit den Viren.

Combofix ergab= ist keine Win32 Anwendung :-(

Hjiack ergab= wird gar nicht erst gestartet :-(
Dieser Beitrag wurde am 07.05.2008 um 07:13 Uhr von lady_amalia editiert.
Seitenanfang Seitenende
07.05.2008, 07:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 DSS
Download dss zum Desktop
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:/ main.txt und extra.txt in dein folgender Bericht
Note: Es gibt Firewalls die warnen koennen das sigcheck.exe versucht das I-net zu erreichen,erlaube es
Auch gibt es Virenscanner die versuchen DSS zu entfernen,schalte in diesen fall dein scanner mal eben aus
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Argus
Seitenanfang Seitenende
07.05.2008, 12:14
Member

Themenstarter

Beiträge: 33
#3 Tut sich nichts.Wird nicht geöffnet.
Seitenanfang Seitenende
07.05.2008, 12:19
Moderator

Beiträge: 7805
#4 Benenne hijackthis.exe in z.B. test.com um und starte es dann....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.05.2008, 14:06
Member

Themenstarter

Beiträge: 33
#5 Auch hier keine Reaktion.Hab mal den Registry Mechanic durchgejagd,da hatte er über 1500 Probleme festgestellt und die auch repariert,aber trotzdem noch keine Veränderung.:-(
Seitenanfang Seitenende
07.05.2008, 14:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo lady_amalia

das ist wahrscheinlich der bagle-Wurm.

««
catchme laden (noch nicht anwenden)
http://virus-protect.org/catchme.html

««
Combofix laden - (noch nicht anwenden)
http://virus-protect.org/artikel/tools/combofix.html

««
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

««
http://virus-protect.org/artikel/tools/gvkiller.html
Doppelklick GV-Killer und TextEditor wird sich öffnen
kopiere das Unterstehende rein:

Zitat

C:\WINDOWS\system32\drivers\downld
c:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
speichere die Daten (Speichern als...)
input.txt - Speichern
Klicke "Kill on reboot" und lass den Rechner neu starten

««
boote in den abgesicherten modus und wende catchme und dann Combofix an + poste beide reporte, wenn du wieder im Normalmodus bist


««
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2008, 16:21
Member

Themenstarter

Beiträge: 33
#7 Hab ich alles so gemacht,komme aber immer noch nicht in den abgesicherten Modus.:-(
Seitenanfang Seitenende
07.05.2008, 16:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
Noch mal:
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2008, 16:47
Member

Themenstarter

Beiträge: 33
#9 Hab ich auch gemacht und beide da drin der Registrierung hinzugefügt,aber er geht immer noch nicht in den abgesicherten Modus,fährt jedesmal neu hoch.
Seitenanfang Seitenende
07.05.2008, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html

im normalmodus
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken



reinschreiben:3
Sophos wird geladen
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien - poste hier den report

----

catchme laden - versuche es im nomalmodus anzuwenden - klappt es ? poste den report
http://virus-protect.org/catchme.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2008, 20:30
Member

Themenstarter

Beiträge: 33
#11 gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken
reinschreiben:3
Sophos wird geladen

hab ich gemacht was für nen report soll ich da posten?da kann ich nix kopieren.da war ne datei zum entpacken dann,hab ich entpackt da friert der ordner ein und es geht nix mehr.

bei Option 6 <---wo ist da eine option 6?ich raff das nicht.

catchme geht nicht ist keine win32 anwendung.
Seitenanfang Seitenende
07.05.2008, 20:48
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Jetzt wird es Spanisch ;)


EliBaglA
Scrolle auf http://www.zonavirus.com/datos/descargas/95/elibagla.asp ganz nach unten
zu " Descargar Elibagla 11.33 " und klicke

Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Neben Unidad muss stehen C:\ wenn nicht,ändere es nach C:\
“Eliminar Ficheros Automaticamente” muss angehaackt sein
Klicke " Explorar "
Klicke nachher "Salir" um das Program zu schliessen
Am Ende stet auf C:\infoStat.txt
Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread

Starte dein Rechner neu und lasse " EliBaglA " nochmal scannen
Am Ende stet auf C:\infoStat.txt
Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread
__________
MfG Argus
Seitenanfang Seitenende
08.05.2008, 09:58
Member

Themenstarter

Beiträge: 33
#13 Ich weiss zwar nich was das für programme sind die ihr mir hier vorschlagt,aber keines davon funktioniert bei mir.entweder is mein rechner nen auserirdischer oder ich weiss auch nicht.lol
Seitenanfang Seitenende
08.05.2008, 10:07
Moderator

Beiträge: 7805
#14 Nehmen wir mal was "nicht-exe-maessiges" ;)

Anleitung: http://virus-protect.org/silentrunner.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.05.2008, 10:24
Member

Themenstarter

Beiträge: 33
#15 Ok also ich verneige mich zutiefst,als ich neu gestartet habe ging der spanier los.so ich kopier das info dingsda mal hier rein.


Zitat

Thu May 08 09:56:42 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

Thu May 08 10:00:02 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Thu May 08 10:00:26 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Thu May 08 10:02:34 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu May 08 10:03:52 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 11712
Nº Total de Ficheros: 111891
Nº de Ficheros Analizados: 9637
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu May 08 10:14:50 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu May 08 10:15:26 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 11713
Nº Total de Ficheros: 111896
Nº de Ficheros Analizados: 9637
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Hilfe mein rechner startet jetzt immer neu und dann kommt Microsoft Windows wird nach einem schwerwiegenden fehler ausgeführt.der spanier wars,der spanier wars.:-(Hab ihn entfernt jetzt ist alles wieder ok.puuuh
---------------------------------------------------------------------
So jetzt noch das txt vom GV-Killer

Zitat

Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 07.05.2008 16:08:36 log van user , Beheerder van deze computer
Platform: Windows XP Home SP2 DEU Normale modus

BEGIN Geplande taken-----------------------------------------------------------------
C:\WINDOWS\tasks\1-Klick-Wartung.job
EINDE Geplande taken-----------------------------------------------------------------


Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
WgaLogon WgaLogon.dll
Settings
Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------
C:\WINDOWS\system32\drivers\downld
c:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
EINDE Inhoud van Input.txt-----------------------------------------------------------

M0 C:\WINDOWS\system32\drivers\downld
0 c:\windows\system32\drivers\hldrrr.exe
0 C:\WINDOWS\system32\drivers\srosa.sys
0 C:\WINDOWS\system32\mdelk.exe
0 C:\WINDOWS\system32\drivers\mdelk.exe
0 C:\WINDOWS\system32\wintems.exe

;3676416-OEM-0041315-82397=S0DWJ1DP18563308

;EINDE GV_Killer ---------------------------------------------------------------------
Dieser Beitrag wurde am 08.05.2008 um 11:04 Uhr von lady_amalia editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: