|
|
|
|
bekomm virus net weg |
Dj Math
yessS mattissS
Dabei seit: 28.05.2002
Beiträge: 1.042
Herkunft: Deutschland
|
|
|
18.11.2003 18:19 |
|
|
Champus
BlackBoarder
Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
|
|
Den Ordner os2 löschen
__________________ CorvusCorone -> Champus
|
|
18.11.2003 18:42 |
|
|
gandalf
der mit ohne
Dabei seit: 06.01.2002
Beiträge: 2.099
Herkunft: Mittelerde
|
|
Deaktiviere mal die Systemwiederherstellung, fahre den Rechner runter, starte dann im abgesicherten Modus, und lasse dann noch mal den Norton laufen. Danach sollte eigentlich gut sein.
Wenn man Viren entfernen will, sollte man immer die Systemwiederherstellung deaktivieren, da sonst beim neu booten die von Viren befallenen Dateien wieder hergestellt werden können.
Gruss
gandalf
__________________
Kein Mensch ist unnütz, er kann immer noch als schlechtes Vorbild dienen
|
|
18.11.2003 19:19 |
|
|
Crack02
Das einsame Nichts
Dabei seit: 29.06.2002
Beiträge: 152
|
|
tipp für ordner/daten die sich pardu in windoof ned löschen lassen. rechner mit startdiskette starten und das ganze im doslöschen. für ntfs laufwerke gibts schon startdisktreiber dass das funkzt. wo weiß ich aber ned
__________________ Signatur?
|
|
18.11.2003 19:53 |
|
|
sleeepy
lasst mich arzt...ich bin durch
Dabei seit: 15.03.2003
Beiträge: 1.419
|
|
Zitat: |
Original von Crack02
tipp für ordner/daten die sich pardu in windoof ned löschen lassen. rechner mit startdiskette starten und das ganze im doslöschen. für ntfs laufwerke gibts schon startdisktreiber dass das funkzt. wo weiß ich aber ned |
oder mit ner linux live eval version....
z.b. auch knoppix...damit kannste solche dateien oder ordner dann auch löschen....
__________________ mfg sleeepy
meine original DVDs
meine Tüten
|
|
18.11.2003 20:50 |
|
|
Tehocan
Mnemosyne
Dabei seit: 31.07.2003
Beiträge: 427
Herkunft: Lost in The Internet
|
|
ich hatte mal vor einiger Zeit svcpack.exe .... gehört der dazu?
__________________ Das Chaos besiegt die Ordnung, weil es besser organisiert ist.
|
|
19.11.2003 14:40 |
|
|
Dj Math
yessS mattissS
Dabei seit: 28.05.2002
Beiträge: 1.042
Herkunft: Deutschland
Themenstarter
|
|
|
|
loooooooooooool ich glaube da hat man mich pwned
gerade war ich so am chatten als sich automatisch diese txt datei öffnete
Zitat: |
Du siehst das hier, weil auf deinem PC eine Hintertür installiert wurde.
Die hast du dir irgendwie auf deinen Rechner geholt als
du auf einen ominösen Link (/rofl.txt, rofllogs/morgenlatte.jpg, www.lachschon-bilder oder p2p-sms )
geklickt hast.
Du fragst dich jetzt sicher wie der Text hier auf deinen Rechner kommt...
ich habe einen kleinen Designfehler im dem Ding ausgenutzt
um dir so zu helfen.
--- Und nur nochmal um das klarzustellen: Den Trojaner hast du dir von jemand anders eingefangen.
--- Ausschliesslich diese Anleitung zum entfernen hast du von mir.
Hier nun also eine Anleitung wie du mit ein paar Handgriffen das Ding los wirst.
Da das Ding kompletten Zugriff auf deinen PC bietet solltest du dies dringend tun.
Falls du dazu keine Lust hast kannst du es auch "automatisch" entfernen lassen:
www.free-av.de , runterladen, installiereren, automatischen scan abbrechen.
Online-Update (mittlerer Knopf im Programm) durchlaufen lassen.
Danach die Festplatte scannen und die erkannten Trojaner entfernen lassen.
Die "per Hand entfernen" Anleitung:
1. Da dein Taskmanager (strg+alt+entf) nicht mehr funktionieren dürfte, musst du dir
das folgende Freeware Tool runterladen: Process Explorer (Freeware!)
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
(Downloadlink ist am Ende der Seite)
2. Internetverbindung Trennen!!! So bist du erstmal sicher.
3. Entpacke das Programm irgendwohin und führe die Datei procexp.exe aus.
4. Du klickst in dem Programm auf den "Process" Header (Spaltenüberschrift) und
sortierst die Prozesse damit nach ihrem Namen.
5. Bei "S" siehst du nun mindestens 3 mal den Prozess "svchost.exe"
Dies ist ein wichtiger Systemprozess, was die Datei genau macht kann hier
nachgelesen werden: http://support.microsoft.com/default.aspx?scid=kb;de;314056
Dieser Prozess ist in /windows/system32 oder /winnt/system32 zu hause, aber definitiv
nicht im Verzeichnis /win*/system32/os2
6. Nun die "Path" Ansicht per Menü einschalten: View -> Select Columns -> Kreuz bei
"Image Path", dann ok. Anschliessend in der Ansicht oben auf den "Processes" Header
klicken um alle Prozesse nach ihrem Namen zu sortieren.
7. Rechts auf "Path" schauen. System32\svchost.exe ist der Prozess von MS.
System32\Os2\svchost.exe ist die backdoor die nur 1x da ist.
8. Mit der rechten Maustaste auf die falsche svchost.exe klicken und "suspend"
auswählen.
9. _Eventuell_ ist da auch eine nav.exe (Dies ist nicht Norton Antivirus!) einfach
den Pfad überprüfen. Hier auch wieder mit der rechtrn Maustaste draufklicken und
"suspend" anklicken.
10. Nachdem nun alle suspended sind nochmal rechtsklick auf die 2 drauf und "kill"
anklicken
Spätestens jetzt sollte dein Taskmanager schonmal wieder funktionieren,
wenn nicht hast du vermutlich noch andere Trojaner drauf, dann solltest
du wirklich anschliessend noch einen Virenscan machen.
11. Da du den Prozess nun beendet hast, geh' nun in dein Windows Verzeichnis und dann
ins Verzeichnis "System32" hier findest du ein Verzeichnis mit Namen "OS2"
Dort findest du die Datei "svchost.exe" und evtl "nav.exe"
Schaut Dir an was die Datei für ein Symbol hat (Totenkopf oder Zipfile Symbol)
Lösche diese, und NUR diese Dateien.
12. Nun müsst du den Autostart Eintrag entfernen:
Start -> Ausführen -> regedit
(Dies ist der Windows Registrierungseditor, alle Schlüssel sind hier in einer
Baumstruktur angeordnet.)
Falls dieser sich nicht starten lässt bist zu zusätzlich noch mit "SpyBot"
infiziert, der kann hier online entfernt werden:
http://security.symantec.com/ssc/vc_scan...id=sym&plfid=23
Klick dich bis hier hin durch.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
13. Wenn du den "run" ordner angeklickt hast siehst auf
der rechten Seite jede menge Zeugs.
Irgendwo da drinne steht eine Zeile die in etwa so aussieht:
I-Services "C:\Windows\System32\Os2\svchost.exe"
Diese (und nur diese) Zeile musst du löschen.
14. Da es sich der Trojaner wahrscheinlich bei dir installiert hat indem
er den Windows Media Player im Programme Order überschrieben hat,
musst du diesen eventuell auch löschen (nur die exe wenn er nicht von windows
automatisch wiederhergestellt wurde.
Der original MediaPlayer von WinXP (c:\Programme\Windows Media Player\wmplayer.exe) ^
ist ca. 508kb groß. Ist die Datei dort deutlich kleiner ist es vermutlich die Backdoor.
Es sei denn du hast den Media Player 9 installiert, der ist nur 72kb groß-
Wenn die .exe so ein schwarzes Icon/winzip icon hat ist der Fall eh klar, löschen!
wenn nicht:
Um sicherzugehen kannst du das recht einfach testen:
Klick doppelt Drauf und schau ob sich der Mediaplayer öffnet, wenn nicht musst du
die Schritte oben leider wiederholen.
Eventuell funkt auch die WinXP Systemwiederherstellung dazwischen
und stellt die Backdoor wieder her, die musst du falls das der Fall
ist vorher abschalten.
Da du dir das Teil per Internet Explorer eingefangen hast,
und das beim klicken auf einen Link wieder passieren kann:
Hier mal ein sicherer Browser (ja, kostenlos, spywarefrei etc ist er auch):
http://www.mozilla.org/projects/firebird
Wenn du darauf keine Lust hast: Wenigstens regelmässig http://windowsupdate.microsoft.com
besuchen und den Internet Explorer updaten lassen.
Hier noch nen gratis Antivirus Proggi, die sind inzwischen so
weit sind dass sie das Teil erkennen. Allerdings muss dafür
nach der Installation einmal das Online-Update durchgeführt werden.
http://www.free-av.de/
Es macht allgemein diesen Virenscanner durchlaufen zu lassen
da viele mit mehr als nur diesem einen infiziert sind.
Und hier ein kostenloser Onlinescan der eventuell auch etwas erkennt:
http://security.symantec.com/ssc/vc_scan...id=sym&plfid=23
Weitere Fragen:
Falls du gerade auf irc.quakenet.org bist: /join #hilfe.zur.selbsthilfe
Da sammel ich (ex)infizierte damit die sich gegenseitig helfen können.
Falls das gerade nicht der Fall ist: Mail an: drones.20.chromix@spamgourmet.com
So... ich hoffe das hat geholfen.
Achja, C:\drone.txt kannst du auch löschen wenn du sie nicht mehr brauchst,
ist dieser Text
PS: Vielen dank an Gilly für die "aufgeräumte" Version dieser Textdatei |
__________________
ich rat den leute davon ab kokain zu nehm,
zackig von halozen umgehn werden sie schitzophren,
es ist ein phänomen wie viele hier ins kino gehn,
aber der film der um sie rumläuft den haben sie noch nie geseh'n!
|
|
19.11.2003 15:21 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
Zitat: |
Original von Monkshood
ich hatte mal vor einiger Zeit svcpack.exe .... gehört der dazu? |
das ist die Datei die angegriffen wird und den computer zum runterfahren zwingt durch den virus...
__________________
|
|
19.11.2003 15:22 |
|
|
|
|
|
|