|
|
|
|
2 Viren aufm PC von mir |
daisuke
T33B3UT3L
Dabei seit: 02.12.2002
Beiträge: 676
Herkunft: warmhalteplatte
|
|
im taskmanager verdächtige prozesse schließen!
dann nochmal versuchen
__________________ AMOR und PSYCHE
|
|
07.01.2004 21:27 |
|
|
50Cent
Senior Member
Dabei seit: 12.07.2003
Beiträge: 500
Herkunft: Schweiz
Themenstarter
|
|
Ich kann den Taskmanager nur für 1-3 sek aufmachen dann schliesst er sich wieder!!
cya 50Cent
__________________ Don't Forget me
forget me NEVER...
but when you forget me
forget me 4-EVER
|
|
07.01.2004 21:28 |
|
|
50Cent
Senior Member
Dabei seit: 12.07.2003
Beiträge: 500
Herkunft: Schweiz
Themenstarter
|
|
letzte möglichkeit die mier auf die schnelle einfelt
im
MS-Dos
format C:
eingeben
und der virus ist meist weg es sei den es ist ein boot virus[/quote]
aber format, formatiert es dann den pc?
cya 50Cent
__________________ Don't Forget me
forget me NEVER...
but when you forget me
forget me 4-EVER
|
|
07.01.2004 21:30 |
|
|
MORFEUS
Junior Member
Dabei seit: 04.04.2003
Beiträge: 151
Herkunft: intranet
|
|
|
07.01.2004 21:31 |
|
|
50Cent
Senior Member
Dabei seit: 12.07.2003
Beiträge: 500
Herkunft: Schweiz
Themenstarter
|
|
aber dann habe ich ja nichts mehr auf der festplatte oder schon?
__________________ Don't Forget me
forget me NEVER...
but when you forget me
forget me 4-EVER
|
|
07.01.2004 21:33 |
|
|
MORFEUS
Junior Member
Dabei seit: 04.04.2003
Beiträge: 151
Herkunft: intranet
|
|
|
07.01.2004 21:35 |
|
|
fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
Erstell Dir auf einen anderen PC mit einen Virenscanner eine Bootdiskette, die Du dann bei Deinen PC bootest und dann den Test laufen läst.
Was hast Du für ein Betriebssystem ? Bei NFTS muß Du noch ein Treiber laden, damit er auf die Festplatte zugreifen kann.
cu fmann
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
07.01.2004 21:43 |
|
|
50Cent
Senior Member
Dabei seit: 12.07.2003
Beiträge: 500
Herkunft: Schweiz
Themenstarter
|
|
wenn ich auf die Seite von symantec gehe und dort einen Virencheck mache dann erscheinen da 2 viren aber wenn ich es mit Antivir mache erscheinen keine viren.
cya 50Cent
__________________ Don't Forget me
forget me NEVER...
but when you forget me
forget me 4-EVER
|
|
07.01.2004 21:46 |
|
|
Dj Math
yessS mattissS
Dabei seit: 28.05.2002
Beiträge: 1.042
Herkunft: Deutschland
|
|
ich hatte auch mal so ein virus der ganz äöhnluchwie deiner reagiert hat nur bei mir war er in einemanderem verzeichnis,versuch mal den virus so wegzubekommen,wenns nicht klappt tut es mir leid!
Hier nun also eine Anleitung wie du mit ein paar Handgriffen das Ding los wirst.
Da das Ding kompletten Zugriff auf deinen PC bietet solltest du dies dringend tun.
Die "per Hand entfernen" Anleitung:
1. Da dein Taskmanager (strg+alt+entf) nicht mehr funktionieren dürfte, musst du dir
das folgende Freeware Tool runterladen: Process Explorer (Freeware!)
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
(Downloadlink ist am Ende der Seite)
2. Internetverbindung Trennen!!! So bist du erstmal sicher.
3. Entpacke das Programm irgendwohin und führe die Datei procexp.exe aus.
4. Du klickst in dem Programm auf den "Process" Header (Spaltenüberschrift) und
sortierst die Prozesse damit nach ihrem Namen.
5. Bei "S" siehst du nun mindestens 3 mal den Prozess "svchost.exe"
Dies ist ein wichtiger Systemprozess, was die Datei genau macht kann hier
nachgelesen werden: http://support.microsoft.com/default.aspx?scid=kb;de;314056
Dieser Prozess ist in /windows/system32 oder /winnt/system32 zu hause, aber definitiv
nicht im Verzeichnis /win*/system32/os2
6. Nun die "Path" Ansicht per Menü einschalten: View -> Select Columns -> Kreuz bei
"Image Path", dann ok. Anschliessend in der Ansicht oben auf den "Processes" Header
klicken um alle Prozesse nach ihrem Namen zu sortieren.
7. Rechts auf "Path" schauen. System32\svchost.exe ist der Prozess von MS.
System32\Os2\svchost.exe ist die backdoor die nur 1x da ist.
8. Mit der rechten Maustaste auf die falsche svchost.exe klicken und "suspend"
auswählen.
9. _Eventuell_ ist da auch eine nav.exe (Dies ist nicht Norton Antivirus!) einfach
den Pfad überprüfen. Hier auch wieder mit der rechtrn Maustaste draufklicken und
"suspend" anklicken.
10. Nachdem nun alle suspended sind nochmal rechtsklick auf die 2 drauf und "kill"
anklicken
Spätestens jetzt sollte dein Taskmanager schonmal wieder funktionieren,
wenn nicht hast du vermutlich noch andere Trojaner drauf, dann solltest
du wirklich anschliessend noch einen Virenscan machen.
11. Da du den Prozess nun beendet hast, geh' nun in dein Windows Verzeichnis und dann
ins Verzeichnis "System32" hier findest du ein Verzeichnis mit Namen "OS2"
Dort findest du die Datei "svchost.exe" und evtl "nav.exe"
Schaut Dir an was die Datei für ein Symbol hat (Totenkopf oder Zipfile Symbol)
Lösche diese, und NUR diese Dateien.
12. Nun müsst du den Autostart Eintrag entfernen:
Start -> Ausführen -> regedit
(Dies ist der Windows Registrierungseditor, alle Schlüssel sind hier in einer
Baumstruktur angeordnet.)
Falls dieser sich nicht starten lässt bist zu zusätzlich noch mit "SpyBot"
infiziert, der kann hier online entfernt werden:
http://security.symantec.com/ssc/vc_scan...id=sym&plfid=23
Klick dich bis hier hin durch.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
13. Wenn du den "run" ordner angeklickt hast siehst auf
der rechten Seite jede menge Zeugs.
Irgendwo da drinne steht eine Zeile die in etwa so aussieht:
I-Services "C:\Windows\System32\Os2\svchost.exe"
Diese (und nur diese) Zeile musst du löschen.
14. Da es sich der Trojaner wahrscheinlich bei dir installiert hat indem
er den Windows Media Player im Programme Order überschrieben hat,
musst du diesen eventuell auch löschen (nur die exe wenn er nicht von windows
automatisch wiederhergestellt wurde.
Der original MediaPlayer von WinXP (c:\Programme\Windows Media Player\wmplayer.exe) ^
ist ca. 508kb groß. Ist die Datei dort deutlich kleiner ist es vermutlich die Backdoor.
Es sei denn du hast den Media Player 9 installiert, der ist nur 72kb groß-
Wenn die .exe so ein schwarzes Icon/winzip icon hat ist der Fall eh klar, löschen!
wenn nicht:
Um sicherzugehen kannst du das recht einfach testen:
Klick doppelt Drauf und schau ob sich der Mediaplayer öffnet, wenn nicht musst du
die Schritte oben leider wiederholen.
Eventuell funkt auch die WinXP Systemwiederherstellung dazwischen
und stellt die Backdoor wieder her, die musst du falls das der Fall
ist vorher abschalten.
Weitere Fragen:
Falls du gerade auf irc.quakenet.org bist: /join #hilfe.zur.selbsthilfe
Da sammel ich (ex)infizierte damit die sich gegenseitig helfen können.
Falls das gerade nicht der Fall ist: Mail an: drones.20.chromix@spamgourmet.com
So... ich hoffe das hat geholfen.
__________________
ich rat den leute davon ab kokain zu nehm,
zackig von halozen umgehn werden sie schitzophren,
es ist ein phänomen wie viele hier ins kino gehn,
aber der film der um sie rumläuft den haben sie noch nie geseh'n!
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Dj Math: 07.01.2004 22:33.
|
|
07.01.2004 22:20 |
|
|
PygoscelisPapua
BlackBoarder
Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
|
|
Zitat: |
Original von MORFEUS
vorbeugen:
2.eine gute firewall kaufen
|
Nein! Eine Firewall schütz einem nicht vor Virenbefall! Ebenfalls nicht vor Trojanerbefall. Eine Firewall filtert nur den Datenstrom der raus und reingeht. Wenn ich mir nen Virus/Trojaner runterlade, so tu ich das gewollt über Port 80, oder 25, welcher von der Firewall freigegeben ist. Es wird NICHT geprüft, WAS da runtergeladen wird [das geht auch garnich, das is ja alles schön in kleine IP-Päcken zerteilt]
Wenn der Trojaner nun aber aufm PC ist, und port 27374 benutzten will, und die firewall das nicht erlaubt, dann kann er nicht kontakt mit dem client aufnehmen...
wenn ein virus sich aber installiert, brauch der normalerweise auch keinen port mehr nach draußen.
Folglich bietet eine Firewall KEINEN schutz vor viren, trojaner, etc.
ich sag das jetzt so deutlich, weil das ein irrglauben vieler ist: ich kauf mir ne firewall und mir kann nichts mehr passieren. Aber das ist nunmal nicht so: eine Firewall ist nur n Packetfilter und Portüberwacher.
Mein Tip: alle Downloads per Virenscanner prüfen, bevor man sie öffnet, und diesen immer up to date halten. Gleiches gilt für Attachments.ganz klar sollte auch sein, das dubiose Quellen/eMails vermieden werden.
__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von PygoscelisPapua: 07.01.2004 22:56.
|
|
07.01.2004 22:51 |
|
|
MORFEUS
Junior Member
Dabei seit: 04.04.2003
Beiträge: 151
Herkunft: intranet
|
|
|
07.01.2004 23:35 |
|
|
COCYHOK
Verunsicherungsmakler
Dabei seit: 04.10.2003
Beiträge: 1.079
Herkunft: CCCP
|
|
Wennsn Bootsektorvirus is, hilft 'fdisk/mbr'
__________________ Es ist eine Frage, ob wir nicht, wenn wir einen Mörder rädern, grade in den Fehler des Kindes verfallen, das den Stuhl schlägt, an dem es sich stößt.
Georg Christoph Lichtenberg, 18. Jahrhundert
|
|
11.01.2004 15:23 |
|
|
ColdFire
BlackBoarder
Dabei seit: 08.06.2002
Beiträge: 987
|
|
hmm.... |
|
entferne einfach alle Viren usw... trenn di internet connection und lege die Windows XP cd ein oder 2000 weis nicht was du für ein BS hast
und geh auf reperatur und dann werden nur die windows sachen gelöcht und ersetzt ( alle programme und dokument sind noch auf deiner HDD) nur wenn office anwendungen befallen sind ( word doc oder excel) dann würde ich die ganze HDD formatten
also in dem sinne Format C: /q
|
|
11.01.2004 19:50 |
|
|
|
|
|
|