Hast du Hauis Vorschläge schon ausgeführt?

yupp,grad gemacht,in a archiv und dann scannen is net gegangen und umbenannt hab ichs,weiß net was des bringen soll,aber des hat funktioniert!! auch wenn mcafee net aktiviert is,kommt die selbe meldung wie davor!!

Also war es dir möglich die datei zu scannen?
Dann brauchen wir die Ergebnisse.

Zitat:

Zitat von Mc_Baba

yupp,grad gemacht,in a archiv und dann scannen is net gegangen

Warum?

Zitat:

und umbenannt hab ichs,weiß net was des bringen soll,aber des hat funktioniert!! auch wenn mcafee net aktiviert is,kommt die selbe meldung wie davor!!

Sind noch Prozesse von McAfee im Taskmanager zu sehen?

hab eigentlich alle prozesse von mcafee beendet und es war nicht möglich die datei zu scannen!! verzwickte sache!!

Ich kann es mir - ehrlich gesagt - nicht vorstellen.
Kannst du die Datei per e-Mail verschicken?

Kannst du die Datei verschieben/kopieren? Dann wäre eine Möglichkeit, die Datei in einen extra Ordner zu kopieren und diesen mit eScan zu überprüfen. Natürlich kannst du auch gleich das ganze System überprüfen.

per e-mail kann ichs net schicken,icq wär a möglichkeit oda??

Per ICQ an Kaspersky geht glaub' ich nicht.

kann man auch nicht verschieben bzw.kopieren!!!

Verfasst am: 03.08.2004, 10:05 Titel: Backdoor CFB

--------------------------------------------------------------------------------

Hallo Liebe Leuts !

Hoffe jemand kann mir helfen !
Der Computer einens Freundes ist mit dem Backdoor CFB
Virus befallen. Soweit ich jetzt schon weiss ist das Sch.. ding ein Trojaner und es handelt sich um eine Spy Programm,das sich ständig im Internet Updatet und vervielfacht. Backdoor CFB setzt sich in dem Ordner /windows/windows32 fest und befällt *.dll dateien.
Leider hat auch mein Versuch das Ding mit McAffee Professional (AntiVir und AdAware usw.) zu entfernen nicht hingehauen. McAffee zeigt zwar an das er etwas gefunden hat, aber die Datei lässt sich weder in Quatrataine schicken noch Löschen oder sonstwas.
Alle Removing Tools für diesen Wurm haben bis jetzt auch fehl geschlagen, sowie die manuelle entfernung, wie sie bei McAffee auf der Homepage empfohlen wird. Auch andere manuelle möglichkeiten die ich verschiedenen foren gelesen habe hauen nicht hin !
Befallen ist bei mir die Datei "resdlb.dll".
Hoffe jemand kann helfen, sonst werfe ich den rechner bald vor verzweifelung aus dem Fenster !!! *lach*
Spaß bei seite, wenn jemand einen Einfall hat und hier postet wäre ich sehr Dankbar !

Gruß
Dominik

Nach oben


OEMUser
PPF Mitglied


Anmeldungsdatum: 02.08.2004
Beiträge: 345
Wohnort: Schweiz
Verfasst am: 03.08.2004, 10:24 Titel:

--------------------------------------------------------------------------------

Hallo

Schreib die befallenen Dateien auf, starte im Abgesicherten Modus, und versuche sie erst in Quarantäne zu stellen, wenn das nicht funtzt, versuche sie zu löschen.

Nach oben


webster
Gast





Verfasst am: 03.08.2004, 11:07 Titel:

--------------------------------------------------------------------------------

Hi !

Das würde ich ja sehr gerne tun aber das Problem liegt darin, das McAffee den Virus erkennt (auch andere Progs.) aber die Befallenen Dateien sich weder löschen noch in Quarantaine schicken lassen !
Die befallenen Dateien sind Unsichtbar,lassen sich aber irgenwie auch nicht sichtbar machen. Ich habe es schon im abgesicherten Modus auf der "Dos" ebene versucht, des Funzt aber auch nicht !

CACLS C:\WINDOWS\SYSTEM32\Infected.dll /G ADMINISTRATOR:F
ATTRIB C:\WINDOWS\SYSTEM32\Infected.dll -R
DEL c:\windows\system32\Infected.dll /P

Der rechner findet die Datei ( ! Zeigt sie aber nicht an ! ) lässt mir aber keinen Zugriff !

Alle Tools habe bis jetzt auch versagt, die finden das Sch... ding aber killen konnte es noch keins !

Nach oben


Rolf
-Moderator-


Anmeldungsdatum: 17.02.2002
Beiträge: 8031

Verfasst am: 03.08.2004, 12:05 Titel:

--------------------------------------------------------------------------------

Hallo, versuch es mal mit TrojanHunter (freeware)
oder auf dieser Seite:
http://www.vollversion.de/downloads/1870.html
mit dem Trojanchek

Rolf
_________________
Bitte keine Fragen per E-Mail oder PN

Nach oben


yoyo
-Moderator-


Anmeldungsdatum: 29.11.2003
Beiträge: 4993
Wohnort: Wuppertal
Verfasst am: 03.08.2004, 12:25 Titel:

--------------------------------------------------------------------------------

Schau mal in der Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Ist der Schlüssel vorhanden? (Wird von manchen Schädlingen unsichtbar gemacht.)
Ist im rechten Fenster ein Wert für AppInit_DLLs gesetzt?

Welches Betriebssystem und welches Dateissystem?

Nach oben


OEMUser
PPF Mitglied


Anmeldungsdatum: 02.08.2004
Beiträge: 345
Wohnort: Schweiz
Verfasst am: 03.08.2004, 12:54 Titel:

--------------------------------------------------------------------------------

Zitat:
CACLS C:\WINDOWS\SYSTEM32\Infected.dll /G ADMINISTRATOR:F
ATTRIB C:\WINDOWS\SYSTEM32\Infected.dll -R
DEL c:\windows\system32\Infected.dll /P


Funktioniert Attrib? allenfalls Attrib -s -h verwenden.

Nach oben


webster
Gast





Verfasst am: 03.08.2004, 15:00 Titel:

--------------------------------------------------------------------------------

Wow Danke für diese Schnellen Antworten !

OEMuser:

attrib funktioniert OEMuser, aber die datei lässt sich danach nicht löschen,werde es aber nochmal mit -s -h versuchen

yoyo:

Hi Benutze Win Xp Pro.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Ist der Schlüssel vorhanden? (Wird von manchen Schädlingen unsichtbar gemacht.)

****DU MEINST DIESEN GELBEN SCHÜSSEL ODER ?****

Ist im rechten Fenster ein Wert für AppInit_DLLs gesetzt?

**** SORRY BIN AUF DEM BEREICH NICHT SO FIT, KANNST DU MIR DAS ETWAS GENAUER ERKLÄREN WAS ICH MACHEN MUSS ? ****

Rolf:

Den Trojancheck ,habe ich schon ausprobiert, dette funzt auch nicht (leider).


Wenn die beiden anderen möglichkeiten auch nicht helfen werde ich mich Morgen nochmal melden !


Erst mal Tausend Dank für die schnelle Response !


Nach oben


yoyo
-Moderator-


Anmeldungsdatum: 29.11.2003
Beiträge: 4993
Wohnort: Wuppertal
Verfasst am: 03.08.2004, 15:22 Titel:

--------------------------------------------------------------------------------

Unter Start - Ausführen regedit eingeben.

Dann zu dem angegebenen Schlüssel navigieren. (Schlüssel heißt in der Registry, das was man woanders als Ordner bezeichnen würde.)
__________________

Downloade mal diese Datei.
http://computercops.biz/modules.php?...wnload&id=1183

Ist eine gezippte Batchdatei.

Internetverbindung trennen.

Die Datei auf den Desktop entpacken und doppelklicken.
(Wenn Du bei Deinem AV Programm Scriptblocking aktiviert hast, wird das eventuell meckern. Das gesamte Script autorisieren.)

Computer in den abgesicherten Modus neustarten (beim Starten F8 drücken).

Im Explorer die Infected.dll suchen - sollte jetzt sichtbar sein.

Mit Rechts anklicken > Eigenschaften > Sicherheit > Erweitert > Besitzer
Den Besitzer auf Deinen Benutzernamen ändern.

Die Datei mehrfach umbenennen.
Infected.dll > bleh.txt
bleh.txt > badfile.111

Dann löschen.

Computer neustarten und CWShredder und alles was Du sonst so an Säuberungsprogrammen hast laufen lassen.
Wäre auch gut, Du würdest einen HijackThis Log posten.

Nach oben


webster
Gast





Verfasst am: 04.08.2004, 20:17 Titel:

--------------------------------------------------------------------------------

Lieber Yoyo !

TAUSEND DANK !!!!!!!!!

Alles hat Prima hingehauen und der Rechner scheint jetzt endlich SAUBER zu sein ! *freu*
Ich muss zugeben, das hier ein echt klasse Forum entstanden zu sein scheint !
Nochmal VIELEN ,VIELEN DANK !!!!!!!
Viele Grüße aus Bonn (der schönsten Stadt am Rhein)

ps:
...... den Log ,hoffe ich noch posten zu können, wenn ich das mal mit HijackThis auf die reihe bekomme. !

hab des in einem anderen forum gefunden und erhoffe von dir die nötigen erklärungen!!