hallo,
ich habe mir ein DOS Prog gezogen.
NAch dem Start wurde mein McAfee geschlossen.
Wenn ich McAfee manuell starte, diese 32 Bit Anwnedung kann nicht getartet werden.
Nach einer deinstallation und AntiVIr installtion von AntiVir bekomme ich wieder: diese 32 Bit Anwnedung kann nicht getartet werden.

System kann ich auch nicht zurücksetzen.
Firefox, Windows Explorer gehen ohne Probleme.

Ideen?

Hi,

ja, Besucher der dritten Art!

Bitte HJ-Log (s. Signatur), anschließend Combofix....

Combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

hallo,
also thx,
ich habe was anderes ausprobiert, ansonsten gehe ich deinen Rat nach. :-)

Security Task Manager gestartet, dann ziegt er mir 2 Prog an mit unbekannt und 100 % gefährdet !!!

Ich kann sie nicht finden und mit Security Task Manager sind sie nicht löschbar :-(

ok, suse hoch gebootet und notepad.exe 2 mal kopiert und umbenannt in
wintems und hldrrr.

Per suse
c:/windows/system32/wintems.exe überschrieben
und
c:/windows/system32/driver/hldrrr.exe überschrieben

wenn ich neustart mache startet mit jetzt immer 2 mal der notepad :-)
Aber Antivir geht immernocht noch nicht, es kommt...
...ist keine 32 Bit Anwendung aaaaaaaahh
Aber Security Task Manager zeigt mir keine gefährdete Progs an.

Wie gehts weiter?

Hi,

w32.beagle-Rootkit im Einsatz, bestehend aus mehreren Componente!
Unbedingt Combofix laufen lassen (Log posten), danach :
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

chris

Combofix geht nicht,auch von CMD nicht.
keine 32 bit Anwendung.

Ich kann auch nicht den Abgesicherten Modus starten, Pc macht neustart :-(

Hi,

probiere wie beschrieben Blacklight zum Laufen zu bekommen;

Notnagel für Safemode:
Abgesicherter Modus reparieren:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899
entpacke es auf Deinen Desktop,
mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den Safemode.
Hoffe das es läuft, kann sein das die netten Viecher die Änderungen gleich zurücksetzten, dann bleibt nur noch das Booten von einer Start-CD (XP-CD) bzw. Notfall-CD...

Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine
Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

-> Sonst bleibt nur noch neu aufsetzen!

chris

mega thx,
das mit der safemode für regedit war Prefekt :-)
Jetzt ich mein System zurücksetzen.