Hi ich habe gerade ( noch nicht im abges. Modus ) die Services nach etwas verdächtigem durchsucht. Es war aber rein garnichts zu finden ( Weder srosa, noch Megadrv o.ä.) auch alle anderen Services ohne oder mit mir nicht bekannter Beschreibung waren nicht mit dem Übeltäter verbunden. Sollte ich jetzt einfach entsprechend deiner Beschreibung weiter unten fortfahren?

Das Problem mit combofix ist ja, das mein Rechner scheinbar nicht mehr mit den .com Dateien umzugehen weiß die Combofix wahrscheinlich temporär entpackt und benötigt.

Hi,

auf test.exe umbenennen (Combofix)...
Blacklight hat die Dateien angezeigt, ich wette sie sind da (oder hat Blacklight es tatsächlich geschafft?) Das ist seltsam...
Probiere es auf jeden Fall im abgesicherten Modus...
Falls Avenger oder Killbox laufen sollte, kann ich Dir dafür ebenfalls einen "Blindflug" zusammenstellen...

Avenger:
avenger.zip - The Avenger

Killbox:
Killbox - Pocket KillBox
oder
WinTotal - Software - KillBox

chris

Avenger-Script (abgesicherter Modus):
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Folders to delete:
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\mdelk.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Für den Fall, dass meine Anmerkung überlesen wurde:

Hier ist die Wiederherstellungskonsole das Werkzeug der Wahl. Alle Versuche im abgesicherten Modus sind unkontrollierter Blindflug.
Konsole starten und die Funde löschen. Dauer 2 min. Wenn es so nicht funktioniert, funktioniert es mit den anderen Tools erst recht nicht.

Marc

Das Problem bei Combofix ist das die Combofix.exe selber startet, dann aber im Prozess des entpackens die Datein nircmd.com benötigt die der Rechner offenbar nicht öffnen kann. Er entpackt das Ganz in einen kryptisch benannten Ordner nach c: sobald ich die nircmd.com in .exe umbenne startet sie aber ich weiß weiter leider auch nichts damit anzufangen bzw. welche exe ich im Combofix Ordner nun öffnen sollte.


Edit: @Marc -> Die Konsole habe ich wegen einer Warnung das sie durch Viren befallen werden kann irgendwann mal deaktiviert. Ich glaube also nicht das ich Wiederherstellungspunkte habe.

Zitat:

Zitat von trioptimum

Die Konsole habe ich wegen einer Warnung das sie durch Viren befallen werden kann irgendwann mal deaktiviert.

Wiederherstellungskonsole != Systemwiederherstellung

Lies Dir die verlinkte Seite durch.

Marc

Ah Entschuldige Marc ! Habe sogar schonmal damit gearbeitet ist nur Ewigkeiten her. Dafür bräuchte ich dann aber eine Windows-CD um die Konsole zu starten oder ?

@Chris: Beim Versuch in den abges. Modus zu kommen, kommt ein kurzer Bluescreen und der Rechner startet wieder im Normalmodus.. Scheinbar hat aber UnHackme zumindest die srosa Datei gelöscht und zeigt nur noch den Hldrrr.exe Befall an.
Edit: Korrigiere hat sich scheinbar nur vertan die Wintems Datei ist noch da. Vielleicht habe ich auch etwas falsch gemacht und nicht beide zum löschen beim reboot eingetragen ?

Hi,

Abgesicherter Modus wiederherstellen:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attac...2&d=1187631899
entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den abgesicherten Modus auf.

Habe mich eh gewundert das Du noch in den abgesicherten Modus reingekommen bist...

Es besteht die akute Gefahr, das Dein System immer weiter zerlegt wird, vielleicht ist es besser die XP-CD zu besorgen (oder Knopix) und dann weiter zu machen (wie von Marc empfohlen)...

Chris

Ps.: Fahre jetzt nach hause...
Oh, und noch was, combofix ist ein selbstextrahierende EXE, d. h. man müsste sie mit ZIP öffnen und auspacken können...

Zitat:

Zitat von trioptimum

Habe sogar schonmal damit gearbeitet ist nur Ewigkeiten her. Dafür bräuchte ich dann aber eine Windows-CD um die Konsole zu starten oder ?

Falls Du sie wirklich nicht installiert haben solltest, wirst Du ohne Windows-CD nicht weiter kommen

Ich bin mir nicht sicher, welche Einschränkung die Testversion von Bluecon hat - irgendwas fieses war's. Ansonsten wäre es durchaus einen Versuch wert.

Marc

P.S.: im schlimmesten Fall eine Linux Live CD herunterladen, Augen zu und die Dateien auf der Windowspartition löschen. Danach Windows booten und den Rest bereinigen.

Ok der abgesicherte Modus geht wieder. Vielen Dank ! Sollte ich einen der Lösungswege weiter unten ausprobieren jetzt wo ich wieder Zugriff habe ? Avenger z.b. konnte ich leider nicht verwenden als ich so gebootet hatte.

Die Wiederherstellungskonsole ist auch aufgeführt im Bootmenü oder ? Habe gerade dummerweise nicht darauf geachtet.

Zitat:

Zitat von trioptimum

Die Wiederherstellungskonsole ist auch aufgeführt im Bootmenü oder ?

Versuche es mit der Wiederherstellungskonsole. Die Chancen sind hier definitiv am größten.

Marc

Ok d.h. ich schreibe z.b.

cd C:\WINDOWS\system32\drivers
del hldrrr.exe

und für die ordner ?

deltree ? oder auch einfach
cd C:\WINDOWS\system32\
del down

Muss mich da erstmal wieder reindenken

Zitat:

Zitat von trioptimum

deltree

Nix deltree! Hier die Liste der verfügbaren Befehle:

Code: Alles auswählenAufklappen

ATTFilter

   attrib    del        fixboot   more     set
   batch     delete     fixmbr    mkdir    systemroot
   bootcfg   dir        format    more     type
   cd        disable    help      net           
   chdir     diskpart   listsvc   rd            
   chkdsk    enable     logon     ren           
   cls       exit       map       rename  
   copy      expand     md        rmdir
         

Also eher

Code: Alles auswählenAufklappen

ATTFilter

del /F /S /Q C:\WINDOWS\system32\drivers\hldrrr.exe
del /F /S /Q C:\WINDOWS\system32\wintems.exe
del /F /S /Q C:\WINDOWS\system32\drivers\srosa.sys
del /F /S /Q C:\WINDOWS\SYSTEM32\mdelk.exe
rmdir /S /Q C:\WINDOWS\exefld
rmdir /S /Q C:\WINDOWS\system32\drivers\down
         

Falls es Probleme beim Löschen der Dateien gibt vorher noch folgendes:

Code: Alles auswählenAufklappen

ATTFilter

attrib -s -r -h C:\WINDOWS\system32\drivers\hldrrr.exe
attrib -s -r -h C:\WINDOWS\system32\wintems.exe
attrib -s -r -h C:\WINDOWS\system32\drivers\srosa.sys
attrib -s -r -h C:\WINDOWS\SYSTEM32\mdelk.exe
         

Marc

So nach einigen Versuchen musste ich leider feststellen das ich nur einen bluescreen zu sehen bekomme bei dem Versuch die Wiederherstellungskonsole zu starten.

Denke ich werde wohl oder übel schnellstmöglich den Rechner neu aufsetzen müssen. Falls noch jemand eine Idee hat wäre ich überaus dankbar. Ansonsten vielen Dank für die bisherigen Posts !

Zitat:

Zitat von trioptimum

Denke ich werde wohl oder übel schnellstmöglich den Rechner neu aufsetzen müssen.

Das ist sicher das Sinnvollste.

Marc

Was du an Daten sichern kannst -sofern notw.- solltest du sichern. Das Problem bei einem derart zerschossenen System ist, dass nach dem Einsatz von Reinigungstools u.U. gar nichts mehr geht.

Was ist mit Marc's Vorschlag einer Live-CD? (Ich werfe noch mal den ERD Commander in die Runde) Icesword funktioniert nicht, auch nicht nach Umbenennung? Wie siehst aus mit gmer?