| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus W32/Mabezat-B beseitigen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
07.08.2008, 14:49
| #1 |
| |  Virus W32/Mabezat-B beseitigen? Hallo Experten, ich habe mir einen verflixten Virus eingefangen, anscheinend den W32/Mabezat-B Er verdoppelt sämtliche dateien, erstellt einige merkwürdige dateien wie tazebama .dll oder hook usw... Zudem blockiert er meinen Firefox browser. Nicht mal mehr antivir kann vernünftig gestartet werden, weil es beim start immer die "Fehler in der CRC Summe" meldet. Auch im Internet hab ich keine vernünftigen Problembeseitigungen gefunden, ich hoffe nun, dass ihr mir hier irgendwie weiterhelfen könnt, denn ein Neuaufsetzen des Systems wäre wegen meiner Daten auf dem Rechner ungünstig. Und ein Datenbackup kann ich auch nicht machen, denn der Virus verseucht auch USB - Sticks und Festplatten.... Hier meine Hiijack - logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:45:41, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\tazebama.dl_ C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\cidaemon.exe C:\Applicationen\applikationen\security\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.at O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.msn.at O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214757229250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137061656671 O17 - HKLM\System\CCS\Services\Tcpip\..\{8D432709-716A-4BEC-BCC7-4051E3F16757}: NameServer = 62.211.69.150 212.48.4.15 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Grüße an alle Helferlein usw.... Günner |
|
07.08.2008, 15:57
| #2 |
  | Virus W32/Mabezat-B beseitigen? Hi,
__________________das wird "schwierig". Anscheinend kopiert er die EXE-Dateien, infiziert die kopierten Exen, verschlüsselt die originale Exe, kopiert sich auf alle Laufwerke uns schreibt eine angepasste autostart.inf, die ihn automatisch startet... Das sieht nach Neuaufsetzen aus.... Du kannst versuchen die Daten per Boot-CD zu retten (und eine Bereinigung versuchen), alternativ über den abgesicherten Modus (nur wenn dann eine infizierte exe gestartet wird, ist das auch wieder hinfällig...)... Weiterhin musst Du HJ bzw. combofix-logs anonymisieren, d.h. Links dürfen nicht aufrufbar sein (http:\www -> h**p:\ und ..\Mustermann\Eigene Dateien -> ..\***\Eigene Dateien, sonst hilft Dir keiner... chris
__________________ |
|
08.08.2008, 08:59
| #3 |
| | Virus W32/Mabezat-B beseitigen? Hallo Chris,
__________________danke für deine ausführlichen Antworten, ich werde nun einmal versuchen mit diesen Proggies mbam und combofix im abgesichertten modus was reissen. auf jeden Fall poste ich hier dann den Reoprt, mal schaun was es bringt. danke dir inzwischen, Lg Günner |
|
08.08.2008, 12:10
| #4 |
| | Virus W32/Mabezat-B beseitigen? Hi, wenn das Teil tatsächlich auch Dokumente verschlüsselt, dann können nicht einmal die Daten mehr gerettet werden... Viel Glück, chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
08.08.2008, 12:19
| #5 |
 | Virus W32/Mabezat-B beseitigen? Doch er kann die Daten retten, da es nur einen Encrypter auf Trojanerbasis gibt: Gpcode Passender Dechiffriertool ist im Link weiter unten zu finden. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
08.08.2008, 12:36
| #6 |
| | Virus W32/Mabezat-B beseitigen? @DarkViruz Hi, hab nicht gewusst das der passt... Gesucht aber nichts passendes gefunden... Mal sehen was rauskommt; Hah, aber wenn Du schon mal da bist, ich bin die nächsten beiden Tage in Berlin und daher nicht zu erreichen... Will sagen: -> Du könne bitte weitermachen... Gruß, chris
__________________ --> Virus W32/Mabezat-B beseitigen? |
|
| Themen zu Virus W32/Mabezat-B beseitigen? |
| .dll, antivir, avira, bho, blockiert, dateien, excel, explorer, fehler, festplatte, firefox, hijack, hijackthis, hook, internet, internet explorer, logfile, microsoft, outlook express, pdfcreator, programme, security, software, usb, virus, virus eingefangen, windows, windows xp |
Hybrid-Darstellung
