|
Prob.mit "userinit" rechner bootet nicht mehr... Hallo werte Leute, Ich habe mir bei der installation eine Programs vermutlich etwas fieses eingefangen. Jedenfalls ging der punk direkt danach los. Das System crash`t immer mit der Fehlermeldung userinit muss beendet werden heruner. Nach einigen Misserfolgen hat das system jetzt doch im abgesicherten modus ohne n.w.treiber gebootet und ich kann via stick auf das sys zugreifen und über zweiten rechner mit euch arbeiten. Ich habe ein logfile erstellt und habe mir die 3 programe ccleaner usw... geladen und werde die jetzt auch noch auf dem system anwenden ? Das hab ich doch richtig verstanden in eurer Anleitung oder ? ;-) Hier nun das logfile hoffe ich mache nix falsch... Code: Logfile of Trend Micro HijackThis v2.0.2 |
So hier nun die weiteren logfiles: ich hoffe es kann mir jemand helfen, den Systemneustart nach ccelaner hab ich unterlassen... da ich es erst nach 15 maligen versuch wohl durch zufall in den abgesichertern modus geschafft habe und ganz froh bin, das ich da überhaupt jetzt zugriff habe... erbitte weitere instruktionen:kaffee: Code: Malwarebytes' Anti-Malware 1.41 |
oh je es scheint so als wären die logfiles des rsit programs beide zu groß, sogar einzeln sind sie über 30.000 zeichen, werd ich sie wohl aufteieln müssen ... |
rsitlog teil 1 Code: Logfile of random's system information tool 1.06 (written by random/random) |
rsitlog teil 2 Code: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] |
rsitinfo teil 1 Code: info.txt logfile of random's system information tool 1.06 2009-09-22 10:40:10 |
rsitinfo teil 2 Code: SiI 4726 Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B679A004-15F5-4E5E-B063-BA2D5F3AC51A}\setup.exe" -l0x9 -removeonly |
erbitte weitere Instruktionen... :kaffee: lg chris |
Hi Bitte folgende Dateien bei VirusTotal hochladen und analysieren lassen. Poste bitte anschließend die Links zu den Berichten oder die Berichte selbst. Zitat:
Gruß Kos |
Hallo, danke das es so schnell weiter geht... die java exe habe ich gefunden, die info exe leider nicht... es gibt da einmal das papierkorb symbol (recycled) dahinter scheint nichts mehr zu sein und einmal den ordner (recycler) dahinter verbirgt sich datei benannt mit einer langen nummer... S-1-5-21 usw.... sieht nicht nach einer exe aus... ich lade nun schonmal die java exe zu virus total. Auch mit der windowssuche konnte ich keine info exe finden. lg |
Gibt es da einen Ordner namens "." (Also Punkt)? |
*kurz reinhüpf* mich würden diese Dateien auch noch interessieren: Code: C:\WINDOWS\system32\sys64_nov.exeDie erste macht mir vor allem Sorgen... Bitte auch noch überprüfen lassen ;) *und wieder raushüpf* Gruß Handball10 |
Hi handball10 :) Jepp, und wenn man sich die Zeiten anschaut, scheint java.exe der "Ausgangspunkt" zu sein. |
Zitat:
habe grad nochmal die windowssuche mit "." suchen lassen nix gefunden... mich wundert,dass ich auf d: suchen sollte, aber wenn du d: sagst wirst du schon n grund haben... leider nur finde ich da nix... |
Es ist nicht nur D Zitat:
|
Zitat:
Wenn ich mein gedächtnis aktiviere dann habe ich ein javaupdate gemacht, ja stimmt ! aber der ausgang allen übels ist eine software gewesen bei der ich selber die setup exe gestartet habe... ich bins also selber schuld, habe den ordner mit der software auch noch hier... kann davon gern etwas irgenwo hin schicken, bin mir sehr sicher, dass es damit etwas zu tun hat... das java update war kurz davor ... nicht, dass der schein uns hier trügt... danke !: |
Die java.exe müsste sauber sein. Bishher hab ich fast auf allen Logs hier diese drei Java-Deiten gesehen. Bei mir existieren sie auch und sind digital signiert. Wenn man sich das RSIT-Log anguckt, ist da noch viel mehr schädliches... Code: "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe"="C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe:*:Enabled:Enabled"Code: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exeDie Mountpoint-Einträge stammen meiner Meinung nach von einem Autorun-Wurm... Punkte (also ".") kann man nicht als Dateinamen verwenden. @chris: Mache bitte mal alle Verstekcten Ordner sichtbar und suche erneut manuell nach der Datei oder gib bei Virustotal direkt den Pfad ein. Der eigentliche Pfad müsste so aussehen: Code: X:\recycled\info.exeGruß Handball10 |
Zitat:
|
ok, dann lade auch die setup.exe bei VirusTotal hoch, mal sehen was das ist. Edit: ich übergebe mal alles Weitere an handball10, sonst sind hier zu viele Köche am Werke :) |
Zitat:
alles klar das mache ich, vielen dank für deine hilfe :daumenhoc |
Zitat:
Ich übernehme gerne, aber dann würde es für den TO ein bisschen länger dauern (naja, er hat ja noch zu tun :) ) @chris alle Ergebnisse von Virustotal als Link posten und anschließen MalwareBytes AntiMalware scannen. Logfile bitte auch posten. Allgemein jedoch, würde ich mir nicht allzugroße Hoffnung machen, da hier einiges am werkeln ist. Gruß Handball10 |
Hallo handball 10, kann leider auch bei einlendung aller dateien das nicht finden, je nachdem in welchem log ihr das jetzt gefunden hattet, vielleicht ist es durch das benutzen der programme ccleaner usw... schon weggesperrt worden, es kann sein, dass ich heute nacht die reihenfolge der anwendungen falsch gemacht habe und daher das noch in einem der logs angezeigt wird... ich weiß auch nicht ... die anderen dateien hab ich gefunden und sende die ketzt zu virustotal... lg |
kann ich die dateien in einem zip ordner hochladen bei virustotal oder nur einzeln ? kannst du mir sagen wenn du zum training gehst :-) ich sitz hier nämlich und aktualisiere alle 1,5 sekunden :-) many thanks |
Zitat:
Zu den Dateien: Das Beste (auch wen n es langwierig ist) alle einzeln hochzuladen. Zitat:
Gruß Handball10 |
Zitat:
soll ich alle infos die mir von virustotal gezeigt werden hier in form von logfilecodes einbinden ? mach ich gern ! |
Zitat:
Zitat:
Gruß Handball10 |
also ein richtiges logfile bekomme ich da nicht, habe die ganzen infos die aufgezeigt werden per copy and paste genommen, hoffe das ist richtig, wenn nicht bitte nochmal erklären wie ich an ein richtiges logfile komme... damit ich es bei den vielen anderen daten richtig mache lg Code: Datei 223.tmp empfangen 2009.09.22 12:54:17 (UTC) |
Zitat:
Wie du die VT-Ergebnisse postets ists richtig :daumenhoc: Lass anschließend dem gescanne GMER laufen. Auch dieses Logfile :D bitte posten. So, ich muss jetzt weg :) Viel Erfolg noch Gruß Handball10 |
das is bei der datei 225.tmp herraus gekommen, komisch das da was von malw_13.ex_ steht als name ???? es wurde mir geschrieben,dass die datei bereits gestern hochgeladen wurde... :-) aber nicht von mir ! so dann ma weiter ... [code] Datei malw_13.ex_ empfangen 2009.09.21 17:30:41 (UTC) Status: Beendet Ergebnis: 21/41 (51.22%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.21 Win32.Virtob!IK AhnLab-V3 5.0.0.2 2009.09.21 - AntiVir 7.9.1.23 2009.09.21 TR/Agent.ANOC.6 Antiy-AVL 2.0.3.7 2009.09.21 Trojan/Win32.Rabbit.gen Authentium 5.1.2.4 2009.09.21 - Avast 4.8.1351.0 2009.09.20 Win32:Trojan-gen {Other} AVG 8.5.0.412 2009.09.21 - BitDefender 7.2 2009.09.21 Trojan.Agent.ANOC CAT-QuickHeal 10.00 2009.09.21 - ClamAV 0.94.1 2009.09.21 - Comodo 2393 2009.09.21 - DrWeb 5.0.0.12182 2009.09.21 Trojan.DownLoad.41506 eSafe 7.0.17.0 2009.09.21 - eTrust-Vet 31.6.6750 2009.09.21 - F-Prot 4.5.1.85 2009.09.21 - F-Secure 8.0.14470.0 2009.09.21 Trojan.Win32.Rabbit.aau Fortinet 3.120.0.0 2009.09.21 W32/FakeAlert.ID!tr GData 19 2009.09.21 Trojan.Agent.ANOC Ikarus T3.1.1.72.0 2009.09.21 Win32.Virtob Jiangmin 11.0.800 2009.09.21 Trojan/Rabbit.fa K7AntiVirus 7.10.850 2009.09.21 - Kaspersky 7.0.0.125 2009.09.21 Trojan.Win32.Rabbit.aau McAfee 5748 2009.09.21 FakeAlert-ID McAfee+Artemis 5748 2009.09.21 FakeAlert-ID McAfee-GW-Edition 6.8.5 2009.09.21 Trojan.Agent.ANOC.6 Microsoft 1.5005 2009.09.21 Trojan:Win32/Malagent NOD32 4444 2009.09.21 - Norman 6.01.09 2009.09.21 W32/Renos.AAVE nProtect 2009.1.8.0 2009.09.21 - Panda 10.0.2.2 2009.09.21 Suspicious file PCTools 4.4.2.0 2009.09.20 - Prevx 3.0 2009.09.21 High Risk Cloaked Malware Rising 21.48.04.00 2009.09.21 - Sophos 4.45.0 2009.09.21 - Sunbelt 3.2.1858.2 2009.09.20 - Symantec 1.4.4.12 2009.09.21 Trojan.Pandex TheHacker 6.5.0.2.014 2009.09.21 - TrendMicro 8.950.0.1094 2009.09.21 TROJ_RABBIT.AF VBA32 3.12.10.10 2009.09.20 - ViRobot 2009.9.21.1945 2009.09.21 - VirusBuster 4.6.5.0 2009.09.21 - weitere Informationen File size: 27176 bytes MD5 : ce0fdab7e7dfa4e34fd496384bb3806a SHA1 : d804f9865319626ceacbd8fe6c2e7fac3835d71e SHA256: c2f3ed6e4a4eaa80f407b3942b5718806932377b90aab606a56306b21e44d971 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x31D timedatestamp.....: 0x4AAF9A5C (Tue Sep 15 15:45:00 2009) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x192 0x200 4.78 65540954153469f20b3e8570a7357b8b .rdata 0x500 0xD6 0x100 3.54 53f5fdffc6b334ac92956c843fd00559 .data 0x600 0x33 0x100 1.24 d11b166fccd6174ba1596f188114ce61 .rsrc 0x700 0x538 0x600 3.01 f006f427dd9672a6d8b0aa8b23e396ea .hehe 0xD00 0x5E00 0x5E00 7.70 ff224e433807bd5a403444278178bd31 ( 1 imports ) > kernel32.dll: ExitProcess, GetModuleHandleA, GetProcAddress, LoadLibraryA, Sleep, VirtualAlloc ( 0 exports ) TrID : File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 384:wVWy+lJ07y7wx6UawOA7JILhTiVlqjat6FHrjN13nyEfx9EH43f2ABGoYXX:6Wgxx6Twd7JMWVlatj/31fx9EYNBGTXX Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=86D67DE3282014D66AB400D6BD73A8002CC9F1B2 PEiD : - RDS : NSRL Reference Data Set |
so bei 226.tmp wird mir nur das hier angezeigt... "0 bytes size received / Se ha recibido un archivo vacio" |
datei: 1928_782.exe Code: |
Hallo, ich erlaube mir mal mich kurz einzumischen :) Du hasts höchstwahrscheinlich mit Virut einem File Infectoren zu tun. Er infiziert alle Exe Datein, die greifbar für ihn sind. Ich würde dich am liebsten bitten das System Neuaufzusetzen. Eine Neuinstallation wäre da der sicherste Weg + Passwörter abändern. Was um Himmels Willen ist Virut: Virut-Infektion - HijackThis.de Support Board Win32:Virut Virus Description: Virus:W32/Virut |
datei: 9498,103 hier sagt mir virustotal auch wieder die datei wurde bereits gesendet und unter letzte infos sehe ich das hier : Code: Datei 2201959.exe empfangen 2009.09.22 02:00:21 (UTC) |
Zitat:
also ich habs mir durchgelesen... mist verdammter... also ich würde gern versuchen zu bereinigen, werde den rechner vom internet trennen und meine passworte ändern, viele sind es nicht zum glück online banking mache ich zum glcük auch nicht... danke für die vielen infos |
Zitat:
Ich denke wir sollten mal Dr Web Cure It laufen lassen, nach den Scans die Handball10 anoferderte. Vllt. isses ja doch noch eine Art Falschmeldung. |
datei: java Code: Datei java.exe empfangen 2009.09.17 13:38:19 (UTC) |
datei: nzfiu3h78di.dll Code: Datei nzfiu3h78di.dll empfangen 2009.09.22 14:26:49 (UTC) |
das infofile von vorhin war glaub ich falsch, deshalb hier noch mal... datei: java Code: Datei java.exe empfangen 2009.09.22 14:32:25 (UTC) |
Achtung jetzt wird es vielleicht interessant, das hier ist die setup.exe nach der wenige sekunden später der rechner crashte... Code: datei: setup.exe |
datei: sys64.nov.exe Code: Datei sys64_nov.exe empfangen 2009.09.22 14:53:39 (UTC) |
Leider verdächtigt sich die Tatsache auf ein File Infector immer mehr :( Bitte führe den Rest laut Handballs Anleitung durch. |
Zitat:
|
Bitteschön, gern geschehen :)...mache einfach alles wie er es beschrieb, danach machen wir beide noch nen Scan :) |
datei: uugf Code: Datei uugf.exe empfangen 2009.09.22 14:59:03 (UTC) |
Ne Frage zwischendurch, hast du eine Ahnung, woher du das Zeugs hast? |
Zitat:
ich habe die software autocad (Zeichenprogram) aus einer tauschbörse runtergeladen.. ich muss die daten eines kunden irgendwie bearbeiten dafür hätte ich das einmal gebraucht...und dafür nun der ganze Ärger :-( ich bin ein ganz schöner Trottel... ich hab von dem ganzen Tauschbörsenzeug keine ahnung vielleicht hätten andere leute es erkannt oder lassen da einen scanner drüber laufen oder was weiß ich... naja :-) was soll ich sagen lg chris |
Zitat:
|
so, handball 10 wollte das mbam logfile haben, das aktuelle hatte ich bereits weiter hinten im thread schon...aber hier nochmal... ich würde dann jetzt dieses "gmer" laufen lassen und hoffe sehr, dass ich danach wieder in den abgsicherten überhaupt komme, wegen der neustarts die ich dann da machen muss, oder fällt dir "angel" noch etwas ein was ich vorher machen soll ? und wo man nicht "neustarts" machen muss ? vom netz is der rechner nun getrennt... logfile mbam Code: Malwarebytes' Anti-Malware 1.41 |
Mir fällt nur Dr.Web CureIT ein. Aber da du sowieso einen File Infector hast so wie es sehr stark zu 99,99% danach aussieht ist neuaufsetzen eh die beste Lösung. Btw. Virut hat einen Backdoor udn dieser ist in der Lage unbefugten Leuten all Deine Kennwörter mitzuteilen. |
Zitat:
ach ja hab noch ne wichtige frage: wie lese ich meinen windows produktkey aus dem system, hab das windows ja gekauft finde nur den key nicht mehr :-( (bin im abgesichtern ohne n.w. treiber) lg |
Zitat:
Ich würde eher offline Arbeiten und danach Daten sichern (keinerlei ausführbare Datein) und dann Windoof platt machen. |
alles klar... ok ! hier noch ne frage... wie lese ich meinen windows produktkey aus dem system, hab das windows ja gekauft finde nur den key nicht mehr :-( (bin im abgesichtern ohne n.w. treiber) lg |
Der müsste bei deinem PC irgendwo stehen, oder bei der CD dabei gewesen sein. Hast du die CD getrennt bekommen von dem PC oder war das alles in einem "Päckchen"? |
Zitat:
|
Schauen wir, ob Du eine gültige Produkt-Lizenz hast. Lade das Tool MGADiag.exe von dieser Seite herunter, führe es aus und kopieren den Output per Copy&Paste (den Button Copy drücken) hier in den Thread. |
Zitat:
|
Das ist eine 25 stellige Nummer ;) Kannst sie mir ja PRIVAT als PN schicken,w enn du dir nicht sicher bist, obs die ist. |
ah ok, hmm der produktkey wird bei den ersten 10 stellen verschlüsselt dargestellt, ein weiterer key " produktkey hash" wird ganz angezeigt, aber mit dem kann ich wohl nix angfangen... der key der wie gewohnt mit 5x5 stellen und dazwischen(-) eigegeben werden muss, ist leider mit sternchen verschlüssel ! :-( sorry das ich so nerve und das bei mir nichts zu klappen scheint... |
ok, ich hab den key... ein kleines aber hilfreiches program namens advisor hat mir geholfen... wenn du ne möglichkeit hast meinen key zu checkn wäre nicht schlecht, hab das xp prf bei ebay gekauft ;-) schick ich dir grad als PN lasse getz das gmer tool laufen... der abgesicherte modus scheint jetzt immer hoch zu fahren ! wenigstens etwas ;-) |
Ui, ein Fortschritt, aber ich würde dennoch neuaufsetzen, breche bitte das mit Gmer ab, notiere dir jedenfalls den Key (und vergess es nicht mehr ;O) Lassen wir mal anstatt Gmer DR.Web CureIT laufe, mich interessiert das Virut Zeuchs. |
hallo angel21, bei mir war es mit dr.web nicht so wie in der anleitung...das fenster mit den einstellungen habe ich nicht bekommen, bei mir wurde der schnellscan gemacht und jetzt werd ich gefragt ob ich default hosts datei wiederherstellen will ... bekomme ich das einstellungsfenster noch wenn ich ja wähle ? oder an welcher stelle setzte ich jetzt an um die einstellungen zu machen ? das ganze programm läst sich auch nicht schließen ohne eine aktion durch zu führen...thanks a lot :-) |
Zeigt es irgendwas mit Virut an und Desinfektion? Sende mir mal das Logfile oder schreibe herein was gefunden wurde udn wie du vorgegangen bist, ja lass die Datei mal wiederherstellen. |
Zitat:
|
Japp stelle mal alles wieder her, d.h. lass alles desinfizieren. Nun hab ich die bestätigung das es Virut ist zu 100% was ich aber schon davor wusste, wollt halt nur noch eine kleine Bestätigung. Setz umgehenst neu auf, die Gefahren weißt du ja nun. Virut zu bereinigen ist schwer, knallhart und vor allem wenn eine einzige infizierte Exe Datei übr bleibt, dann geht das Spiel wieder von vorne los, gleiches gilt beim Datensichern, eine infizierte Exe gesichert und das Spiel fängt wieder von vorne an. Zudem sind die Datein nach der Desinfektion trotzdem noch als "korrupt" einzustufen. |
krasser mist hey :-( ok...ich hab getz auch das einstellungsfenster bekommen, hab alles eingestellt. frage: ich habe noch 5 weitere datenfestplatten in form eines raids extern und 3 usb festplatten sol ich die jetzt anschließen und mit einem weiteren komplettscan alles scannen oder erstmal die probleme des shortscans beheben oder wiederherstellen ? der komplettscan dauert nur dann solange dass wir nicht weiter machen können, das ja dann auch ungut. 2. das logfile ist für mich hier nicht lesbar...eine drweb.csv datei wie soll ich das posten ? das würde ich gern posten |
Behebe mal die Probleme des Shortscans, danach stecke alles an, und desinfizier so viel du kriegen kannst, danach setzen wir neu auf, weil Virut zu bereinigen ist sinnfrei. Hab soeben Erfahren, das es sie neuste Virut Version ist, ich würde keine einzige Datei mitsichern, :( Oh man das tut mir voll leid für dich! :( |
allet klar... hab das mit dem logfile hinbekommen poste ich gleich |
noch ne minifrage... unter drweb alles anwählen (objekte) und desinfizieren ??? oder: verschieben / umbenennen / löschen ? thx |
Alles desinfizieren bitte. |
ich glaube ich verstehe jetzt was du meinst... drWeb teil 1: Code: b.exe;c:\dokumente und einstellungen\christian\lokale einstellungen\temp;Win32.Virut.56;; |
drWeb: teil 2 Code: typeperf.exe;C:\WINDOWS\system32;Win32.Virut.56;; |
Beim desinfizieren wurde das system von RPC heruntergfahren... was bedeutet das ? liebe/ lieber angel21 ? ich fang irgendwie gleich ma das weinen an :-( |
Zitat:
Aber ich bitte dich eindringlichst dich neuaufzusetzen, auch wenn es mit der Datensicherung ziemlich besch.....eiden aussieht. Wäre besser du sicherst gar nichts, Sorry für die Information, aber mit nem File Infector + Backdoor würde ich kaum weiterleben wollen. :( Ich fühle mit dir, glaub mir! |
ok, verstehe... hab den schalter in meinem zu hoffnungsvollen kopf grad umgelegt, es hat sehr laut klick gemacht... Bitte sag mir wie ich am bestern vorgehe, weil selbst bei neuinstallation werfen sich mir fragen auf ... wie ich es anstelle, dass sich nicht alles wieder infiziert. ich habe c.a. 12 terrabyte daten insgesammt verteilt auf festplatten teils fest teils extern... die wenigsten daten davon sind exe dateien... 1. auf welche exe dateien greift der viraud ? wie genau gehen die hoch ? wenn das system die ausführen will ? 2. über eine netzwerkleitung habe ich verbindung zu einem serfer, sind denn sich dort befindende exe daten in form von abgelegten softwarepaketen, also nicht installierten programmen sicher ? der weitere scan von drWeb hat nichts mehr gefunden...by the way ich versuche jetzt die kiste ohne internet normal zu starten |
Zitat:
Zitat:
Nich das du dich reinfizierst. http://www.trojaner-board.de/51262-a...sicherung.html Alles bitte wenn du einen externen Datenträger bevorzugst per SHIFT Tasta gedrückt halten immer die extrenen Platten an den PC anschließen. EDIT: Bin ab Morgen gegen Abend zu erreichen, wenn was ist. |
hey angel21, ich bin nun doch voller freude... das system fährt hoch und ich kann in meiner videosoftware an den Kundensachen weiterarbeiten, die ich am Donnerstag fertig haben muss... das reicht mir ja schon völlig aus. Ich hab mir ne neue festplatte heute gekauft in weiser voraussicht und den produktkey hab ich auch, werd also absolut und definitiv neu aufsetzten, aber dafür werd ich länger brauchen von daher einfach super dass ich zumindest angefangene jobs fertigen kann... ich bin sehr sehr dankbar ! |
Hi Chris, ist ja leider ganz schön heftig , was du dir dort alles eingefangen hast. Ich glaube, so eine derbe Virut-Infektion hab ich noch nie gesehen :kloppen: Dann noch viel Erfolg beim Neuaufsetzen. Gruß Handball10 |
Hallo, ich bin es nochmal... Hab jetzt meine Kundenarbeiten fertig und kümmer mich jetzt um die neuinstallation. Könntet ihr mir n paar tipps geben, speziel beim aufsetzten nach virut ? Ich kann mich von sehr vielen daten nicht trennen und es ist nicht ganz leicht. Also von allen software daten kann ich mich trennen, das kein thema aber alles andere halt eigentlich nicht... 1. Soll ich auf allen (nicht)systemdatenträgern, also wo alles mögliche drauf ist... alle datein mit der Endung exe löschen ? soll ich das über die windowssuche machen ? 2.Sollte ich bei den Einstellungen von drWeb cureit anstatt verschieben nicht lieber löschen anwählen ? und nochmal einen kompletten scan machen mit allen datenträgern ? 3.gibt es noch weitere sinnvolle tools zum drüber laufen lassen ? 4.soll ich cureit mal über das netzwerk und die andern rechner laufn die da noch dran hängen und sind die sachen sauber wenn keine virut sachen gefunden werden ? 5.sind exe dateien in zipp oder rarr ordnern sicher vor einer solchen Infektion ? danke im voraus chris |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Schau mal hier herein: http://www.trojaner-board.de/74052-s...-internet.html |
hallo angel21, thanks für die schnellen antworten, hab auch deinen link gelesen, hey wo kann ich die brain.exe downloaden ;-) muss noch ganz direkt wegen des netzwerkes fragen, weil sich darauf meine ganze software zur neuinst. befindet. Wenn cureit beim ersten scan keine virut exe n findet haben die wohl nix abbekommen oder? daten die mit virut mal verseucht waren werden von mir gelöscht egal ob desinfiziert wurde, hab ich verstanden ! Aber es sind wirklich nur die exe dateien hoffe ich. Ist das verschleppen verseuchter exe daten allein schon ausreichend um alles neu zu infizieren, oder passiert es erst beim ausführen ? lg |
Zitat:
Nein, lass sie Desinfizieren, beim löschen löschst du automatisch Systemdatein, die wichtig für den Computer sind mit. Nehmen wir als Beispiel die svchost.exe. Diese ist sehr wichtig für deinen PC, die wurde aber von Virut verseucht, wenn du aber diese löschst, die infizierte svchost.exe, dann löscht Cure It die komplett. Das hat zur Folge, dass du schwere Schäden am System hast, da dir was Lebensiwchtiges fehlt. Also lieber Desinfizieren! Zitat:
|
alles klar, das netzwerk ist ein rechner von meinem nachbarn über "lan" läuft das, ich hab da schon ewig nicht drauf zu gegriffen aber es gibt halt die kabelverbindung... werd mit meinem nachbarn darüber reden und dann soll er von seinem rechner aus mit cureit checken... ich mach hier alles platt darauf kannste gift nehmen... ich nehm das sehr ernst... und bin mega froh hier leute gefunden zu haben, die mich bei diesem fiesen mist unterstützen... hab mir grad das von petra zum thema virut durchgelesen auch sehr hilfreich... das wird ne schweinearbeit bei meinen vielen daten... ein Mausklick hat mir das bescherrt total unglaublich :-( heul ! bekomme ich denn über die windows suche alle exe en gefunden ? oder gibts ne bessere idee ? |
hi, mal kurz reinspring: warum willst du nach exe-dateien suchen? was hast du vor bzw was stellst du dir vor was das bringen soll? |
Zitat:
ich hab 14 festplatten rand voll mit allen möglichen daten, hunderte von ordnern. In denen verstreut ebenfalls hunderte von exe dateien und anderen daten sind die mit virut verseucht waren bzw. sind... meinen systemdatenträger mache ich platt ! und auf den andern 13 platten muss ich mithilfe einer effizienten datei-endungs-suche alles löschen was virut anfällig war ,ist, oder sein könnte... ich arbeite im Film foto und grafikdesign bereich und habe daher ein hohes daten aufkommen, wenn du ideen hast, sags bitte, bin etwas verzweifelt noch. Weil eine einzige ausführbare datei für reinfektion reicht.... |
sauberste lösung: alles platt machen, da nicht nur exe-dateien befallen sein können. langwierigste lösung: Kaspersky Onlinescan machen. der findet virut eigentlich recht sicher, die angezeigten dateien der anderen hdd's löschen und dann c platt machen. nach dem neuaufsetzen nochmal mit nem scan gegen checken. dauert aber bei der masse an speicherplatz so bis mitte 2011 oder so ;). |
Zitat:
es handelt sich um wichtige kundendaten ! nicht um spiele oder musik ! leider :-( der Rechner und die daten stellen 50 % meiner Eixstenz da :schmoll: ich hab bis jetzt die info das ich folgende daten löschen muss: exe/.scr/.htm/.html/.xml/.zip/.rar ist dir mehr bekannt und hast n tipp wie ich die alle aufspüre dann bitte ;-) und danke im voraus chris |
den tipp hab ich, kaspersky onlinescan :). |
Zitat:
kann ich dem scan sagen welche laufwerke er durchforsten soll und löscht der die daten dann auch ? dann wäre das verdammt cool ! :party: |
der löscht nix, der scannt nur, du kannst einzelne laufwerke anklicken oder aber den ganzen arbeitsplatz scannen lassen, das heisst alle laufwerke. Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
|
ok, also mit der alten konfi... die ich jetzt habe ! noch ma ans internet... verstehe ! also die sachen via logfile finden und einzel mit eurer hilfe selektieren halte ich für wahnsinn imbezug auf den aufwand und außerdem hab ich mit cureit schon viele daten desinfiziert und die würden von kasperski nicht mehr angezeigt ??, angel21 sagt aber die files bleiben eine gefahr... nicht mich falsch verstehen bitte...zweifel nicht an dem was du sagst! bin nur unsicher und ängstlich ;-) |
also die Meinung die ich mir ja nur aus dem hier erfahrenen bilden kann in verbindung mit meinem Problem ist: Ich suche alle datei-endung per windows sammelsuche und lösche das alles ! es werden keine andern daten dabei sein weil die endungen andere sind. dann lasse ich kaspersky drüber und wenns gut läuft dürfte da ja schon nix mehr sein, wenn doch manuel dran gehen... dann wenn die 13 platen sauber sind ! sys platte platt machen... korrigiere mich bitte wenn du anderer Meinung bist :-) |
joah, aber nur die exe der 13 platten, nicht irgendwelche exe im windows ordner. frage: liegt windows auf einer eigenen platte oder nur auf einer partition? |
Zitat:
frage 1. wenn man internetseiten auf den rechner speichert hat man htm und html files gespeichert ? frage 2. sind favoriten im firefox auch ne gefahr ? |
zu 1: ja zu 2: kann sein, mir is aber kein fall bekannt. |
es is aber auch nix einfach... ein großteil der daten (die ich löschen will) ist korupt und sie lassen sich aus dem windows suche fenster nicht löschen... "Quelldatei oder quelldatenträger nicht lesbar" wenn das nicht geht. dann muss ich von hand selektieren, was schätzungsweise 2 wochen dauern wird :-( Was habe ich nur getan, womit habe ich das verdient .... heul :-( auf einem meiner datenträger habe ich mehr als 8000 dateien mit Endungen gefunden die ich löschen muss... fällt euch was ein wie ich aus 8 terrabyte daten alle exe,hatm,html,rar,zip usw.... finden und löschen könnte auch wenn großteil davon durch die cureit desinfektion korrupt zu sein scheint ? |
Zitat:
Zitat:
Die Antwort hast Du dir bererits selbst gegeben bei meiner Frage vor paar Tagen ;) |
:heulen: wo du recht hast hast du recht...aber die strafe is eindeutig zu hoch ! fällt euch was ein wie ich aus 8 terrabyte daten alle exe,hatm,html,rar,zip usw.... finden und löschen könnte auch wenn großteil davon durch die cureit desinfektion korrupt zu sein scheint ? |
Liste der Anhänge anzeigen (Anzahl: 1) Hi ich habe für dich eine kleine bat-Datei (im Anhang). Speichere es bitte auf einer deinen externen Platten (nicht auf der mit System drauf). Und zwar z.B. direkt so: D:\loesch.bat also keinen Unterordner verwenden. Die Datei kann mit Doppelklick gestartet werden. Die ist jetzt allerdings erstmal im "Testmodus" - d.h. es werden nur .exe-Dateien geloescht und du musst die Löschung jeder einzelnen Datei mit "j" bestätigen. Teste bitte mal aus, ob das Ganze zufriedenstellend funktioniert. Zum Beenden einfach das Fenster schließen. Gruß Kos |
Zitat:
|
Das macht Virut, weil er sich an den Code der Datei anhängt und diese zerstört. Die Datein sind als überaus infiziert und/oder korrupt zu werten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board