|
Keine Antivirussoftwäre läuft mehr (PC ist auf das Wort Antivirus allergisch) Guten (schlechter) Morgen!!! Ich dachte ich kann mir einen Beitrag ersparen. Habe Stundenlang gesucht ob es mein Problem schon gibt , leider scheint es bin ich noch ein Einzelgänger!! Meine Geschichte: (vermutliche Ursache) Ich habe mir eine Datei runtergeladen, ein plugin für ein programm, (2-4 Mb groß) (vielleicht wars keine originalversion :heilig:) war natürlich gepackt , habe es entpackt und wollte es installieren.:uglyhammer: Es kammen irgendwelche japanischen schriftzeichen , ich habe die installation sofort unterbrochen und gedata zeigte mir eine meldung an. Ich bestätigte gdata dieses programm zu löschen. Aber scheinbar zu spät: Nächsten Tag beim Start meines PC viel mir auf das gdata sich nicht mehr startete und alle updateversuche erfolglos blieben. Gdata startete kurz und beendete sich wieder von selber nach 3-5 sekunden. Da ich eine bootcd von Gdata habe versuchte ich mein system mit dieser zu reinigen, es wurden zwar allerhand gefunden und entfernt, aber gedata funktioniert immer noch nicht. Habe auch Malwarebytes- anti-malware versucht - lässt sich nicht starten! Hiack This lässt sich nicht starten! CCleaner startet kurz und führt ein paar funktionen aus beendet selbständig sein funktion! Weiters ist mir noch aufgefallen gebe ich im explorer wörter mit antivir odgl ein beendet sich der explorer automatisch. Mein PC ist neu Intel Core 2 Quad CPU Q 8400 2,66 Ghz 2,66 Ghz Windows 7 Home Premium 64 bit Gdata 2010 Was soll ich weiter unternehmen gibts hilfe für mich und meinem PC, wenns irgendwie eght ohne neu aufsetzen, läuft doch erst gerade alles kurze zeit !! lg malermeister PS. Ich hoffe ich hab alle regeln einghalten:confused: |
Hi!! Ich habe natürlich net wirklich plan, aber ich habe immer eine boot CD mit Linux parat, so das ich im zweifelsfall immer noch ein paar daten von der Festplatte sichern kann um diese im anschluß zu Formatieren. Aber wie gesagt das würde ich als " nicht könner " machen. Ich bin mal gespannt was die pros dazu sagen.....!! Gruß Sven |
wollte gerade hier im forum einen beitrag über hijack this lesen , wenn ich raufklicke schliesst sich sofort der explorer !!! leide ich schon unter verfolgungswahn oder gibts so einen virus der alles was mit antivir zu tu hat ablehnt ???? |
Versuche bitte ein Srit und Gmer Report zu erstellen und posten. Koenntest du diese "Plugin" bitte einmal hier hochladen, oder mir den Link via PN schicken? http://www.trojaner-board.de/54791-a...ner-board.html |
habe den plugin natürlich aus lauter schrecken sofort gelöscht , blöderweise !!! wenn ich deinen GMER link anklicke schliesst sich sofort der explorer !???? lg malermeister |
Zitat:
habe sie wie geschrieben hochgeladen !! ich hoffe du hast sie erhalten ??? lg mm |
Ich hab Gmer hier kurzfristig hoch geladen: http://board.protecus.de/download.ph...2.pq5q4n5z.exe Laden startn, scan druecken und wenn er fertig gesccant hat, mit hilfe des Copy Buttons hier hineinkopieren... Rsit geht? |
Zitat:
was ist nbitte Rsit ????? was soll ich tun :killpc: lg mm |
Sieh an, das ist ein Bagle. Tja, entweder den Rechner neu aufsetzen(wohl am besten) oder Combofix auf eigene Gefahr hin nutzen NEUE BEITRÄGE ERSTELLEN: Mit folgenden Infos Thread im Forum erstellen - Spyware Hilfe |
Zitat:
was kann ich damit anrichten?? bzw. kann ich im nachhinein, wenn combofix nicht funktioniert den pc immer noch aufsetzen oder ?? und meine beiträge soll ich zu diesem thema in dem angeführten ordner schreiben !? lg mm was bitte ist ein bagle ??? |
Bagle ist ein Trojaner/Backdoor, der versucht alle moeglichen Tools und AV Programme zu blocken. Eine Anleitung zu Combofix(ein tool zum beseitigen von u.a. Bagle) findest du in obigen Link. Klar, selbst wenn etwas bei dem CF Lauf schief gehen sollte, kannst du den Rechner immer noch neu aufsetzen! |
ich danke dir erstmal recht herzlich werde das mal versuchen, werd schon sehen was rauskommt !!!! sehe aber leider keinen link ???? lg mm |
Den Report, den CF ersellt bitte hier posten |
Zitat:
wo bekomm ich das ?? lg mm |
auch cobofix lässt sich nicht ausführen , instaliert sich zwar aber wird nicht ausgeführt, was mach ich nun ??? soll ich meinen pc bei fenster rausschmeissen?? kann ich mit der bootcd con gdata nix anfangen damit kann ich ja auch auf ordner zugreifen , bzw. lässt sich von dort ein programmvilleicht starten ???? lg mm |
auch wenn ich die datei umbenenne lässt sie sich nicht ausführen !!!! lg mm |
Hast du es beim speichern auch umbenannt? Es dauert etwas, bevor CF startet, da es einige Dinge schnell erledigen muss, bevor Bagle da eingreifen kann... |
es kommt ein kleines fenster da stehen eine menge dinge drauf , ist aber so schnell weg das ich es nicht lesen kann!! windows xp os2 und irgendwelcher text ???? lg mm |
Ich habe das gerade nochmal getestet. Combofix laeuft, wenn man es umbenannt auf dem Rechner speichert. Am besten von einem sauberen Rechner kopieren/umbenennen und auf einen usb Stick packen. Den USB Stick an den verseuchten Rechner anschliessen und dann erst den Rechner starten, umbenannte DAtei auf den Desktop verschieben, starten und anweisungen befolgen... |
Liste der Anhänge anzeigen (Anzahl: 1) so sieht das bild aus das das programm schreibt warum ich combofix nicht starten kann !!!! wa heißt das nun für mich ??? lg mm |
Zitat:
Gut, dann komplett anders. Leider ist die Variante relativ neu, sprich kein AV Programm erkennt alle teile des Bagles. Dummerweise kopiert sich Bagle auch noch in jedes Zip Archiv, was es findet, also muss du diese Archive alle manuell kontrollieren und reinigen. Schaue bitte, ob du win7 im abgesicherten Modus starten kannst. Bitte die "F8" Methode nutzen, nicht die ueber MSconfig! Siehe hier unter Punkt 5 https://www.bsi.bund.de/cln_183/Cont...irenundCo.html Schaue, ob DDS unter Win7 64 Bit laeuft http://download.bleepingcomputer.com/sUBs/dds.scr Starte es und es werden dir nach kurzer Zeit 2 Reporte erzeugt, die du dann posten kannst, sofern es funktioniert. Wie gesagt, neu aufsetzen ist die wesentlich bessere Alternative! |
so hat geklappt , habe die dateien im anhang !! was soll ci jetzt machen ??? habe jetzt von meiner festplatte eine sicherungskopie gemacht, damit ich dan neu aufsetzten kann, besteht die gefahr beim wiederherstellen der dateien das sich das virus wieder instaliert ?? wie kann ich das verhindern ?? was mach ich am besten ??? lg mm |
Funktioniert denn der abgesicherte Modus noch? Das sind die Bagle Dateien c:\windows\syswow64\wintems.exe c:\windows\syswow64\mdelk.exe c:\windows\wintems.exe c:\windows\mdelk.exe c:\windows\syswow64\srosa2.sys c:\windows\syswow64\wfsintwq.sys Wenn du keine Bagle Dateien startest, wird dieser auch nicht aktiv. Eigentlich haette die UAC auch vor der Infizierung schuetzen sollen... Du musst halt alle deine (Zip) ARchive kotrollieren, ob sich Bagle dort hineinkopiert hat und diese falls noetig loeschen oder bereinigen. Sichern sollte man aber generell nur nicht ausfuehrbare DAteien, wie Dokumente, Bilder, Musik Videos u.ae. |
und wenn ich diese dateien lösche geht mein pc wieder oder wie soll ich jetzt weiter vorgehen ????? was ist bitte die UAC ??? ich bin ja leider kein profi, schaf halt so alles irgendwie *ggg* lg mm |
sollte ich die dateien mit der gdata bootdiskette löschen , da ist ein programm dabei welches die dateien bearbeiten lässt ??? |
Entschuldige, wenn ich da einige Dinge voraussetze, die man eigentlich nicht unbedingt wissen muss. Falls du ein paar mehr infos zu Uac haben moechtest, kannst du es hier nachlesen: Benutzerkontensteuerung ? Wikipedia Du kannst diese Dateien gerne loeschen, dann sollte nach einem Neustart Mbam auch wieder funktionieren. Du kannst dir die Muehe aber sparen, wenn du den REchner neu aufsetzen moechtest. Kannst du mir die Frage beantworten, ob der abgesicherte Modus bei dir noch funktioniert? Dann kannst du das auch im abgesicherten Modus machen |
muss ich mal versuchen ob der abgesicherte modus noch funktioniert !!! um gottes willen mir ist alles lieber als den pc neu aufsetzten!! melde mich wenn´s funktioniert OK! lg mm |
so, abgesichereter modus hat funktioniert , ich habe die beschriebenen dateien gefunden und gelöscht, papierkorb entlernt neu gestartet Aber AV programe lassen sich wie vorher schon nicht starten !!! wie soll ich weitermachen ??? lg mm |
am verhalten des pc hat sich leider nichts geändert sobald ich ein av programm in den ie schreieb schliesst der sich !!!! da muss noch irgendwas im hintergrund laufen was den pc so verrückt macht , ich verstehs nicht lg m |
Guten Mogen , also ich trette immer noch auf der stelle!! Hab jetzt mal gdata nau raufgemacht- ohne erfolg , habe die dateien gelöscht die du mir gschrieben hast. nun ist es aber so das ich diese dateien immer wieder neu instalieren, habe zb. srosa2. sys und wfsintwq.sys, wintems.exe, ebenso emdelk.exe schon mehrmals gelöscht, sogar schon mal von der bootcd!!! die kommen immer wieder!!!! wie bekomme ich diese nun entgültig von der platte ??? lg mm |
so bin nun schon mal einen kleinen schritt weitergekommen : habe mit cclean die bagle in schachgehalten!! bin gerade dabei malwarebytes die dateien absuchen zu lassen!! habe gdata zum laufen gebracht! windows firewall und gdata firewall laufen leider noch nicht!!! wie kann ich die beiden zum laufen bringen ???? lg mm |
dieser Hijack läuft nun auch , habe die datei im anhang bitte beurteilen , stimmt damit was nicht ?? lg mm |
Was hat der Mbam Scan denn ergeben? Zu dem Hijackthis Log, das ist unter 64 Bit so gut wie nutzlos, da es nicht alle Eintraege sehen kann... |
Liste der Anhänge anzeigen (Anzahl: 1) tra tra jetzt hab ich den selber kacke wieder nur heißen die dateien jetz scheinbar List.bat List-B.bat NT-OS.cmd 32788R22FWJFW ich habe wintems.exe-mdelk.exe- srosa2.sys eingegeben in die dateiensuche und die oben angeführten dateien wurden angezeigt!? was mach ich jetzt?? langsam bin ich am verzweifeln !! scheinbar hab ich mit cclean die dateinen nur ein wenig in schach gehalten !! lg mm in der anlage ist die letzte malware von heute |
so jetzt die richtige datei lg mm |
Also Erkennungsmaessig sollte Antivir inzwischen alle Dateien erkennen. Aber wie bereits gesagt, Bagle ist eine infektion der haerteren Sorte, bei der man wirklich ans neuaufsetzen denken sollte! In diesem Verzeichniss koennten auch noch einige Bagle DAteien stecken! c:\users\user\appdata\roaming\drivers |
Und wie bin ich dan sicher nach dem neuaufsetzen das nicht irgenwo noch ein bagle rumhängt, du sagtes mal die können in allen archiven sein!? hab ja ne unmengedavon am pc, kann ich die irgendwie automatisch säubern ?? hast du villeicht nen tipp lg mm |
Es gibt AV PRogramme, die koennen in Archive reinigen. ICh weiss nicht mehr genau wer. ICh meinte das Kaspersky das auch kann. Inzwischen sollten alle AV Hersteller deine Bagle Version erkennen koennen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board