reader_s und restorer32_a in Ordner system32 Hallo, habe folgendes Problem mit meinem Haupt-PC: Datei reader_s.exe und restorer32_a.exe sind im Ordner system32. Antivirenseiten können gar nicht mehr aufgerufen werden und Startseite des IE ist verändert. Außerdem kommen sporadisch Fehlermeldungen wie "9.tmp reagiert nicht" und das Fenster zum Bericht senden poppt auf. Hier das Logfile: Code:
|
|
ok, habe mir jetzt extra eine ide-platte geliehen, weil ich xp auf sata nicht neu installieren konnte (was ich schon vor hatte), aber das löst mein problem erstmal nur zur hälfte. ich habe auf einer partition alle setupdateien für alle rechner im netzwerk (apps, treiber, oscd-kopien, serials, dlls), die teilweise (zumindest wenn man avira glauben schenkt) auch infiziert sein sollen. kann man da wenigstens mit einem frischen system noch was retten oder muss man das alles platt machen ? gerade bei den oscds und vielen apps ist es naemlich so, dass die original-cds entweder verschollen oder mittlererweile unlesbar geworden sind. :eek: |
Jede infizierte exe Datei muss weg. Aber sehen wir uns mal an, wie schlimm es tatsächlich ist. Bitte führe DrWeb CureIt wie in der Anleitung beschrieben aus. |
So, da ich heute über Nacht weg bin (der betroffene PC ist auch mein TV) lasse ich über Nacht Dr. Web durchlaufen. Ich hoffe, das ist fertig, wenn ich morgen Abend wieder da bin. Ich habe das System jetzt noch nicht neu aufgesetzt, da ich keine Zeit dazu hatte. Ich hoffe, das war jetzt nicht ganz falsch oder hätte ich das vorher in jedem Fall machen sollen ? Na, wenn doch, dann muß ich Dr. Web halt noch mal machen, aber ich muß am 21. für 2 oder 3 Wochen weg; dann bitte nicht wundern, wenn ich mich etwas länger nicht melde. Auf jeden Fall kommt während dieser Zeit keiner an den PC ran, so daß man einfach da weitermachen könnte, wo man stehengeblieben ist. |
So, Drwin ist durch, das vorläufige amtliche Endergebnis kann ich aber nicht publizieren, weil der Text zu lang ist. Da aber schon einiges gelöscht oder desinfiziert wurde und so zu erwarten ist, daß die Logdatei kürzer wird, mache ich es einfach nochmal und sende dann dieses Ergebnis morgen. |
aufteilen ;) |
Ey Larusso, ich danke Dir erstmal für Deinen bisherigen Supp. Ich habe DrWeb nochmal gestartet, hat aber bis jetzt auf c:/ nur 1 File im system32-Ordner gefunden... Is ja auch kein Wunder, hat ja vorher auch schon einiges desinfiziert. Kann ich Dir das erste Logfile an ne email-Addy schicken ? Weil hier wars ja zu lang.. Greetz from Wallcity Baertown and have a nice restweekend |
Ums formatieren wirste denoch nicht rum kommen ;) Das ist Schadensbegrenzung :) Nein ich gebe keine email raus, aber du kannst sie in mehrere Posts aufteilen |
yepp, das midde email-addy versteh ick. drweb looft imma noch... schick dir morgen erstma ersten scan in parts und spaeter den zweiten... klar: plattmachen is eh angesagt jetzt, aber hab grad wenig zeit und brauch die kiste halt fuer tv, daher meine ? 1. ich nutze ghost fuer backups. wenn ich jetzte ein neues sys aufsetze und das backupe mit ghost und aschliessend das alte verwirte mit ghost restore (um tv zu kieken) und dann wieder das er noch in der be firts gesafete mit ghost restore (das grad frische) ? gehtt das oder geht das schief im sinne von kontraproduktiv ? wie gesagt: muesste bootplatte von sata auf ide umruesten und das dauert ein wenig, aber vielleicht koennen wir vorhandenen pllatten schon mal den fehler eingrenzen bevor die ide-platte dazukommt... |
So, der erste Teil vom ersten dann: Code: soundman.exe;C:\OSXP;Win32.Virut.56;Desinfiziert.; |
erster Scan Teil 2: Code: 26.tmp;C:\OSXP\SYSTEM32;Trojan.Siggen.18414;Nicht desinfizierbar.Verschoben.; |
erster Scan Teil3: Code: DLSLdr.exe;C:\Programme\Analog Devices\SoundMAX;Win32.Virut.56;Desinfiziert.; |
Teil4: Code: wue827c[2].exe;C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4JYNWTCL;BackDoor.Siggen.1794;Gelöscht.; |
Teil5: Code:
|
Teil6: Code: Admin.exe;D:\OSCDs\Treiber+Co\DINA3Scanner;Win32.Virut.56;Desinfiziert.; |
Teil7: Code: UNINST.EXE;D:\OSCDs\Treiber+Co\AsusP4-800E\Software\Probe;Win32.Virut.56;Desinfiziert.; |
Teil 8: Code: UNINST.EXE;D:\OSCDs\Treiber+Co\ALS100\als100setup;Win32.Virut.56;Desinfiziert.; |
Teil 9: Code: netfxupdate.exe;D:\OSCDs\OSvista\upgrade\netfx;Win32.Virut.56;Desinfiziert.; |
Teil10: Code: AUTORUN.EXE;D:\OSCDs\OSall\NTWKS40D_DE\I386;Win32.Virut.56;Desinfiziert.; |
Teil 11: Code: SETUP.EXE;D:\OSCDs\OSall\NRMEVOL_DE;Win32.Virut.56;Desinfiziert.; |
Teil 12: Code: sesp21b_de.exe;D:\OSCDs\OS98;Win32.Virut.56;Desinfiziert.; |
Also anhand dessen was Dr Web uns und auch dir zeigt, schließe ich mich Larusso nun noch mehr an, was Format C betrifft. Sichere keine ausführbare Datein, am besten gar keine wenn es geht, auch nicht jpg, mp3 etc. Ändere nach dem erfolgreichen neuaufsetzen deine Passwörter. Merke: eine infizierte Datei die übrig bleibt und aufs frische System gelangt kann zu einer Reinfektion führen. |
Teil 13: Code: ATISETUP.EXE;D:\OSCDs\OS98\DRIVERS\ATIradeon8500-AIW;Win32.Virut.56;Desinfiziert.; |
Teil 14: Code: HH.EXE;D:\Textverarbeitung\OFFICE2k\WINDOWS;Win32.Virut.56;Desinfiziert.; |
Teil 15: Code: KILL_CIH.EXE;D:\Tools\NortonUpdates\w95cih-killer;Win32.Virut.56;Desinfiziert.; |
16. und letzter Teil: Code: A0026948.EXE;D:\System Volume Information\_restore{4336526B-1C7E-4D3D-AF49-7BF62B5366F4}\RP38;Win32.Virut.56;Desinfiziert.; |
zweiter Scan: Code: ndis.sys;C:\OSXP\SYSTEM32\dllcache;BackDoor.Bulknet.417;Desinfiziert.; |
Und mit den diversen Keygens ist auch ein möglicher Grund für die Verseuchung gefunden :D |
denke ich eigentlich nicht, habe seit fast einem jahr keine neuen daten auf den pc kopiert. eigentlich fing alles damit an, dass ich vor kurzem jemandem in meiner abwesenheit gestattet hab, im internet zu surfen. fragt mich bitte nicht, wo der unterwegs war... :killpc: die keygens könnte ich notfalls auch löschen, hatte die nur nach meinem umzug mal gebraucht, weil haufenweise original-software mit den serials verschwunden war und kurz darauf auch noch die hdd mit den installationsdateien verreckt ist. hab mir aber mittlerweile (so wie ich das vor meinem umzug auch hatte) txt-dateien mit entsprechender serial für copy/paste beim setup angefertigt. die keygens hab ich nur mal so zur sicherheit aufgehoben, falls eine txt-datei versehentlich gelöscht wird oder sonstwas ist... wie gesagt, oft gehts da um proggis in älteren versionen, die ich mal hatte und sauschwer zu kriegen sind, weil die teilweise sogar noch aus win98, win95 oder sogar win3.0-zeiten sind. |
Keygens und Cracks, sowie Serials und Warez sind haufenweise verseucht von Malware. Du brauchst dich daher nicht wundern, wieso du ein infiziertes System hast. Ich denke das war alles davor schon, bevor du deinen Kumpel an deinem Rechner gelassen hattest. Ich würde dir zu einer Neuinstallation raten, mit entsprechender Lizenz und Lizenznummer und lizensierter Software. Bei Keygens, Cracks etc. and so on supporten wir sowieso nicht mehr weitere, da dies illegal ist und wir uns nicht der Mithilfe zu Software-Diebstahl schuldig machen möchten. Also System neuaufsetzen, keine Datein mitsichern, Virut ist agressiv und verseucht mittlerweile sogar jpg (Bilder) und Doc (Dokumente). Danach da Virut Backdoor-Eigenschaften hat, Passwörter abändern. |
OK, ich muss jetzt erstmal ne woche weg und setze danach neues xp auf, lösche die ganzen keygens und melde mich dann nochmal. danke erstmal bis hierhin... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:25 Uhr. |
Copyright ©2000-2024, Trojaner-Board