|
Hi ich habe gerade ( noch nicht im abges. Modus ) die Services nach etwas verdächtigem durchsucht. Es war aber rein garnichts zu finden ( Weder srosa, noch Megadrv o.ä.) auch alle anderen Services ohne oder mit mir nicht bekannter Beschreibung waren nicht mit dem Übeltäter verbunden. Sollte ich jetzt einfach entsprechend deiner Beschreibung weiter unten fortfahren? Das Problem mit combofix ist ja, das mein Rechner scheinbar nicht mehr mit den .com Dateien umzugehen weiß die Combofix wahrscheinlich temporär entpackt und benötigt. :headbang: |
Hi, auf test.exe umbenennen (Combofix)... Blacklight hat die Dateien angezeigt, ich wette sie sind da (oder hat Blacklight es tatsächlich geschafft?) Das ist seltsam... Probiere es auf jeden Fall im abgesicherten Modus... Falls Avenger oder Killbox laufen sollte, kann ich Dir dafür ebenfalls einen "Blindflug" zusammenstellen... Avenger: avenger.zip - The Avenger Killbox: Killbox - Pocket KillBox oder WinTotal - Software - KillBox chris Avenger-Script (abgesicherter Modus): Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten |
Für den Fall, dass meine Anmerkung überlesen wurde: Hier ist die Wiederherstellungskonsole das Werkzeug der Wahl. Alle Versuche im abgesicherten Modus sind unkontrollierter Blindflug. Konsole starten und die Funde löschen. Dauer 2 min. Wenn es so nicht funktioniert, funktioniert es mit den anderen Tools erst recht nicht. Marc |
Das Problem bei Combofix ist das die Combofix.exe selber startet, dann aber im Prozess des entpackens die Datein nircmd.com benötigt die der Rechner offenbar nicht öffnen kann. Er entpackt das Ganz in einen kryptisch benannten Ordner nach c: sobald ich die nircmd.com in .exe umbenne startet sie aber ich weiß weiter leider auch nichts damit anzufangen bzw. welche exe ich im Combofix Ordner nun öffnen sollte. Edit: @Marc -> Die Konsole habe ich wegen einer Warnung das sie durch Viren befallen werden kann irgendwann mal deaktiviert. Ich glaube also nicht das ich Wiederherstellungspunkte habe. |
Zitat:
Lies Dir die verlinkte Seite durch. Marc |
Ah Entschuldige Marc ! Habe sogar schonmal damit gearbeitet ist nur Ewigkeiten her. Dafür bräuchte ich dann aber eine Windows-CD um die Konsole zu starten oder ? @Chris: Beim Versuch in den abges. Modus zu kommen, kommt ein kurzer Bluescreen und der Rechner startet wieder im Normalmodus.. Scheinbar hat aber UnHackme zumindest die srosa Datei gelöscht und zeigt nur noch den Hldrrr.exe Befall an. Edit: Korrigiere hat sich scheinbar nur vertan die Wintems Datei ist noch da. Vielleicht habe ich auch etwas falsch gemacht und nicht beide zum löschen beim reboot eingetragen ? |
Hi, Abgesicherter Modus wiederherstellen: Downloade SafeMode Repair.zip http://www.hijackthis-forum.de/attac...2&d=1187631899 entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den abgesicherten Modus auf. Habe mich eh gewundert das Du noch in den abgesicherten Modus reingekommen bist... Es besteht die akute Gefahr, das Dein System immer weiter zerlegt wird, vielleicht ist es besser die XP-CD zu besorgen (oder Knopix) und dann weiter zu machen (wie von Marc empfohlen)... Chris Ps.: Fahre jetzt nach hause... Oh, und noch was, combofix ist ein selbstextrahierende EXE, d. h. man müsste sie mit ZIP öffnen und auspacken können... |
Zitat:
Ich bin mir nicht sicher, welche Einschränkung die Testversion von Bluecon hat - irgendwas fieses war's. Ansonsten wäre es durchaus einen Versuch wert. Marc P.S.: im schlimmesten Fall eine Linux Live CD herunterladen, Augen zu und die Dateien auf der Windowspartition löschen. Danach Windows booten und den Rest bereinigen. |
Ok der abgesicherte Modus geht wieder. Vielen Dank ! Sollte ich einen der Lösungswege weiter unten ausprobieren jetzt wo ich wieder Zugriff habe ? Avenger z.b. konnte ich leider nicht verwenden als ich so gebootet hatte. Die Wiederherstellungskonsole ist auch aufgeführt im Bootmenü oder ? Habe gerade dummerweise nicht darauf geachtet. |
Zitat:
Marc |
Ok d.h. ich schreibe z.b. cd C:\WINDOWS\system32\drivers del hldrrr.exe und für die ordner ? deltree ? oder auch einfach cd C:\WINDOWS\system32\ del down :) Muss mich da erstmal wieder reindenken |
Zitat:
Code: attrib del fixboot more setCode: del /F /S /Q C:\WINDOWS\system32\drivers\hldrrr.exeCode: attrib -s -r -h C:\WINDOWS\system32\drivers\hldrrr.exe |
So nach einigen Versuchen musste ich leider feststellen das ich nur einen bluescreen zu sehen bekomme bei dem Versuch die Wiederherstellungskonsole zu starten. Denke ich werde wohl oder übel schnellstmöglich den Rechner neu aufsetzen müssen. Falls noch jemand eine Idee hat wäre ich überaus dankbar. Ansonsten vielen Dank für die bisherigen Posts ! |
Zitat:
Marc |
Was du an Daten sichern kannst -sofern notw.- solltest du sichern. Das Problem bei einem derart zerschossenen System ist, dass nach dem Einsatz von Reinigungstools u.U. gar nichts mehr geht. Was ist mit Marc's Vorschlag einer Live-CD? (Ich werfe noch mal den ERD Commander in die Runde) Icesword funktioniert nicht, auch nicht nach Umbenennung? Wie siehst aus mit gmer? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board