|
Hast Du da eine Beschreibung zum Sinowal? Vllt eine eine kurze Erklärung, warum der ein Neuaufsetzen überleben kann? :eek: |
Die Antwort steht bei Dir im Quote Zitat:
Informationen1 Informationen2 Informationen3 |
Danke für die Links! :) Das wird aber ne Zeit brauchen bis ich die gelesen habe, zudem ist jetzt erstmal Essen angesagt... :D Kurz auf den Punkt gebracht: Wie wird man diesen Schädling im MBR los? Wenn bei der Neuinstallation der Schädling überlebt, wie kann man mit ner anderen Maßnahme sicherstellen einen neuen sauberen MBR zu schreiben? fdisk /mbr? fixmbr? Oder muß sogar ein Linux dafür herhalten weils mit Windows (manuell) nicht möglich ist? :confused: Daß man von sauberen Notfallmedien booten muß, dürfte eigentlich klar sein. |
fimbr funktioniert bei der bisheerigen Varianten, BlackLight und Gmer erkennen den Befall, löschen ihn auch. Da Sinwal meist mit andern Schädlingen kommt (Torpig, ZBot) ist ein Neuaufsetzen zu raten. Da man den Befall in den Griff bekommen kann, ist ein Bereinigen aber denoch möglich. |
Ok, danke für die Infos. :daumenhoc Für einen sauberen MBR müssen also fixmbr, Blacklight oder GMER her. Obwohl ich hier eher zu fixmbr tendieren würde. |
Lies Dir allein die Thread hier im Tb durch und Du wirst merken, dass es nicht so einfach ist. |
Zitat:
Wenn man aber nun vor dem Neuaufsetzen in der Wiederherstellungskonsole (von der XP-CD gebootet) nun fixmbr und fixboot ausführt und dann unmittelbar danach neu startet um erneut von der XP-CD zu booten (für das Neuaufsetzen) sollte es doch erledigt sein? :) |
Hallo Zuerst ne Frage: Was hat das Log-file von GMER ausgesagt ? Den Virus hat der Guard gefunden, ich hatte Avira nicht extra laufen lassen und finde auch kein Log-File nur diese Meldung: In der Datei 'C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP295\A0065962.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen So nun hier der Inhalt der Datei: modgreper.txt: Code: ? f7af8000 - f7afa000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYSGruß |
Dein gmer Log sieht furchtbar aus, aber nur weil Schutzprogramme der beste grund fürs Neuaufsetzen sind. Die graben sich auch so fies ins System. Daneben haben wir dann die Reste vom Rustock. Um ein Neuaufsetzen wirs Du nicht herumkommen, allerdings möchte ich die Sinowal Meldung verifiziert haben. Dafür stelle Dein Avira wie hier beschrieben ein und lasse scannen, den Bericht poste hier. |
Hallo, hier der Bericht von Avira: Anmerkung, ich habe allerdings Combofix und die betr. Pfade noch nicht gelöscht, weil er Meldungen aus diesen Pfaden gebracht hat. Code: Gruß |
C:\PTC\Crack.exe Was ist das für ein Ordner PTC? Und was soll das für ne crack.exe sein? Vllt kommt Deine Infektion ja durch diesen Schädling. :balla: |
Nö, die Datei ist müßte in Ordnung sein, die gehört zu einem CAD-Programm und der Ordner auch. Die Datei hat ein Datum vom 28.11.2004 Hab die Datei auch noch scannen lassen, ist in Ordnung. Also, ich danke euch mal recht herzlich. |
Achso. Und Du hast zu dem CAD-Programm gleich den passenden Crack besorgt... :kloppen: Wer dubiose Software einsetzt muß mit solchen Konsequenzen rechnen. |
PTC CoCreate Modeling Personal Edition Die kostenlose Version reicht wohl nicht :headbang: Edit: O.K. Ob es die auch schon 2004 kostenlos gab, hab ich jetzt überhaupt keine Lust nachzusehen, jedenfalls ist diese Version legal! und Du könntest den Crack/sonstigen Mist entsorgen. |
Hallo cad Wie meinst du kann oder soll ich die Datei Crack.exe einfach löschen ??? Hat die Datei was ?? Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board