Backdoorprogramm BDS/ProRat.19.i !!!!!

13Antworten
  1. #1
    Avatar von
    Themen Starter

    Standard Backdoorprogramm BDS/ProRat.19.i !!!!!

    Hi leute ich brauch dringend mal hilfe ...
    wie bekomme ich diesen Virus vom PC ohne zu formatieren ?
    Also mein AntiVir löscht ihn nicht ...
    A² AntiVir kann ihn auch nicht löschen , genauso wenig wie TuneUp über die Shredder Funktion ...
    Per hand ist das ding auch nicht löschbar !
    Er hat bei mir 3 Dateien im Sys32 ordner befallen
    service.exe
    winkey.dll
    reginv.dll

    nur wie bekomm ich das ding vom pc ?
    danke schonmal im voraus !
    mFg
    X

  2. #2
    Avatar von El Supremo
    El Supremo ist offline

    Title
    Benutzer
    seit
    18.01.2005
    Ort
    Ilsfeld, Lkr. Heilbronn, BW
    Beiträge
    1.552

    Standard

    du kannst mal deinen rechner im abgesicherten modus starten und von dort aus versuchen, die dateien los zu werden. im normalen modus geht das wahrscheinlich deshalb nicht, weil das backdoorprogramm automatisch beim start von windows gestartet wird und daten, die verwendet werden, ja nicht gelöscht werden können.

  3. #3
    Avatar von
    Themen Starter

    Standard

    hab ich schon probiert , im abgesichert modus sind die immernoch nicht löschbar !
    es gibt ein tool dafür diese SophosAntivir oder so aber die finde ich niergendwo als freeware die musste überall kaufen oder zumindest registrieren und die registration kostet was !
    das ist das prob !

  4. #4
    Avatar von El Supremo
    El Supremo ist offline

    Title
    Benutzer
    seit
    18.01.2005
    Ort
    Ilsfeld, Lkr. Heilbronn, BW
    Beiträge
    1.552

    Standard

    durch irgendeinen autostarteintrag muss das programm ja gestartet werden; hast du deinen autostartordner mal kontrolliert oder geschaut, ob service.exe vielleicht in msconfig unter systemstart aufgeführt wird? wenn der prozess dort erscheint, kannst du mal das häkchen bei ihm rausnehmen, also dein system einfach mal ohne ihn starten und dann nochmals versuchen, die dateien zu entfernen.
    du kannst auch einen scan mit hijackthis machen und die logfile hier ins forum kopieren.
    hijackthis samt anleitung gibts von dirk hier

  5. #5
    Avatar von
    Themen Starter

    Standard

    also , im autostart bei msconfig steht er nicht drin aber hijack zeigt ihn an , hab ihn jetzt blockieren lassen , aber ich kann die datei immernoch nicht löschen !

  6. #6
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    poste doch mal dein komplette HijackThis Logfile hier. Dann können wir mal gemeinsam schauen....

  7. #7
    Avatar von
    Themen Starter

    Standard

    Logfile of HijackThis v1.99.1
    Scan saved at 13:31:48, on 24.07.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\services.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\Programme\ICQLite\ICQLite.exe
    E:\Programme\Winamp\winamp.exe
    E:\Programme\Mozilla\firefox.exe
    C:\Dokumente und Einstellungen\EscApE dC.ESCAPE\Desktop\Programme\HijackThis.exe

    R3 - URLSearchHook: (no name) - _{1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
    R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
    O2 - BHO: ohb Class - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\System32\nsb50.dll
    O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.ht m
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b31267.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - https://static.windupdates.com/cab/62479 ... dge-c9.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - https://messenger.zone.msn.com/binary/Mi ... b31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - https://security.symantec.com/sscv6/Shar ... vSniff.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://spaces.msn.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - https://security.symantec.com/sscv6/Shar ... /cabsa.cab
    O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - https://static.topconverting.com/activex/download.ocx
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b31267.cab
    O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - https://advnt01.com/dialer/internazionale_ver4.CAB
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - https://messenger.zone.msn.com/binary/ZI ... b32846.cab
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

  8. #8
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also du bist sehr unvorsichtig. Du solltest auf jeden Fall dein Windows mal auf den neuesten Stand bringen....

    Vorher aber folgende Einträge fixen ( beheben ):

    R3 - URLSearchHook: (no name) - _{1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) - Böse
    R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) - Böse
    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) - Böse
    O2 - BHO: ohb Class - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\System32\nsb50.dll - Unbekannt
    O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file) - Böse
    O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.ht m - Böse
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll - Böse
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - https://static.windupdates.com/cab/62479 ... dge-c9.cab - Böse
    O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - https://static.topconverting.com/activex/download.ocx - Böse
    O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - https://advnt01.com/dialer/internazionale_ver4.CAB - Böse
    Danach den Rechner im abgesicherten Modus starten und die gefixten .dll und .exe Dateien komplett löschen. Solltest du diese Dateien nicht sehen, einfach im Windows Explorer unter Extras - Ordneroptionen - Anicht das Häckchen bei Geschützte Systemdateien anzeigen entfernen und bei Alle Dateien und Ordner anzeigen ein Häckchen machen...

    Anschließend gleich noch eine Datenträgerbereinigung durchführen um temporäre Dateien und temporäre Internetdateien zu löschen.

  9. #9
    Avatar von
    Themen Starter

    Standard

    Hi leute,

    Habe seit heute auch diesen komischen wurm; Backdoorprogramm BDS/ProRat.19.i !!!!! drauf!

    So einscheß

    Weiß ja nicht wie der wurm sich bei anderen so auswirkt, bei mir is das so das meine firefox und inet explorer ca 2 min brauchen um seine seite zu öffen! Lade ich aber ein file herunter z.B. mit einem lecher (LeechEx) lade ich das file mit normalen 200 K/bits herunter!

    Ich hab auch norten Antivirus 05 und Norten Personanl Firewall 05 daruf hillt aber nichts! Hab ntülichauch antivir! Beide könen diesen scheiß wurm aber nicht löschen! So weit ich weiß ist er bei mir in C:\Windows\system32\fservice.exe!

    Wie kann ich den loswerden so das ich wieder normal surfen kann?

    Bitte ganz doll um hilfe!

    Danke euch schon im vorraus!

  10. #10
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Lade dir zuerst einmal diese Patches von Microsoft. Ohne die hat eine Reinigung wenig Wert.

    MS04-011
    MS04-012
    MS05-039

    Hier findest du Informationen zur Beseitigung des Trojaners:

    https://www.sophos.de/virusinfo/analyses ... orati.html

    Schöne Grüße
    Nikki

  11. #11
    Avatar von
    Themen Starter

    Standard

    Hab das selber problem !!! Im system32 mit dem Backdoorprogramm BDS\Poe Bot.B.9 ! Hab PC schon 4 ma formatiert und nix war !!Könnt ihr mir helfen ?? Wenn ja bitte genau anweisungen da ich kein PC experte bin sondern nur en PC Gamer ^^

  12. #12
    Avatar von
    Themen Starter

    Standard Killer4you

    Hier hab das auch mal gemacht


    Logfile of HijackThis v1.99.1
    Scan saved at 21:16:31, on 22.09.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Killer4you\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dirks-computerecke.de/forum/ ... 10319.html
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

  13. #13
    Avatar von
    Themen Starter

    Standard

    NOCH EIN FEHLER

    PC Herunterfahren !!! NT-AUTORITÄT\System wurde ausgelöst!!!

    Die datei .....system32/lsass.exe beendet mit statuscode128 !!

    Ich brauch hilfe mein PC ist im eimer

  14. #14
    Avatar von El Supremo
    El Supremo ist offline

    Title
    Benutzer
    seit
    18.01.2005
    Ort
    Ilsfeld, Lkr. Heilbronn, BW
    Beiträge
    1.552

    Standard

    also das logfile ist sauber, nur dein IE ist veraltet. aber kann es sein, dass das nicht dein VOLLSTÄNDIGES logfile ist?!
    und das ganze rund um NT-AUTORITÄT wird ja in dem andern thread geklärt....

Ähnliche Themen

  1. Backdoorprogramm Trojaner?

    Von nik_aker im Forum sonstige Hardware
    Antworten: 11
    Letzter Beitrag: 22.01.2007, 19:10
  2. Backdoorprogramm BDS/optix.Bl

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 09.10.2005, 10:42
  3. Backdoorprogramm BDS/Poe Bot.B.9 mit NT-AUTORITÄT/System feh

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 1
    Letzter Beitrag: 23.09.2005, 13:17

Benutzer, die dieses Thema gelesen haben: 0

Derzeit gibt es keine Benutzer zum Anzeigen.
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz