Backdoorprogramm BDS/ProRat.19.i !!!!!
Hi leute ich brauch dringend mal hilfe ...
wie bekomme ich diesen Virus vom PC ohne zu formatieren ?
Also mein AntiVir löscht ihn nicht ...
A² AntiVir kann ihn auch nicht löschen , genauso wenig wie TuneUp über die Shredder Funktion ...
Per hand ist das ding auch nicht löschbar !
Er hat bei mir 3 Dateien im Sys32 ordner befallen
service.exe
winkey.dll
reginv.dll
nur wie bekomm ich das ding vom pc ?
danke schonmal im voraus !
mFg
X
du kannst mal deinen rechner im abgesicherten modus starten und von dort aus versuchen, die dateien los zu werden. im normalen modus geht das wahrscheinlich deshalb nicht, weil das backdoorprogramm automatisch beim start von windows gestartet wird und daten, die verwendet werden, ja nicht gelöscht werden können.
hab ich schon probiert , im abgesichert modus sind die immernoch nicht löschbar !
es gibt ein tool dafür diese SophosAntivir oder so aber die finde ich niergendwo als freeware die musste überall kaufen oder zumindest registrieren und die registration kostet was !
das ist das prob !
durch irgendeinen autostarteintrag muss das programm ja gestartet werden; hast du deinen autostartordner mal kontrolliert oder geschaut, ob service.exe vielleicht in msconfig unter systemstart aufgeführt wird? wenn der prozess dort erscheint, kannst du mal das häkchen bei ihm rausnehmen, also dein system einfach mal ohne ihn starten und dann nochmals versuchen, die dateien zu entfernen.
du kannst auch einen scan mit hijackthis machen und die logfile hier ins forum kopieren.
hijackthis samt anleitung gibts von dirk hier
Logfile of HijackThis v1.99.1
Scan saved at 13:31:48, on 24.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\services.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
E:\Programme\Winamp\winamp.exe
E:\Programme\Mozilla\firefox.exe
C:\Dokumente und Einstellungen\EscApE dC.ESCAPE\Desktop\Programme\HijackThis.exe
R3 - URLSearchHook: (no name) - _{1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: ohb Class - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\System32\nsb50.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.ht m
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - https://static.windupdates.com/cab/62479 ... dge-c9.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - https://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - https://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - https://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - https://static.topconverting.com/activex/download.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - https://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - https://messenger.zone.msn.com/binary/ZI ... b32846.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
Hallöchen,
also du bist sehr unvorsichtig. Du solltest auf jeden Fall dein Windows mal auf den neuesten Stand bringen....
Vorher aber folgende Einträge fixen ( beheben ):
Danach den Rechner im abgesicherten Modus starten und die gefixten .dll und .exe Dateien komplett löschen. Solltest du diese Dateien nicht sehen, einfach im Windows Explorer unter Extras - Ordneroptionen - Anicht das Häckchen bei Geschützte Systemdateien anzeigen entfernen und bei Alle Dateien und Ordner anzeigen ein Häckchen machen...R3 - URLSearchHook: (no name) - _{1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) - Böse
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) - Böse
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) - Böse
O2 - BHO: ohb Class - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\System32\nsb50.dll - Unbekannt
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file) - Böse
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.ht m - Böse
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll - Böse
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - https://static.windupdates.com/cab/62479 ... dge-c9.cab - Böse
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - https://static.topconverting.com/activex/download.ocx - Böse
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - https://advnt01.com/dialer/internazionale_ver4.CAB - Böse
Anschließend gleich noch eine Datenträgerbereinigung durchführen um temporäre Dateien und temporäre Internetdateien zu löschen.
Hi leute,
Habe seit heute auch diesen komischen wurm; Backdoorprogramm BDS/ProRat.19.i !!!!! drauf!
So einscheß
Weiß ja nicht wie der wurm sich bei anderen so auswirkt, bei mir is das so das meine firefox und inet explorer ca 2 min brauchen um seine seite zu öffen! Lade ich aber ein file herunter z.B. mit einem lecher (LeechEx) lade ich das file mit normalen 200 K/bits herunter!
Ich hab auch norten Antivirus 05 und Norten Personanl Firewall 05 daruf hillt aber nichts! Hab ntülichauch antivir! Beide könen diesen scheiß wurm aber nicht löschen! So weit ich weiß ist er bei mir in C:\Windows\system32\fservice.exe!
Wie kann ich den loswerden so das ich wieder normal surfen kann?
Bitte ganz doll um hilfe!
Danke euch schon im vorraus!
Lade dir zuerst einmal diese Patches von Microsoft. Ohne die hat eine Reinigung wenig Wert.
MS04-011
MS04-012
MS05-039
Hier findest du Informationen zur Beseitigung des Trojaners:
https://www.sophos.de/virusinfo/analyses ... orati.html
Schöne Grüße
Nikki
Killer4you
Hier hab das auch mal gemacht
Logfile of HijackThis v1.99.1
Scan saved at 21:16:31, on 22.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Killer4you\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dirks-computerecke.de/forum/ ... 10319.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Benutzer, die dieses Thema gelesen haben: 0
Zitieren