Hilfe
Neues Thema
Antworten
Hallo
Ich hab seit heute einen virus. die ersten 5 min laufen ganz normal , nur dass ich etwa 20mal realplay.exe im taskmanager hab, dann nach den 5 min hängt der pc und es geht so gut wie nix mehr. leider reichen die 5 min nicht aus um den virusscanner durchlaufen ztu lassen. also bitte was kann ich tun außer winxp neu zu installieren. nach den 5 min werden es auch immer mehr realplay.exe am ende hab ich 80 prozesse und 40 davon realplay.exe
danke schon mal
Seite 1 von 1
Ich Hab Ein Virus
#1
Jake5000 
- Gruppe: aktive Mitglieder
- Beiträge: 45
- Beigetreten: 03. Juli 05
- Reputation: 0
- Interessen:Fussball, Kino , Freunde Counterstrike und seit neustem Battlefield 2
geschrieben 10. November 2005 - 13:52
Nach oben
#2
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.947
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 10. November 2005 - 13:59
Abgesicherten Modus probiert und dann die Platte gescannt?
#3
Saalpi
- Gruppe: aktive Mitglieder
- Beiträge: 371
- Beigetreten: 25. März 05
- Reputation: 0
- Wohnort:NRW
geschrieben 10. November 2005 - 14:02
also mir würde da zu nur einfallen "System wiederherstellung zu einem früherem Zeitpunkt" bevor du dir den virus eingefangen hast. dazu mußt du nur ziemlich genau wissen wann das war. und dir einen wiederherstellungpunkt vor dieser zeit suchen.
allerdings sind die daten die du bis dahin gespeichert hast auch weg.
aber vieleicht hat noch jemand anderes eine bessere idee.
allerdings sind die daten die du bis dahin gespeichert hast auch weg.
aber vieleicht hat noch jemand anderes eine bessere idee.
#4
Chaos
geschrieben 10. November 2005 - 14:08
Kannst ja mal deinen Hijackthis-Log posten.
#5
lolzem88
- Gruppe: aktive Mitglieder
- Beiträge: 531
- Beigetreten: 27. Februar 05
- Reputation: 2
- Geschlecht:Männlich
- Wohnort:RLP - Boppard
- Interessen:Frau, Freunde, Parties, PC
geschrieben 10. November 2005 - 14:08
hi,
ich wuerde auch den abgesicherten modus vorschlagen..
mache außerdem mal ein hijackthis-log.
dann koennen wir dir damit ja evtl auch helfen.
www.hijackthis.de da kriegste das.. ne anleitung zur handhabung sollte da auch vorhanden sein.
edit: danach solltest du per windowsupdate dein system auf den neuesten stand patchen und evtl das script von www.ntsvcfg.de ziehen und mit der option 1 fuer lan ausfuehren.
danach biste schon auf der sichereren seite.
mfg
dmX`
ich wuerde auch den abgesicherten modus vorschlagen..
mache außerdem mal ein hijackthis-log.
dann koennen wir dir damit ja evtl auch helfen.
www.hijackthis.de da kriegste das.. ne anleitung zur handhabung sollte da auch vorhanden sein.
edit: danach solltest du per windowsupdate dein system auf den neuesten stand patchen und evtl das script von www.ntsvcfg.de ziehen und mit der option 1 fuer lan ausfuehren.
danach biste schon auf der sichereren seite.
mfg
dmX`
Dieser Beitrag wurde von dmX` bearbeitet: 10. November 2005 - 14:12
#6
The Dog
- Gruppe: aktive Mitglieder
- Beiträge: 2.131
- Beigetreten: 28. Mai 04
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Kölle am Rhing
geschrieben 10. November 2005 - 14:10
Besorg dir einen Virenscanner der von CD bootet. Sowas empfehle ich ungern. Denn wenn du auf Nummer sicher gehen willst, kommst du um einen Neuinstallation nicht rum. Es wäre aber trotzdem interessant zu erfahren was für ein Virus es ist.
#7
Chaos
geschrieben 10. November 2005 - 14:17
W32/Rbot-NK http://www.sophos.de.../w32rbotnk.html
Der wirds wohl aufgrund der replay.exe sein
EDIT:@Witi Ich war mindestens um 10sec schneller (3 Leute mit der gleichen Idee, warum Jake5000 nicht google gefragt hat)
Der wirds wohl aufgrund der replay.exe sein
EDIT:@Witi Ich war mindestens um 10sec schneller (3 Leute mit der gleichen Idee, warum Jake5000 nicht google gefragt hat)
Dieser Beitrag wurde von Chaos bearbeitet: 10. November 2005 - 14:23
#8
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.947
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 10. November 2005 - 14:17
Ich tippe auf den hier:
http://www.sophos.de.../w32rbotnk.html und im Menü oben auf Erweitert.
Mist...Um wieviele Sekunden war Chaos schneller?
http://www.sophos.de.../w32rbotnk.html und im Menü oben auf Erweitert.
Mist...Um wieviele Sekunden war Chaos schneller?
Dieser Beitrag wurde von Witi bearbeitet: 10. November 2005 - 14:18
#9
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 5.132
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 10. November 2005 - 14:18
Zitat
Durch die W32/Rbot-NK Backdoor-Funktionalität kann ein remoter Eindringling folgende Funktionen starten:
- Zugriff auf eine Webcam
- Erstellen von Bildschirmaufnahmen
- Stehlen von CD-Schlüsseln verschiedener Software
- Aufspüren von Windows-Anmeldedaten auf Windows NT/2000
- Dateizugriff auf dem Hostcomputer
- Senden von E-Mails an andere Hosts
- Herunterladen, Hochladen und Ausführen von Dateien auf dem Hostcomputer
- Starten eines Keylogger
- Schnüffeln im Netzwerkverkehr und Starten von DDoS-Attacken auf bestimmte Ziele
W32/Rbot-NK kopiert sich als realplay.exe in den Windows-Systemordner und erstellt Einträge in der Registrierung an folgenden Stellen, damit er beim Systemstart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Realplayer One: "realplay.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Realplayer One: "realplay.exe"
Wenn er ausgelöst wird, versucht W32/Rbot-NK, den folgenden Registrierungseintrag zu erstellen, um DCOM zu deaktivieren:
HKLM\Software\Microsoft\OLE\EnableDCOM = "N"
W32/Rbot-NK versucht, den folgenden Registrierungseintrag zu erstellen, um den Zugriff auf die IPC$-Freigabe auf dem infizierten Computer einzuschränken:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
- Zugriff auf eine Webcam
- Erstellen von Bildschirmaufnahmen
- Stehlen von CD-Schlüsseln verschiedener Software
- Aufspüren von Windows-Anmeldedaten auf Windows NT/2000
- Dateizugriff auf dem Hostcomputer
- Senden von E-Mails an andere Hosts
- Herunterladen, Hochladen und Ausführen von Dateien auf dem Hostcomputer
- Starten eines Keylogger
- Schnüffeln im Netzwerkverkehr und Starten von DDoS-Attacken auf bestimmte Ziele
W32/Rbot-NK kopiert sich als realplay.exe in den Windows-Systemordner und erstellt Einträge in der Registrierung an folgenden Stellen, damit er beim Systemstart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Realplayer One: "realplay.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Realplayer One: "realplay.exe"
Wenn er ausgelöst wird, versucht W32/Rbot-NK, den folgenden Registrierungseintrag zu erstellen, um DCOM zu deaktivieren:
HKLM\Software\Microsoft\OLE\EnableDCOM = "N"
W32/Rbot-NK versucht, den folgenden Registrierungseintrag zu erstellen, um den Zugriff auf die IPC$-Freigabe auf dem infizierten Computer einzuschränken:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
http://www.sophos.de.../w32rbotnk.html
=> Format C:\
EDIT:
argh, Witi du ...
Dieser Beitrag wurde von ph030 bearbeitet: 10. November 2005 - 14:18
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#10
Jake5000
- Gruppe: aktive Mitglieder
- Beiträge: 45
- Beigetreten: 03. Juli 05
- Reputation: 0
- Interessen:Fussball, Kino , Freunde Counterstrike und seit neustem Battlefield 2
geschrieben 10. November 2005 - 14:20
erst ma danke für die ganzen vorschläge !
also es sieht so aus nach einigen neustarts hab ich realplayer deinstalliert und einige dateien die zu dem progamm gehören gelöscht nun sind schonmal die exe-dateien aus dem taskmanager
aber ich bin mir jetzt nicht sicher obs das war und der virus endgültig weg ist, wär ja ein bisschen zu einfach oder?
also es sieht so aus nach einigen neustarts hab ich realplayer deinstalliert und einige dateien die zu dem progamm gehören gelöscht nun sind schonmal die exe-dateien aus dem taskmanager
aber ich bin mir jetzt nicht sicher obs das war und der virus endgültig weg ist, wär ja ein bisschen zu einfach oder?
Dieser Beitrag wurde von Jake5000 bearbeitet: 10. November 2005 - 14:21
#11
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 5.132
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 10. November 2005 - 14:23
Zitat
aber ich bin mir jetzt nicht sicher obs das war und der virus endgültig weg ist, wär ja ein bisschen zu einfach oder?
Daraus folgt, dass du deinem Rechner nicht mehr vertraust, was einzig und alleine eine komplette Neuinstallation als sinnvolle Handlung übrig lässt.
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#12
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.947
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 10. November 2005 - 14:24
Wie gesagt...aktualisiere deinen Virenscanner und lass ihn über deine Platte laufen.
Wenn er nichts finden sollte (was ich nicht glaube), würde ich behaupten, du hast Glück gehabt. (Vielleicht hatte wirklich einfach nur der Realplayer ne Macke gehabt)
Wenn er aber den o.g. Virus findet...wie schon gesagt -> Formatieren und neu aufsetzen.
Wenn er nichts finden sollte (was ich nicht glaube), würde ich behaupten, du hast Glück gehabt. (Vielleicht hatte wirklich einfach nur der Realplayer ne Macke gehabt)
Wenn er aber den o.g. Virus findet...wie schon gesagt -> Formatieren und neu aufsetzen.
Thema verteilen:
Seite 1 von 1