Hey Leute!
Ich hab ne ziemlich dickes Problem.
Bei mir wurden folgende Dateien mit Trojanern infiziert: ramsys.exe, win2k2.exe, cmd32.exe, ms spool32.exe.
Nun leider Gottes konnte ich mit Norton keine einzige Datei reparieren, sie mussten isoliert und gelöscht werden.
Jetzt hab ich beim Start immer die entsprechende Fehlermeldung das diese Dateien fehlen.
Trotzdem ist er nach 5 min Startzeit komplett Einsatzfähig.
Ich will mit der XP Recouvery CD diese Dateien wiederherstellen. Jedoch bricht er die Installation von XP immer nach dem 1. Neustart ab.
Könnt ihr mir helfen?????

mal 2 kleine fragen, machst du komplette neuinstall mitformatieren oder nur einfach reperatur?

die nächste hast du veränderungen am system vorgenommen, ich mein tools wie xpantispy oder ähnlich?

Ich will ne Reperatur machen und tools hab ich mal benutzt aber alle Einstellungen wieder zurückgesetzt und das tool gelöscht.
Mit Updates kann ich auch nicht die Dateien wiederherstellen.

dann sicher den ordener dokumente und einstellung, sowie alles was du noch brauchst, formatier die windows partition und mach ne komplette neuinstallation

Hinzu möchte ich noch bemerken, dass "ms spool32.exe" und die anderen Trojaner und keine Windows-Dateien sind.

Oh nee...
geht das nicht irgendwie anders?
Also kann ich alles wichtige auf ne andere Platte ziehen und dann die andere formatieren und installieren.

Startet Windows noch, dann entferne zunächst die ms spool32.exe.
Ebenso den zugehörigen Registry-Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run löschen. Genauso
HKEY_LOCAL_MACHINE\SOFTWARE\AUFOBK
HKEY_LOCAL_MACHINE\SOFTWARE\AUFOBK\eu%t{efn74+fzb

Dieser Trojaner unterläuft Firewall und Virenschutz.
Melde Dich wenn Du soweit bist, dann versuchen wir Windows zu reparieren (sollte gehen, solange es startet). Neuinstallieren kannst du immer noch. :)

Na ja, Norton hat ms spool gesichert, ich werds mal versuchen...

Wo finde ich die Einträge genauer? Im Windowsordner find ich sie nicht!

Okay, NAV sollte alle drei Dateien entfernt haben, denn sie sind Trojaner bzw. gehören dazu. Jetzt sind aber noch deren Registry-Einträge übrig, deshalb die Fehlermeldung. Alles was Du jetzt (aber vorsichtig) machen mußt, ist die Registry-Einträge löschen, dazu Start/Ausführen "regedit" - ohne "" - eingeben und auf OK klicken. Der Registrierungs-Editor öffnet sich. Jetzt auf Bearbeiten/Suchen und den Namen der jeweiligen Datei (z.B. cmd32.exe) eingeben und danach die ganze Registry absuchen. Entferne dabei alle Einträge/Schlüssel, in dem dieser Name vorkommt. Die Registry ist das Innerste von Windows, Du kannst sehr viel kaputt machen. Vorsicht!

Also von alles Dateien die infiziert sind ja?
Ich werds versuchen.

Von der ms spool.exe, cmd32.exe und win2k2.exe.

Ich habs gemacht.
Bei der Suche nach ms spool kamen so einige Dateien...
Ich hab sie alles gelöscht.
Mal sehen was daraus wird.

er will nur noch cmd32.exe haben
alle anderen sind gelöscht
ich hab immer noch ein problem, dass er mir am anfang immer ne blaue startleiste zeigt, die sich erst nach der fehlermeldung sehr schleppend aufbaut.
Außerdem noch was ganz anderes.
Ich hab versucht Windows XP neu zu installieren, wie schon gesagt, beim Systemstart will er immer noch sofort die Installation starten, obwohl das gar nicht mehr aktuell ist.
Wie krieg ich das wieder weg?

Ich bin soweit das ich den Autostart der Installation von Windows der boot.ini gelöscht habe, habe aber immer noch ein ähnliches Problem. Wo muss ich die Daten noch löschen außer in der Boot.ini?

He Leutz,
ich glaub ich hab das schlimste überstanden.
Es fehlen nun die Fehlermeldungen zum Anfang und die Startleiste ist auch wieder sofort da.
Jetzt ist nur noch das mit der Installation...

Aber das krieg ich auch noch hin.
Meinen besten Dank an Joe!
Hast mir echt geholfen!
Leider weiß ich keine andere Wiedergutmachung als nicht alzu oft auf eure Seite zu kommen damit euer Server nicht alzu ausgelastet ist...
Kleiner Scherz!
Also Joe besten Dank!!!!!!
Mfg

ich kenn was..
sinnvolle einträge schreiben und damit anderen usern helfen, dann haben joe usw. nich so extrem viel zu tun und können schneller und umfassender helfen.
yeah :)

Nur mal ein Tip am Rande. Wenn du schon weisst das du dir einen Trojaner eingefangen hast dann sieh zu das du deine Festplatte auch formatierst. Ich würde das nur in einem Fall nicht machen. Ich weiß wie das Ding heißt und finde bei Symantec ne Prozedur wie ich den wieder entfernen kann. Norton wagt sich oft nämlich nicht an die Registry ran. Wenn Norton das Ding auch noch nicht kennt, kannst du dir so gut wie sicher sein das dein Trojaner mit der Isolation der infizierten Dateien nicht vollständig entfernt wurde. Das du Windows XP benutzt kommt noch erschwerend hinzu. Schreibt sich der Trojaner erstmal in den Ordner dllcache dann bekommst du mit Windows arge Probleme beim entfernen. Dann bringt dir das Löschen der Dateien auch nicht viel denn Windows selbst stellt die Dateien aus dem dllcache automatisch wieder her wenn sie entfernt wurden. Außerdem wenn du dir deine Programme auf ne andere Festplatte zeihst hat das ja nicht viel Sinn denn deren Registry Einträge sind weg wenn du Windows neu installierst. Also werden sie auch nicht richtig funktionieren. Naja mein Fazit: Wenn man sich nicht 100%tig sicher ist das der PC wieder völlig unberührt ist dann muss man es leider in Kauf nehmen ihn zu plätten...

MFG

Lev

Willst du damit sagen, dass Norton unzuverlässig arbeitet?
Gibt es vielleicht ein Program was mehr weiß als Norton?
Nun ja, wenn ich noch einen Trojaner hätte, müsste der Hacker doch erst mal Verbindung mit meinem Computer aufnehmen, und diese Verbindung wird doch von Norton automatisch geblockt!

Nun ja ,Norton ist ein gutes Programm ,aber nicht perfekt. Ich lasse auch 2 Programme synchron laufen. Das verbraucht zwar kapazität aber mein PC ist ne Festung.

Wenn du mir noch sagst welche du am laufen hast, gibts schon 2 Festungen im Network!

H+BEDV AntiVir Personal Edition- Guard 9x
und Zone Alarm Standard.Wenn man die in bisschen bearbeitet und im IE die Sicherheitseinstelungen verschärft kommt nix mehr an den PC ohne das du das mitkriegst.
Hier noch die Adressen:
AntiVir http://www.free-av.de/ einfach auf Download gehen und den Lizenzbestimmungen oben zustimmen. Ich würde den aber mal Updaten (nach der Insatllation is unten rechts ein kleines rotes Symbol. Rechhtsklick dann auf Internet Update starten und den Start Button klicken)
ZoneAlarm http://www.zonelabs.com/store/application;jsessionid=2rbUCAG22aQ8EUtWd1w8Jv0XzimcW6VjK3hDe4S5gXpVkvtlHy9M!-501492840!-1062696905!7551!7552!-1532359967!-1062696903!7551!7552?namespace=zls_main&origin=global.jsp&event=link.skuList&&zl_catalog_view_id=201&lid=nav_db] einfach etwas runterscrollen und dort Zone Alarm Free Download anklicken.
Das mit den einstellungen im IE is etwas komplizierter. Vielleicht ein andermal.
ZoneAlerm [

Danke!
Ich werds bei gelegenheit mal ausprobieren!

ich hatte ja auch ein virus und dachte jetzt wäre alles weg doch ich habe mal im taskmanager nachgeguckt und da ist ne datei die "spoolsv.exe" heißt ist das auch ein trojaner?

Such sie doch einmal.
Wenn sie im Windows System Ordner liegt und im Taskmanager unter deinen Namen läuft ist es ne Datei die nicht benätigt wird zb. ein Trojaner.
Such doch auch mal in der regedit nach der Datei!