[Dark Eisloch]

Nun hat es mein Windows 7 auch erwischt. Gestern öffnete sich ein Popup das mir so ein fiesen Wurm installierte. Mein Antivir sprang an, konnte ihn aber nicht löschen.
Mein RAM wurde dadurch wohl so belastet das der PC abstürzte.
Nach dem neustart kam dan so ein Windows Recovery Fenster, welches mir zig angebliche Fehler anzeigte. Das ist aber auf keinen Fall von Windows, und dieses Recovery Fenster lässt sich auch nicht schließen.
Im hintergrund lastet dieses Programm mein PC auch so extrem aus, das der PC abstürzte.
Auf der anderen Partition hab ich zum Glück noch XP und kann Fehlerfrei surfen, aber dieser Virus hat sich so in Win7 eingefressen, das ich Win7 eigendlich momentan nicht mehr nutzen kann.

Mit Avast hab ich nun die Win7 Partition überprüft, aber ohne ergebniss. In Win7 kann ich ja leider nix mehr machen
Leider hab ich auch keinen Wiederherstellungspunkt für die Win7 DVD, somit muss ich nun versuchen über XP den Virus zu beseitigen (leider weiss ich nicht welcher das ist, weil er mir mein Antivir, Taskmanager etc deaktiviert hat).

Hat jemand eine Idee, wie ich vorgehen kann, ohne das ich gleich alle Daten von der großen Win7 C: Partition löschen muss?

[ckjthedogmaster]

Hast du denn noch mit Windows 7 Zugriff?

dann musst du folgende Einträge suchen und löschen:

Löschen Windows Recovery-Dateien:
%TEMPDIR% [zufällige]
%TEMPDIR% [zufällige].exe
%TEMPDIR% dfrg
%TEMPDIR% dfrgr
%Desktop% Windows Recovery.lnk
%Programme% Windows Recovery
%Programme% Windows Recovery Windows Recovery.lnk

Löschen Windows Recovery Registrierungseinträge:
HKCU Software Microsoft Windows CurrentVersion Run "[zufällige]"
HKCU Software Microsoft Windows CurrentVersion Run "[zufällige].exe "

Mfg

[Dark Eisloch]

Zugriff hab ich noch, aber extrem langsam. Hatte das schonmal bei einen Kumpel mit XP, da reichte es auch aus, das ich die Registry im abgesicherten Modus bearbeitete.
Hab jetzt mal den Spyware Terminator (in XP) rüberlaufen lassen und werde gleich mal testen ob Win7 immer noch muckt

edit:
bis jetzt kein Erfolg, gehe nun nach dieser Anleitung vor
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Man dauert das lange, in der zwischenzeit hab ich schonmal die Reg Einträge gelöscht. Dieser Trojaner ist so dreist, es werden mir grade nichtmal mehr die Dateien auf C: angezeigt und ich kann die Dateien daher nicht manuell löschen. Bin mal gespannt was gleich der neustart macht

[casi1991]

Hey,
habe gerade nach oben stehender Anleitung von ckjthedogmaster den Virus entfernen können. (zumindestes ist der Rechner wieder vollständig nutzbar ohne sichtbare Fehler)

Ich bin folgendermaßen vorgegangen:
-Registry-Einträge löschen (hast du ja anscheinend auch schon gemacht)
-neustart
-Auf meine Festplatte (in dem Fall Laufwerk C:\) gegangen und in den Ordneroptionen "verstecke Elemente einblenden" eingestellt.
(das musst du in jedem Ordner machen, indem keine Daten angezeigt werden)

und dann einfach nach den oben angegebenen Dateien suchen, diese Löschen, dann neustart und schon dürfte es wieder klappen.

Gruß,
casi1991

[go72]

hey,

wie finde ich die recovery-dateien und die recovery registrierungseinträge ?

danke schonmal

go72

[go72]

hey

also ich hab nun mein windows 7 zurückgesetzt und nun kommt die fehlermeldung nicht mehr,
alle dateiein und ordner sind jedoch immer noch *versteckt*
hab nun alle wieder zurückgesetzt und ja. meldungen kommen bei mir nun wegn festplatte & co keine mehr.
reicht das oder ist der virus immer noch irgendwo im hintergrund?

[BL4CK_TITAN]

Einmal bidde HitMan Pro durchlaufen lassen, der findet die schlimmsten Viren und Trojaner sofort...

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[BL4CK_TITAN]

Einmal bidde HitMan Pro durchlaufen lassen, der findet die schlimmsten Viren und Trojaner sofort...

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Edit: FAIL Doppelpost?!

[goodkat44]

Böser Trojaner, hat mir mein ganzes System beschädigt, viele Anwendungen funzen nich mehr oder werden nich erkannt!

würde jedem empfehlen das System wieder neu aufzusetzen.

[willinero]

Hallo,

ich habe u. a. Registrierungseinträge gelöscht
-Neustart
- im Windows Explorer alle Dateien anzeigen lassen
- Systemwiederherstellung einen entsprechenden Wiederherstellungspunkt gewählt
- Wiederhergestellt

nach der Wiederherstellung war alles sauber. Habe vorsichtshalber noch den Malwarebytes drüberlaufen lassen - ohne Funde.

Danke!!

Zitat:

Zitat von ckjthedogmaster

Löschen Windows Recovery Registrierungseinträge:
HKCU Software Microsoft Windows CurrentVersion Run "[zufällige]"
HKCU Software Microsoft Windows CurrentVersion Run "[zufällige].exe "

[SeAs2]

Hallo,

Ich brauche dringend Eure Hilfe. Ich habe die angegebenen Sachen gemacht, doch bei mir ergibt die Suche keine Ergebnisse, obwohl alle versteckten Dateien angezeigt werden. Was muss ich jetzt machen?

Vielen lieben Dank schonmal

[Musti48]

Zitat:

Zitat von SeAs2

Hallo,

Ich brauche dringend Eure Hilfe. Ich habe die angegebenen Sachen gemacht, doch bei mir ergibt die Suche keine Ergebnisse, obwohl alle versteckten Dateien angezeigt werden. Was muss ich jetzt machen?

Vielen lieben Dank schonmal

Installier dein Windows neu und das Ding ist weg.
Hat auch bei mir geklappt.

[bierjoern]

Hallo! ich hab das selbe Problem. ich glaub ich werd das system neu aufsetzen. vorher wollte ich aber noch ein paar daten sichern, aber es sind halt alle dateien verschwunden.
irgendwie blick ich nicht, wie ich die wieder sichtbar machen kann... bin auf vista.

[ckjthedogmaster]

Bin nur kurz on, deswegen verweise ich dich jetzt mal
auf folgenden Link:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

und

nochmal zur Entfernung eine vollständige Auflistung:

Zitat:

Für Xp

%AllUsersProfile%\Application Data\~<zufällig>
%AllUsersProfile%\Application Data\~<zufällig>r
%AllUsersProfile%\Application Data\<zufällig>.dll
%AllUsersProfile%\Application Data\<zufällig>.exe
%AllUsersProfile%\Application Data\<zufällig>
%AllUsersProfile%\Application Data\<zufällig>.exe
%UserProfile%\Desktop\Windows Recovery.lnk
%UserProfile%\Start Menu\Programs\Windows Recovery\
%UserProfile%\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
%UserProfile%\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk

In Hijackthis:

O4 - HKCU\..\Run: [<zufällig>.exe] %AllUsersProfile%\Application Data\<zufällig>.exe
O4 - HKCU\..\Run: [<zufällig>] %AllUsersProfile%\AppData\<zufällig>.exe


Für Vista und Win 7

%AllUsersProfile%\~<zufällig>
%AllUsersProfile%\~<zufällig>r
%AllUsersProfile%\<zufällig>.dll
%AllUsersProfile%\<zufällig>.exe
%AllUsersProfile%\<zufällig>
%AllUsersProfile%\<zufällig>.exe
%UserProfile%\Desktop\Windows Recovery.lnk
%UserProfile%\Start Menu\Programs\Windows Recovery\
%UserProfile%\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
%UserProfile%\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk

In Hijackthis:

O4 - HKCU\..\Run: [<zufällig>.exe] %AllUsersProfile%\<zufällig>.exe
O4 - HKCU\..\Run: [<zufällig>] %AllUsersProfile%\<zufällig>.exe

Generelle Einträge in die Registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "<zufällig>.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "<zufällig>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings "CertificateRevocation" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings "WarnonBadCertRecving" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ActiveDesktop "NoChangingWallPaper" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Associations "LowRiskFileTypes" = '/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Attachments "SaveZoneInformation" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System "DisableTaskMgr" = '1'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system "DisableTaskMgr" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'yes'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced "Hidden" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced "ShowSuperHidden" = 0'

[tost17]

Hallo,

ich hab den windows xp recovery virus jetzt zum glück komplett runter vom pc denke ich. hat mit diesem hitman pro gut funktioniert!

mein problem ist jetzt nur wie ich all meine dateien wieder sichtbar machen kann. habs schon bei den ordneroptionen versucht, da hat sich aber nicht viel geändert. unhide.exe hat nur einen teil meiner dateien wieder sichtbar gemacht, also was kann ich jetzt noch tun?

danke schonmal für eine antwort!

[ckjthedogmaster]

mmmh,


ich habe dir ne Reg geschrieben, füge diese zur Registry.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Inhalt der Reg- Datei:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden]
"Text"="Versteckte Dateien und Ordner"
"Type"="group"
"Bitmap"="C:\\WINDOWS\\system32\\\\SHELL32.DLL ,4"
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVe rsion\\Explorer\\Advanced"
"Text"="Versteckte Dateien und Ordner ausblenden"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVe rsion\\Explorer\\Advanced"
"Text"="Alle Dateien und Ordner anzeigen"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

Dann musst du eben schauen, ob du die Dateien wieder findest.

Mfg

[tost17]

ich hab leider keine ahnung von pc's

was ist denn diese registry und wo finde ich die? ich wollte es mir eigentlich leicht machen und das system einfach auf nen zeitpunkt vor dem virenbefall zurück setzen, aber da mir die dafür erforderlichen ordner fehlen geht das leider auch nicht...

[ckjthedogmaster]

Du klickst oben auf Download und lädt'S die Datei runter, entpackst und machst auf die entpackte Datei einen Doppelklick.

Dann fragt er, ob er die Einträge zur Registry hinzufügen soll, dann auf ja oder ok...

Danach sollten die Ordner sichtbar sein.

Mfg