Immer wiederkehrender "BraveSentry"-Trojaner

Entschuldigung vielmals! aber hier der link:

http://www.hijackthis.de/logfiles/54fcb7aab65a9711b480dd78f1ed5982.html

 

Hallo,
sieht ja übel aus, das System hat noch nie ein Update gesehen
Jetzt überprüfst du die Dateien alle nochmal, aber vorher beendest du sie im Taskmanager.
Und poste mal bitte die IPs aus den O17 Einträgen.


Grüße Jasager

 

hallo,

wie ich bereits im ersen posting von mir erwähnt habe, lässt sich der Task-Manger nicht öffnen.

Hier die O 17 Auswertungen (is da die Ip adresse bereits drin oder muss ich die irgendwo suchen?)

O17 - HKLM\System\CCS\Services\Tcpip\..\{043BF090-2E6C-48A7-B697-C4C98D79D894}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{50130AA2-D4A8-49AC-AE20-D2C54746EF98}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{90AC7326-91CE-4AF9-BFEA-3B284A06E957}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{B02F598E-FA72-494D-BF64-37BCF14F7E61}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9F6CA6A-9022-4802-B0BB-60983AA44D06}: NameServer =
O17 - HKLM\System\CS1\Services\Tcpip\..\{043BF090-2E6C-48A7-B697-C4C98D79D894}: NameServer =

Was meinst du mit : das System hat noch nie ein Update gesehen ?

 

Das bedeutet völlig veraltet (Sicherheitslücken), kein SP2 (Servicepack 2) installiert, Internet Explorer veraltet.

Im HiJackThis steht doch schon verseucht mit:
W32/RBOT-QE WORM

Hier lesen.. der Wurm ist ein übles Ding, Rechner vom Internet trennen.
http://www.sophos.de/virusinfo/analyses/w32rbotqe.html

Taskmanager Anleitung: Du musst hier also den Wert "0" (Null) zuweisen.

Task-Manager ( Task Manager) deaktivieren

Um den Taskmanager zu sperren muss man in der Registry unter

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System dem DWORD-Wert "DisableTskMgr" den Wert "1" zuweisen

 

Hallo,

Das hätte ich halt gerne noch mal von unabhängiger Quelle bestätigt, HijackThis geht ja nur nach dem Namen, und der will erstmal nichts heißen.

Warum willst du den Taskmanager sperren?


Grüße Jasager

 

Der Virus hat ihn gesperrt und er soll der Wert auf "0" (Null) setzen um ihn wieder zu entsperren. Ist da etwas falsch ?

 

hallo,
das service pack 2 hab ich nicht installiert.
jetz funktioniert der Task manager wieder.

 

Hier lesen:

http://www.tippscout.de/forum/read.php?f=14&i=1381&t=1381

Wenn du Win XP Prof. installiert hast dann geht das auch über die Gruppenrichtlinie:

Start - Ausführen - gpedit.msc

Benutzerkonfiguration -> Administative Vorlagen -> System -> Strg+Alt+Entf-Optionen -> Taskmanager entfernen aktivieren/deaktivieren.

 

Hallo,

Ups, hatte ich vollkommen überlesen. Ich glaube auf diese Art ist er nicht gesperrt (würde imho auch im HijackThis Logfile unter O6 angezeigt werden).

Machen wir es eben anders, gehe mal in den abgesicherten Modus (F8 beim booten) und benenne dort die oben genannten Dateien einfach um. Die umbenannten Dateien überprüfst du dann nochmal bei virustotal.

Aber viel Hoffnung für dein System habe ich auch nicht mehr.



Grüße Jasager

 

hallo,

also
hgqhp.exe
kernels8.exe
BraveSentry.exe
xpupdate.exe
konnte ich löschen, so wie es auf http://www.sophos.de/virusinfo/analyses/w32rbotqe.html beschrieben ist.

 

Hallo,
oh man, wer hat etwas von löschen geschrieben? Zu löschen sind die Dinger leicht, weg sind sie, bzw. die mutmaßlichen veränderungen, deswegen noch lange nicht. Ich wollte erstmal wiassen mit was ich es überhaupt zu tun habe.

Ich empfehle ein Neuaufsetzen des Systems, wie hier beschrieben.
Und dieses mal alle Updates einspielen, sonst sehen wir uns sehr schnell wieder.


Grüße Jasager

 

Die Dinger zu löschen ist in der Tat nicht das eigentliche Problem, das kannst du auch ohne "Taskmanager" mit Hilfe der Misc-Tools von HiJackThis zur Bootzeit..

Hast du einmal neu gebootet, solche Viren haben die Angewohnheit sich zu schützen und wieder herzustellen.

Was ist jetzt mit dem Taskmanager, geht der wieder ?
Schaue einmal im Verzeichnis "\windows\system32\"
nach der Datei "taskmgr.exe", die ist zuständig.

 

hallo,
das hab ich jetz auch gemerkt, nachdem ich windows nochmal neu gestartet habe, wurde der task manager gleich wieder gesperrt (ich kann ihn aber inzwischen entsperren) und das virenprogramm zeigt mir gleich 5 viren an. ok, ich gebe auf und installiere alles neu.

 

Als "Virenjäger" musst du immer die Systemwiederherstellung deaktivieren.. vor den Löschaktionen:

Beschreibung:

Deaktivierung der Systemwiederherstellung von Windows XP:

Das geschieht in folgenden Schritten.

rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen.

Info:
http://www.bsi.de/av/texte/wiederher_xp.htm