[VIRUS] Win32:Rebhip-B ?

Page 1 of 2 1 2
08/07/2011 14:09 DRE4MSTYLEZ7X#1
Hallo leute ,

Ich hoffe ihr könnt mir helfen weil in sachen viren keine ahnung habe und
nicht weiter komme eine Viren überprüfung habe ich schon gemacht aber es kommt immer wieder .

Da ich nicht weiß wo ich das jetzt fragen soll hab ich das jetzt hier gemacht und zwar folgendes :

mein avast zeigt mir jede sekunde ein virenfund an nämlich :

C:/WINXP/system32/..../iexplorer.exe Bedrohung : WIN32:Rebhhip-B & irgendwas mit service.exe

und wurde angeblich gelöscht aber es kommt jede sekunde wieder und ich weiß nicht was ich machen soll.

Danke im vor raus oder auch nicht. :D
08/07/2011 14:14 Gt-Kingz#2
Welches Betriebssystem ?
08/07/2011 14:15 DRE4MSTYLEZ7X#3
Microsoft Windows XP
Service Pack 3
08/07/2011 14:19 Gt-Kingz#4
Versuch als erstes mal, im abgesicherten zu starten & die Datei manuell zu löschen. Weiterhin noch die Registryeinträge löschen. (Soweit vorhanden)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run 'tmp'
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1'
08/07/2011 14:21 DRE4MSTYLEZ7X#5
abgesicherter modus ok
aber wie lösche ich diese dateien?
08/07/2011 14:23 Gt-Kingz#6
Du hast doch den Pfad schon gepostet. (wenn auch nicht vollständig)
Darüber löschst du die iexplorer.exe

Für den Rest gehst du auf Start -> Ausführen -> regedit
08/07/2011 14:27 DRE4MSTYLEZ7X#7
so jetzt hier der ganze pfad :

Objekt: C:\WINXP\install\services.exe
Infektion: Win32:Rebhip-B [Tri]
Prozess: C:\WINXP\explorer.exe

ich kenn mich damit nicht aus
08/07/2011 14:31 Gt-Kingz#8
Dann gehste in den Abgesicherten Modus Und löschst die Beiden Dateien, wie gesagt..
C:\WINXP\install\services.exe
C:\WINXP\explorer.exe
08/07/2011 14:34 DRE4MSTYLEZ7X#9
ok mache ich dann mal eben und den rest oben mit

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run 'tmp'
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1


auch?? dann mach ich das
08/07/2011 14:35 Gt-Kingz#10
Yap, wäre auch empfehlenswert.
08/07/2011 14:37 DRE4MSTYLEZ7X#11
ok
08/08/2011 01:48 _Marcel_#12
/moved
08/08/2011 11:47 Diablo_#13
Ihr wisst schon das das ein Wurm ist?

Btw, ich sehe, du hast das ganze schon in einem anderen Forum gepostet. Wenn du dir ganz sicher bist, würde ich das mit ComboFix lassen und lieber neu aufsetzen.

Was haste dir denn runtergeladen? Hacks?

Grüße
08/08/2011 13:06 Es19#14
Quote:
Originally Posted by Gt-Kingz View Post
Dann gehste in den Abgesicherten Modus Und löschst die Beiden Dateien, wie gesagt..
C:\WINXP\install\services.exe
C:\WINXP\explorer.exe
Und dann ist der Explorer weg, yay!

Wie Diablo schon sagte, ComboFix nur ausführen, wenn der Helfer auch weiß, was er tut.
08/08/2011 13:46 Diablo_#15
Quote:
Originally Posted by Es19 View Post
Und dann ist der Explorer weg, yay!

Wie Diablo schon sagte, ComboFix nur ausführen, wenn der Helfer auch weiß, was er tut.
Explorer.exe ist in dem Fall doch aber ein Fake oder nicht? So wie ich das sehe, wurde die echte Datei (C:\Windows\) nicht überschrieben.

Trotzdem würde eine Löschung (Rechtsklick->Löschen) wenig bringen bei dieser Infektion.

Grüße
Page 1 of 2 1 2