[VIRUS] Win32:Rebhip-B ?

DRE4MSTYLEZ7X · 08/07/2011, 14:09

Hallo leute ,

Ich hoffe ihr könnt mir helfen weil in sachen viren keine ahnung habe und
nicht weiter komme eine Viren überprüfung habe ich schon gemacht aber es kommt immer wieder .

Da ich nicht weiß wo ich das jetzt fragen soll hab ich das jetzt hier gemacht und zwar folgendes :

mein avast zeigt mir jede sekunde ein virenfund an nämlich :

C:/WINXP/system32/..../iexplorer.exe Bedrohung : WIN32:Rebhhip-B & irgendwas mit service.exe

und wurde angeblich gelöscht aber es kommt jede sekunde wieder und ich weiß nicht was ich machen soll.

Danke im vor raus oder auch nicht.

Gt-Kingz · 08/07/2011, 14:14

Welches Betriebssystem ?

DRE4MSTYLEZ7X · 08/07/2011, 14:15

Microsoft Windows XP
Service Pack 3

Gt-Kingz · 08/07/2011, 14:19

Versuch als erstes mal, im abgesicherten zu starten & die Datei manuell zu löschen. Weiterhin noch die Registryeinträge löschen. (Soweit vorhanden)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run 'tmp'
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1'

DRE4MSTYLEZ7X · 08/07/2011, 14:21

abgesicherter modus ok
aber wie lösche ich diese dateien?

Gt-Kingz · 08/07/2011, 14:23

Du hast doch den Pfad schon gepostet. (wenn auch nicht vollständig)
Darüber löschst du die iexplorer.exe

Für den Rest gehst du auf Start -> Ausführen -> regedit

DRE4MSTYLEZ7X · 08/07/2011, 14:27

so jetzt hier der ganze pfad :

Objekt: C:\WINXP\install\services.exe
Infektion: Win32:Rebhip-B [Tri]
Prozess: C:\WINXP\explorer.exe

ich kenn mich damit nicht aus

Gt-Kingz · 08/07/2011, 14:31

Dann gehste in den Abgesicherten Modus Und löschst die Beiden Dateien, wie gesagt..
C:\WINXP\install\services.exe
C:\WINXP\explorer.exe

DRE4MSTYLEZ7X · 08/07/2011, 14:34

ok mache ich dann mal eben und den rest oben mit

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run 'tmp'
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System 'DisableTaskMgr' = '1

auch?? dann mach ich das

Gt-Kingz · 08/07/2011, 14:35

Yap, wäre auch empfehlenswert.

DRE4MSTYLEZ7X · 08/07/2011, 14:37

ok

~~_Marcel_~~ · 08/08/2011, 01:48

/moved

Diablo_ · 08/08/2011, 11:47

Ihr wisst schon das das ein Wurm ist?

Btw, ich sehe, du hast das ganze schon in einem anderen Forum gepostet. Wenn du dir ganz sicher bist, würde ich das mit ComboFix lassen und lieber neu aufsetzen.

Was haste dir denn runtergeladen? Hacks?

Grüße

Es19 · 08/08/2011, 13:06

Quote:

Originally Posted by Gt-Kingz

Dann gehste in den Abgesicherten Modus Und löschst die Beiden Dateien, wie gesagt..
C:\WINXP\install\services.exe
C:\WINXP\explorer.exe

Und dann ist der Explorer weg, yay!

Wie Diablo schon sagte, ComboFix nur ausführen, wenn der Helfer auch weiß, was er tut.

Diablo_ · 08/08/2011, 13:46

Quote:

Originally Posted by Es19

Und dann ist der Explorer weg, yay!

Wie Diablo schon sagte, ComboFix nur ausführen, wenn der Helfer auch weiß, was er tut.

Explorer.exe ist in dem Fall doch aber ein Fake oder nicht? So wie ich das sehe, wurde die echte Datei (C:\Windows\) nicht überschrieben.

Trotzdem würde eine Löschung (Rechtsklick->Löschen) wenig bringen bei dieser Infektion.

Grüße