JLI Spieleprogrammierung

[DirectXer]

Hi

ich habe seit dem 23.12 Abends irgendsoeinen Virus oder Ähnliches auf meinem PC, der mir die letzten 2 Tage, also über Weihnachten , ziemlichen Ärger macht. Ich liste im Folgenden mal sie Symptome und meine Maßnahmen auf, gebracht hat das jedoch noch nichts:

- seit ca. 8-10 Tagen vor dem 23. meldete mein Virenscanner (f-secure) dass die Virendefinitionen veraltet seien, ich konnte aber komscherweise keinen neuen herunterladen
- wenn ich in der letzten Zeit manuell eine Datei scannen wollte, wurde die graphische Oberfläche von f-secure nicht angezeigt; gescannt hat er aber laut scan-log trotzdem
- am 23. abends startete wie gesagt mein Windows nicht mehr; Benutzerauswahl ging noch, aber nachdem der Desktop angezeigt wurde hat der nichts mehr getan und nicht reagiert
- gestern hab von der CD mit dem "notfall-windows" aus der c't gebootet (das "notfall-windows" ist eine Zusammenstellung vieler extra Tools wie scanner, registry cleaner, spyware-search, total commander usw. von Bart PE Builder)
- von da aus habe ich mit BitDefender und SpySearch etc. den kompletten PC gescannt, Ergebnis: 1 Trojaner "sp.exe", laut internet Spooner, der Links zu www.ntsearch.de oder so auf der Platte verbreitet, im Grunde ziemlich harmlos, aber er reagiert mit gegenaktionen auf löschen usw.
- die sp.exe hab ich (dummerweise und unüberlegt) einfach komplett gelöscht, das hatte zur Folge dass das Programm zwar weg war, aber die Registry immer noch zugemüllt
- dann hab ich ein hiJackThis scan im abgesicherten Modus gemacht, und das spoonWeg.exe Tool benutzt, das sp.exe komplett entfernt. und auch manuell hab ich alle einträge mit sp.exe aus der Reg entfernt.
- gebracht und geführt hat das alles zu nichts, bis auf folgende sichtbare Änderung: Wenn ich versuche, Windows selber zu starten, kommt nach der Benutzerauswahl in etwa "Microsoft hat eine Windows-Kopie erkannt, die aktiviert werden muss" also irgendwas mit Produktaktivierung im Titel.
- Drückt man da auf JA oder NEIN -> kein Unterschied; desktop wird angezeigt und danach geht nix mehr

So, das ist ziemlich viel, aber ich hab mich bemüht, ziemlich genau zu schildern was passiert ist. Für jeden Hinweis und/oder Hilfe bin ich sehr dankbar, da ich seit den letzten 2 Tagen und Nächten fast pausenlos mit 3 Computern bei Google gehangen hab, und nichts finden konnte. Ist schon ziemlich nervig, so was, vor allem über Weihnachten Vielen Dank,

Gruß DXer

[Jonathan_Klein]

hm, mit dem Notfallwindows alles wichtige sichern und Windows neuinstallierne, also, vorher noch formatieren. Gesicherte Daten ncohmal skannen, das müsste reichen. (Dann ahste auch ncohmal n schön flinkes Windwos)
_________________
https://jonathank.de/games/

[manu]

kannst dir ja das mit nem frischen windows ertwas im Hinterkopf behalten, falls wirklich garnichts anderes mehr hilft.

Ich würde, da das Teil recht viel schaden, auch in der registry, angerichtet hat, vielleicht mal gucken, ob du eventuell einen geeigneten Systemwiederherstellungspunkt hast bei dem das sp.exe Teil entweder noch nicht existiert oder sich noch in einem Zustand befindet, indem man es "ordnungsgemäß" entfernen kann.

Aber achtung, alle Daten die du nach dem Wiederherstellungspunkt erstellt hast, gibts nicht mehr, also auch da alles neuere wichtige sichern.


Ansonsten, wenn dir formatieren bzw. sys wiederherstellung beides nicht recht ist, kann man vllt. doch noch nen Weg finden, man muss sich da immer ein bisschen reindenken. Also im abgesicherten Modus startet der PC... Was startet im abgesicherten nicht, was im normalen startet... mal in msconfig gucken, ob da noch irgendwas im start eingetragen ist oder auch in der registry, wobei ich mich da nicht so auskenne.

[DirectXer]

erstmal Danke für die Hilfen!

@Jona
also, das mit dem Formatieren will ich mir im Hinterkopf behalten, wie manu auch sagt, weil ich vor ungf. 1 1/2 Jahren das ganze Spiel schonmal durchgemacht hab, mit dem Sichern und Formatieren...

manu
weißt du wie ich an die Systemwiederherstellungspunkte komme, ohne die graphische Oberfläche von Windows? Im abges. Modus gabs mal sowas, aber da hab ich keine Ahnung wie ich dadran kommen soll, da immer die Meldung kommt, dass der im abges. Modus nicht auf Installations- oder ähnliche prozesse zugreifen kann. Um über das Notfall Windows dadran zu kommen, brauch ich den korrekten Pfad...
Naja ich hab auch mal alle Autostarteinträge deaktiviert und gestartet, aber hat auch nix gebracht...

Naja, gruß DXer

[DirectXer]

Hi,

ich hab jetzt alles durchprobiert mit systemwiederherstellung (gbas nen fehler mit rstrui.exe), Registry Bereinigung usw. usf, hat ziemlich lange gedauert Naja, als Dank weiß ich jetzt endlich genau, was passiert ist: Der Virus hat die wpa.dbl in %systemroot%\system32 geändert. In dieser Datei speichert Windows die Produkt Aktivierung (und zwar ziemlich schlampig, daher leicht zu cracken). Jedenfalls bekam ich durch diese Manipulation angezeigt, mein Windows sei eine Kopie und müsse neu aktiviert werden. In den abges. Modus konnte ich nur, weil Windows dort keinen WPA-Check durchführt. Na gut, folgende Möglichkeiten hab ich:
1. ich cracke die WPA.dbl, was wie gesagt nicht sehr schwer ist. Wie das genau geht (ich hoffe ja nicht, dass das hier jemanden interessiert! ) steht u.A. hier (alle 7 Seiten, recht interessant, wenn mans nur liest und nicht ausführt ). Da das aber illegal ist, werde ich das eher nicht machen.
2. ich rufe bei Microsoft an und schildere denen den Fall, und hoffe, dass ich das Produkt neu aktivieren kann

Tja, bleibt mir wohl nichts anderes übrig, aber wenigstens weiß ich jetz, was los is

Vielen Dank auch noch an alle, die mir geholfen haben!
Gruß DXer

[DirectXer]

so, habs jetz endlich geschafft. Wie gut, dass f-secure den Angriff auf die wpa.dbl bemerkt hatte. Also, sah so aus, dass f-secure den Angriff immer wieder verhindert hatte, und der Virus immer neu angegriffen hat. Deswegen konnte Windows net starten, war zu 100% ausgelastet. Ich hab dann schließlich ein Backup der Datei von f-secure gefunden und es aktiviert, und alles ging wieder. Naja, hätten die von f-secure noch ne Benachrichtigung an mich gegeben, hätte ich mir vieles erspart...

Gruß DXer