winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV) |
||
---|---|---|
#0
| ||
24.09.2005, 12:59
Member
Themenstarter Beiträge: 45 |
||
|
||
24.09.2005, 13:50
Ehrenmitglied
Beiträge: 29434 |
#47
nun im Grunde kannst du machen, was raman geraten hat,(formatieren) aber es waere gut, wenn wir den Loader finden koennten,gerade weil du wie raman schrieb, pfiffig bist und uns helfen kannst, das Mistding zu finden, denn die Antivirenprogramme finden ihn noch nicht und bestimmt gibt es hier bald eine Schwemme an infizierten winlogon.exe und dann wissen wir nicht, was tun .....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.09.2005, 15:57
Member
Themenstarter Beiträge: 45 |
#48
erstmal haben wir noch 2 Abende, da ich mit der Neuinstallation auf irgend ner anderen Platte anfangen werde, die kann ich ja per Image auf die ursprüngliche schieben. Da kann ich solange zwischendrin mal die infizierte "einlegen".
Problem ist, dass ich danach den PC zurückgeben muß, da Heimarbeitsplatz. Ab da kann ich ohne viel Umstände nur noch am alten (und evtl. aktuellem) Image recherchieren. Jetzt noch zu was anderem, sehr wichtigen: in meiner jetzigen Situation werden viele Board-Besucher sein: Neuinstallation Situation A: Neuinstallation mit Neuformatierung(aller Partitionen und Platten und USB-Sticks,...), keine alten Daten werden eingespielt (keine Sicherungen vorh.) Da ist es in der Hauptsache eigentlich nur wichtig, dass man die Chance eines 100,00% sauberen Systems nutzt und korrekt formatiert. Könnt ihr da ein Miniprogramm nennen, das sowas wie fdisk /mbr leistet und ne low-level-Formatierung ermöglicht? Situation B: Neuinstallation mit Formatierung nur der Systempartition bei Vorhandensein weiterer Datenträger. Jetzt wirds interessant. Wie ist da "best practice" zu definieren, vielleicht für ne 98% und ne 99,9%-Lösung? Mehr geht da wohl eh nicht. Einige Links dazu wären auch hilfreich, bitte nicht nur zu ebooks (ich gebe zu: hab im Board noch nicht gesucht...*schäm*) __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
24.09.2005, 22:22
Ehrenmitglied
Beiträge: 29434 |
#49
wo bleibt ADS Spy:
zu deiner Frage: normalerweise wird empfohlen nur die Partition von Windows zu formatieren. In diesem Fall, da wir nicht wissen, was los ist, wuerde ich alles platt machen.... oder erst mal die erstere Variante versuchen und schauen...... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.09.2005, 00:22
Member
Themenstarter Beiträge: 45 |
#50
Here it is: ADSspy
C:\WINDOWS\Angler.bmp : KAVICHS (36 bytes) C:\WINDOWS\asym.ini : KAVICHS (36 bytes) C:\WINDOWS\barcode.ini : KAVICHS (36 bytes) C:\WINDOWS\Blaue Spitzen 16.bmp : KAVICHS (36 bytes) C:\WINDOWS\bootstat.dat : KAVICHS (228 bytes) C:\WINDOWS\BUHL.INI : KAVICHS (36 bytes) C:\WINDOWS\Capictrl.INI : KAVICHS (36 bytes) C:\WINDOWS\clock.avi : KAVICHS (36 bytes) C:\WINDOWS\Ctregrun.exe : KAVICHS (36 bytes) C:\WINDOWS\EPSTPLOG.BAK : KAVICHS (36 bytes) C:\WINDOWS\exchng.ini : KAVICHS (36 bytes) C:\WINDOWS\explorer.exe : KAVICHS (36 bytes) C:\WINDOWS\explorer.scf : KAVICHS (36 bytes) C:\WINDOWS\Fächer.bmp : KAVICHS (36 bytes) C:\WINDOWS\Feder.bmp : KAVICHS (36 bytes) C:\WINDOWS\Granit.bmp : KAVICHS (36 bytes) C:\WINDOWS\hh.exe : KAVICHS (36 bytes) C:\WINDOWS\HNetCtrl.INI : KAVICHS (36 bytes) C:\WINDOWS\hpoins01.dat : KAVICHS (36 bytes) C:\WINDOWS\hpoins01.dat.temp : KAVICHS (36 bytes) C:\WINDOWS\hpomdl01.dat : KAVICHS (36 bytes) C:\WINDOWS\hpomdl01.dat.temp : KAVICHS (36 bytes) C:\WINDOWS\iccsigs.dat : KAVICHS (36 bytes) C:\WINDOWS\imsins.BAK : KAVICHS (36 bytes) C:\WINDOWS\IsUn0407.exe : KAVICHS (36 bytes) C:\WINDOWS\IsUninst.exe : KAVICHS (36 bytes) C:\WINDOWS\Kaffeetasse.bmp : KAVICHS (36 bytes) C:\WINDOWS\msdfmap.ini : KAVICHS (36 bytes) C:\WINDOWS\NeroDigital.ini : KAVICHS (36 bytes) C:\WINDOWS\notepad.exe : KAVICHS (36 bytes) C:\WINDOWS\ODBC.INI : KAVICHS (36 bytes) C:\WINDOWS\ODBCINST.INI : KAVICHS (36 bytes) C:\WINDOWS\OUTLOOK.PRF : KAVICHS (36 bytes) C:\WINDOWS\P2kRotate.ini : KAVICHS (36 bytes) C:\WINDOWS\Präriewind.bmp : KAVICHS (36 bytes) C:\WINDOWS\regedit.exe : KAVICHS (36 bytes) C:\WINDOWS\REGLOCS.OLD : KAVICHS (36 bytes) C:\WINDOWS\Rhododendron.bmp : KAVICHS (36 bytes) C:\WINDOWS\Santa Fe-Stuck.bmp : KAVICHS (36 bytes) C:\WINDOWS\SchedLgU.Txt : KAVICHS (100 bytes) C:\WINDOWS\Seifenblase.bmp : KAVICHS (36 bytes) C:\WINDOWS\xxx.acl : KAVICHS (36 bytes) C:\WINDOWS\xxx.pcb : KAVICHS (36 bytes) C:\WINDOWS\setup.iss : KAVICHS (36 bytes) C:\WINDOWS\setupact.log : KAVICHS (36 bytes) C:\WINDOWS\setupapi.log : KAVICHS (36 bytes) C:\WINDOWS\SIGVERIF.TXT : KAVICHS (36 bytes) C:\WINDOWS\SIGVERIF_kurz.TXT : KAVICHS (36 bytes) C:\WINDOWS\slrundll.exe : KAVICHS (36 bytes) C:\WINDOWS\SwSetupu.exe : KAVICHS (36 bytes) C:\WINDOWS\system.ini : KAVICHS (100 bytes) C:\WINDOWS\TASKMAN.EXE : KAVICHS (36 bytes) C:\WINDOWS\TB50.INI : KAVICHS (36 bytes) C:\WINDOWS\TDF.DII : KAVICHS (36 bytes) C:\WINDOWS\tm.ini : KAVICHS (36 bytes) C:\WINDOWS\twain.dll : KAVICHS (36 bytes) C:\WINDOWS\twain_32.dll : KAVICHS (36 bytes) C:\WINDOWS\twunk_16.exe : KAVICHS (36 bytes) C:\WINDOWS\twunk_32.exe : KAVICHS (36 bytes) C:\WINDOWS\unin0407.exe : KAVICHS (36 bytes) C:\WINDOWS\UNWISE.EXE : KAVICHS (36 bytes) C:\WINDOWS\UNWISE.INI : KAVICHS (36 bytes) C:\WINDOWS\vb.ini : KAVICHS (36 bytes) C:\WINDOWS\vbaddin.ini : KAVICHS (36 bytes) C:\WINDOWS\vmmreg32.dll : KAVICHS (36 bytes) C:\WINDOWS\wiaservc.log : KAVICHS (100 bytes) C:\WINDOWS\win.ini : KAVICHS (36 bytes) C:\WINDOWS\winamp.ini : KAVICHS (36 bytes) C:\WINDOWS\WindowsUpdate.log : KAVICHS (100 bytes) C:\WINDOWS\winhelp.exe : KAVICHS (36 bytes) C:\WINDOWS\winhlp32.exe : KAVICHS (36 bytes) C:\WINDOWS\winnt.bmp : KAVICHS (36 bytes) C:\WINDOWS\winnt256.bmp : KAVICHS (36 bytes) C:\WINDOWS\WINPHONE.INI : KAVICHS (36 bytes) C:\WINDOWS\WISO.INI : KAVICHS (36 bytes) C:\WINDOWS\wmprfDEU.prx : KAVICHS (36 bytes) C:\WINDOWS\WMSysPr9.prx : KAVICHS (36 bytes) C:\WINDOWS\WMSysPrx.prx : KAVICHS (36 bytes) C:\WINDOWS\Zapotek.bmp : KAVICHS (36 bytes) ...war eigentlich einfach, man muß nur ins Fenster rechtsklicken, dann kann man Textdatei abspeichern... :o paar Kommentare noch dazu, allerdings ist mir nicht klar, was ADspy macht, also weiß ich auch nicht ob relevant: Paar Dateien sind im Explorer sichtbar, jedoch nicht im adspy: 0.log mit 0KB, ohne Inhalt, erstellt beim letzten Hochfahren ARTGALRY.CAG mit 1KB, ohne Inhalt, erstellt 14.12.1996 01:00 control.ini mit 0KB, ohne Inhalt, erstellt 08.11.2004 23:05 OAISetup.ini mit 0KB, ohne Inhalt, erstellt 09.11.2004 00:30 srchasst mit 0KB,ohne Inhalt, erstellt 09.11.2004 17:24 windowsShell.Manifest mit 1KB, Inhalt unauffällig, erstellt 08.11.2004 23:02 ... und paar noch weniger auffällige weiß nicht, ob wichtig: wenn ich mit dem TAskinfo auf den winlogon.exe-Prozess gehe, kommen die Fenster immer 1s nach wegklicken des Antivir-Fensters, sonst mehr im Minutenabstand, beginnend mit wegklicken des Fensters. Bzgl. Neuinstallation Habe natürlich das Problem, dass ich Daten portieren muß. Würde man da zumindest 3-4 aktuelle Virenscanner drüberlassen oder ist das wertvoll oder vielleicht sogar ne "Todsünde" in dieser Situation? Was tun? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 25.09.2005 um 01:25 Uhr von Sunny-pc editiert.
|
|
|
||
25.09.2005, 01:22
Ehrenmitglied
Beiträge: 29434 |
#51
bitte ueberpruefen lassen, ob es "koescher " ist
C:\WINDOWS\vmmreg32.dll oeffnen und poten, was du findest, bitte C:\WINDOWS\P2kRotate.ini C:\WINDOWS\HNetCtrl.INI C:\WINDOWS\system.ini C:\WINDOWS\win.ini C:\WINDOWS\EPSTPLOG.BAK __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.09.2005, 01:34
Member
Themenstarter Beiträge: 45 |
#52
bitte auch editierten vorangegangenen Beitrag beachten!
EPSTPLOG.BAK [Install Log] Install Date/Time=2004-12-3 12:34:41 OS Information=Windows NT 5.01.2600 on DOS/V Logon User=xxx Base Directory=C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86 Setup Options=0x00000084 Installer Version=5.06.001 INF Load=Success Logical Source Disk Path=C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86 Specified Printers=None Master Copy Mode=0 Selected Printers Setup Message=Das Setup-Programm ist beendet. Base Window=Now Destroyed Return Code=511 ExitInstance=Entry ExitInstance=Exit +++Ende EPSTPLOG.BAK __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
25.09.2005, 01:49
Member
Themenstarter Beiträge: 45 |
#53
C:\WINDOWS\P2kRotate.ini
[C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Filmrollen\063260-149381\] FH000023.JPG=90 FH000030.JPG=90 FH000028.JPG=90 FH000043.JPG=90 FH000044.JPG=90 FH000045.JPG=90 FH000055.JPG=90 FH000047.JPG=90 FH000048.JPG=90 FH000049.JPG=90 FH000069.JPG=90 [c:\My Photos\Filmrollen\063260-149383\] FH000061.JPG=90 FH000064.JPG=90 FH000057.JPG=90 FH000001.JPG=90 FH000003.JPG=90 FH000004.JPG=90 FH000013.JPG=90 FH000014.JPG=90 FH000017.JPG=90 FH000018.JPG=90 FH000031.JPG=90 FH000037.JPG=90 FH000046.JPG=90 FH000049.JPG=90 FH000051.JPG=90 FH000056.JPG=90 [C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Filmrollen\063260-149383\] FH000061.JPG=90 FH000064.JPG=90 FH000057.JPG=90 FH000001.JPG=90 FH000003.JPG=90 FH000004.JPG=90 FH000013.JPG=90 FH000014.JPG=90 FH000017.JPG=90 FH000018.JPG=90 FH000031.JPG=90 FH000037.JPG=90 FH000046.JPG=90 FH000049.JPG=90 FH000051.JPG=90 FH000056.JPG=90 [EUROCOLORCD063260-149382] FH000014.JPG=90 FH000015.JPG=90 FH000017.JPG=90 FH000018.JPG=90 FH000019.JPG=90 FH000020.JPG=90 FH000021.JPG=90 FH000022.JPG=90 FH000025.JPG=90 FH000026.JPG=90 FH000027.JPG=90 FH000028.JPG=90 FH000029.JPG=90 FH000033.JPG=90 FH000037.JPG=-90 FH000038.JPG=-90 FH000044.JPG=-90 FH000058.JPG=-90 FH000062.JPG=-90 FH000063.JPG=-90 FH000069.JPG=90 FH000070.JPG=-270 FH000045.JPG=-90 FH000064.JPG=-90 [BILLACD063260-149383] FH000031.JPG=90 FH000057.JPG=90 FH000058.JPG=90 FH000059.JPG=90 FH000060.JPG=90 FH000061.JPG=90 FH000062.JPG=90 FH000063.JPG=90 FH000064.JPG=90 FH000067.JPG=90 [EUROCOLORCD063260-149381] FH000005.JPG=90 FH000006.JPG=90 FH000016.JPG=90 FH000020.JPG=90 FH000025.JPG=180 FH000026.JPG=90 FH000027.JPG=90 FH000028.JPG=90 FH000048.JPG=90 +++Ende C:\WINDOWS\HNetCtrl.INI [Settings] Foreground=0 +++Ende C:\WINDOWS\system.ini ; for 16-bit app support [drivers] wave=mmdrv.dll timer=timer.drv [mci] [driver32] [386enh] woafont=app850.FON EGA80WOA.FON=EGA80850.FON EGA40WOA.FON=EGA40850.FON CGA80WOA.FON=CGA80850.FON CGA40WOA.FON=CGA40850.FON +++Ende C:\WINDOWS\win.ini ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 MAPIX=1 OLEMessaging=1 CMC=1 CMCDLLNAME=mapi.dll CMCDLLNAME32=mapi32.dll MAPIXVER=1.0.0.1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo2 asx=MPEGVideo2 au=MPEGVideo ivf=MPEGVideo2 m1v=MPEGVideo m3u=MPEGVideo2 mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo2 mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo2 wm=MPEGVideo2 wma=MPEGVideo2 wmp=MPEGVideo2 wmv=MPEGVideo2 wmx=MPEGVideo2 wvx=MPEGVideo2 wpl=MPEGVideo [EMusicClient] dateInstalled=1100016453 datePitchPageLastShown=1099498053 [TfD] AutoStart=1 [Readiris] Scanner32=Twaino38,22 [IRIS_IPE] menu=2 [DPE] Toolbar=1 SN75=43011702 [spooler] rd_cd=D5DBD730 +++Ende This is a report processed by VirusTotal on 09/25/2005 at 01:47:03 (CET) after scanning the file "vmmreg32.dll" file. Antivirus Version Update Result AntiVir 6.32.0.6 09.23.2005 no virus found Avast 4.6.695.0 09.23.2005 no virus found AVG 718 09.23.2005 no virus found Avira 6.32.0.6 09.23.2005 no virus found BitDefender 7.2 09.25.2005 no virus found CAT-QuickHeal 8.00 09.24.2005 no virus found ClamAV devel-20050917 09.23.2005 no virus found DrWeb 4.32b 09.24.2005 no virus found eTrust-Iris 7.1.194.0 09.24.2005 no virus found eTrust-Vet 11.9.1.0 09.23.2005 no virus found F-Prot 3.16c 09.23.2005 no virus found Ikarus 0.2.59.0 09.23.2005 no virus found Kaspersky 4.0.2.24 09.25.2005 no virus found McAfee 4589 09.23.2005 no virus found NOD32v2 1.1231 09.23.2005 no virus found Norman 5.70.10 09.23.2005 no virus found Panda 8.02.00 09.24.2005 no virus found Sophos 3.98.0 09.24.2005 no virus found Symantec 8.0 09.24.2005 no virus found TheHacker 5.8.2.114 09.22.2005 no virus found VBA32 3.10.4 09.21.2005 no virus found jotti.org Datei: vmmreg32.dll Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden +++Ende und übrigens: er meldet sich nach präzise 60 Sekunden zurück!(solange ich nichts tue) Ich schicke raman mal ne filemon.log von den 5s innerhalb derer das Fenster vom Antivir neu aufpoppt. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 25.09.2005 um 03:12 Uhr von Sunny-pc editiert.
|
|
|
||
25.09.2005, 15:17
Ehrenmitglied
Beiträge: 29434 |
#54
Hallo@
ich will ja nicht unverschaemt sein und dir hier Arbeit aufbuerden versuche bitte mal mit diesem MS-Tool die winlogon.exe zu finden + andere Dateien, die mit ihr in Verbindung stehen und berichte http://virus-protect.org/artikel/tools/dependencywalker.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.09.2005, 15:33
Member
Themenstarter Beiträge: 45 |
#55
Zitat Ich schicke raman mal ne filemon.log von den 5s innerhalb derer das Fenster vom Antivir neu aufpoppt.nochmal eines nachgereicht. Zitat ich will ja nicht unverschaemt sein und dir hier Arbeit aufbuerdenach so? Dependency walker kann online auf die winlogon.exe nicht zugreifen(access denied). Sie erscheint auch ohne korrektes Icon, ist also tatsächlich die infizierte Variante. Trifft auch auf die im dllcache zu. Funktioniert das ganze auch offline? Habe dies auf einem sauberen WXPsp2 probiert, indem ich den DW auf das Image losgelassen hab. Hab jetzt ein 2MB-Log und ausdrücklich angemeckert hat er nur eine fehlende msjava.dll, die ich weder im Image noch im infiz. Online-System finden konnte. Hatte die Idee, den Besitz der Datei zu übernehmen, schließlich bin ich doch admin!! Die Eigenschaften der Datei gehen zwar begleitet von einigen Antivir-Fenstern auf, jedoch enthält das Fenster nur die Reiter einer DOS-Anwendung und somit keinerlei Sicherheitseinstellungen tja... was passiert eigentlich, wenn ich offline den Besitz übernehme und dem System die Schreibrechte nehme? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 25.09.2005 um 15:55 Uhr von Sunny-pc editiert.
|
|
|
||
25.09.2005, 16:47
Ehrenmitglied
Beiträge: 29434 |
#56
ja, versuche es offline , nimm die Schreibrechte ..untersuche die verseuchte exe dann berichte.
dann kopiere wieder die zwei sauberen exe an den entsprechenden Platz..obwohl, sie werden sich wieder infizieren, nur wissen wir nicht, was das bewerkstelligt.... Kann man keine Abhaengigkeiten erkennen? also was mit der winlogon in Verbindung ist??? Der Fakt, das es sich ueber die Konsole abspielt (DOS)... ,und dass die Verseuchung vielleicht nur zustande kommt, wenn eine Internetverbindung existiert...???? wenn du die exe umkopierst, ohne online zu sein, und mit dem Antivirus scannst....kommt da eine Meldung ??? Oder geschieht das nur, wenn du wieder Online bist? •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: winlogon.exe Press 'OK' (mache ein BackUp) warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.09.2005, 17:07
Member
Themenstarter Beiträge: 45 |
#57
Zitat Habe dies auf einem sauberen WXPsp2 probiert, indem ich den DW auf das Image losgelassen hab. Hab jetzt ein 2MB-Log und ausdrücklich angemeckert hat er nur eine fehlende msjava.dll, die ich weder im Image noch im infiz. Online-System finden konnte.Das Gleiche nochmal mit extern angehängter Platte: dito Allerdings hat die winlogon wieder ihr Icon zurück! Sie ist also vermutlich entweder zurückgetauscht oder desinfiziert worden, oder? Werde mal nen very hard shutdown versuchen und die Platte dann mal offline dranhängen. Zitat ,und dass die Verseuchung vielleicht nur zustande kommt, wenn eine Internetverbindung existiert...????definitiv nein, habe gleich von Anfang an ISDN und LAN-Kabel durchschnitten! sonst hätten wir ja einen noch labileren Zustand, außerdem ist das System bis auf sp2 ungepatched. Rest etwas später... __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 25.09.2005 um 17:30 Uhr von Sunny-pc editiert.
|
|
|
||
25.09.2005, 18:31
Ehrenmitglied
Beiträge: 29434 |
#58
Zitat Das Gleiche nochmal mit extern angehängter Platte: ditohast du die verseuchten 2 winlogon.exe durch saubere vertauscht???? oder ist das einfach so geschehen, weil du offline warst ??? Oder weil du die Schreibrechte weggenommen hast? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.09.2005, 22:56
Member
Beiträge: 13 |
#59
Hi Sunny-pc
Raman hat angefragt on ich evt noch ein paar Ideen hätte und ich dachte ich versuchs mal. Als erstes wäre es schön wenn Du ein Image des infizierten PC erstellen könntest oder behalten könntest, damit wir etwas Zeit gewinnen. Du brauchst ja nur vorher den IDE controller auf Standard IDE controller umzustellen dann sollte das image auf jeden anderen Mainboard gebootet werden können. Ich bin mir nicht sicher ob ich es evt nur überlesen habe aber könntest Du mal eine infizierte Variante der Winlogon.exe bei Jotti scannen lassen und das Ergebnis hier posten bitte. Danach könntest Du bitte ein HijackThis log mit der infizierten winlogon.exe aus dem abgesicherten modus posten und bitte auch ein Winpfind log aus dem abgesicherten modus. |
|
|
||
26.09.2005, 00:53
Member
Themenstarter Beiträge: 45 |
#60
@all
I'm back! Sorry, hatte paar dringende Sachen und 2 Problemkinder, konnte jetzt wichtigstes erledigen. Des weiteren hatte ich Probleme, ne infizierte winlogon mit allen Merkmalen(z.B. fehlendes Icon) für den Offline-modus zu produzieren. Habe ansonsten eure Motivation schon verstanden. Normalerweise wäre ich auf Seite 2 des Threads ausgestiegen, weil no future. Andererseits hats mich auch gewurmt, weil ich dachte mit kompetenter Anleitung und meinem bisschen Grips schnell ne Lösung zu finden. Jetzt hab ich weder ne Lösung noch ne gesparte Neuinstallation. *Frust* OK, hier mein Angebot: Werde bis Montag den Rechner behalten, haben also noch etwas Zeit(Montag aber nur abends). Werde dann ein Image ziehen, nachdem ich den IDE-Treiber auf Standard umgestellt hab. Dann ein weiteres Image ohne Eigene Dateien. Mal sehen, was wir draus machen. Dies alles vor allem auch deshalb, weil auch ihr dann bisher mehr oder weniger eure Zeit vertan hättet - und ich hasse Zeitdiebe. @gnmpf o.g. mach ich als nächstes @sabina Zitat nee, hab bloß den PC normal runtergefahren. War, als ob er sie wieder durchs Original ersetzt. Ist aber nur ne Verdachtsaussage, müßte ich eindeutig nachvollziehen um es zu bestätigen. Bin ja mit DW noch nicht richtig durch (Beitrag #57) mal sehen, wann ich das noch hinkriege. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
Ich hab schon verstanden, dass dies dann wohl ein id-10-T Problem zu sein scheint...
P.S.: for those how couldn't follow: write the word with capital letters, without minuses and best with an american "1"(="l").
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?