Was ist das was explorer.exe nicht laden lässt??Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
22.11.2006, 22:55
Member
Beiträge: 15 |
||
|
||
24.11.2006, 12:50
Ehrenmitglied
Beiträge: 29434 |
#2
ich habe dir per PM geschrieben, (als Antwort auf deine Anfrage per PM) - dass du es mit einer Systemwiederherstellung versuchen solltest
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.11.2006, 21:31
Member
Themenstarter Beiträge: 15 |
#3
Ja danke für die Anwort.
DAs Problem ist, dass ich die SysWiederherstellung die ganze Zeit schon vorher deaktiviert hatte... und somit nicht darauf zugreifen kann ... Wenn du sagst du findest nichts, bedeutet dies für mich es muss irgend ein Rootkit auch am Werkeln sein, und dieser macht seine Arbeit ganz schön perfekt... wenn etliche Virenscaner nix finden bzw. das System nicht säubern können! Helios http://helios.miel-labs.com/ meldet dass etliche Prozesse "Hooked" sind, diese sind dann Hidden, ich kann aber damit nichts anfangen... sieh Bild http://img102.imageshack.us/my.php?image=heliossi4.jpg http://img117.imageshack.us/my.php?image=closeupdt5.jpg Wenn ich versuche ein Prozess hinterm anderen zu killen passiert v.a. bei einem svchost.exe folgendes: http://img102.imageshack.us/my.php?image=sysdownev3.jpg SysDown... und dann bin ich sowas von down!!! :'( Zur Zeit -seit heute morgen- laeuft zum Zweiten mal mein Knoppicillin (von c't) auf meinem Rechner und versucht mit Hilfe von Bitdefender,F-Secure und Sophos nacheinander mein System zu scannen und hoffentlich auch zu saeubern! Ich haette da eine Frage zum Thema Reparatur bei XP, funktioniert die bei allen Versionen oder nur bei bestimmten versionen? Danke |
|
|
||
24.11.2006, 21:42
Ehrenmitglied
Beiträge: 29434 |
#4
Reparatur ist sinnlos, wenn ein Rootkit auf dem Rechner ist
da hilft nur formatieren.... RootkitRevealer -poste das log http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.11.2006, 14:42
Member
Themenstarter Beiträge: 15 |
#5
Hallo,
nach dem ich ein tolles WE hatte ;( scans und scans... rechrche und recherche bin ich am Ende... Habe eine unformatierte Partition mit einer frischen XP installiert von dort auch mein Nod32 installiert upgedatet und auf die alte C XP Platte losgeschickt und viel hat er nicht gefunden! Anzahl infizierter Objekte: 4 Anzahl gesäuberter Dateien: 4 Und noch 4 Files die er nicht öffnen könnte: [4] Die Datei kann nicht geöffnet werden. Sie ist in exklusiver Benutzung durch eine andere Anwendung. C:\System Volume Information\MountPointManagerRemoteDatabase - Fehler (Zugriff verweigert) beim Öffnen. [4] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp - Fehler (Zugriff verweigert) beim Öffnen. [4] C:\c583bfecabe7cab175bf07042eb5\msxml4-KB927978-enu.log - Fehler (Zugriff verweigert) beim Öffnen. [4] Scan Logfile von Nod32 siehe Anhang (zu groß!) Jetzt läuft Antivir mit aktuellen Virensignaturen. Er fand angeblich 395 die Löschaktion hat er irgendwie nicht ausgeführt! Logfile von dem RootkitRevealer: HKLM\SECURITY\Policy\Secrets\SAC* 29.12.2005 20:19 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 29.12.2005 20:19 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\.ids\ 28.03.2006 13:22 9 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Classes\blue.Shortcut\ 28.03.2006 13:22 15 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\ 28.03.2006 13:22 15 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\PINNACLESYS\MSSQLServer\uptime_time_utc 26.11.2006 13:32 8 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 06.11.2006 13:05 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 23.04.2006 07:42 0 bytes Hidden from Windows API. C:\System Volume Information\catalog.wci\00010008.ci 26.11.2006 13:36 24.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010008.dir 26.11.2006 13:36 435 bytes Hidden from Windows API. C:\System Volume Information\catalog.wci\00010009.ci 26.11.2006 13:36 460.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010009.dir 26.11.2006 13:36 4.76 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000A.ci 26.11.2006 13:37 40.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000A.dir 26.11.2006 13:37 488 bytes Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000B.ci 26.11.2006 13:37 40.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000B.dir 26.11.2006 13:37 549 bytes Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000C.ci 26.11.2006 13:37 48.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000C.dir 26.11.2006 13:37 609 bytes Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000D.ci 26.11.2006 13:37 124.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000D.dir 26.11.2006 13:37 1.36 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001000E.ci 26.11.2006 13:37 64.00 KB Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\0001000E.dir 26.11.2006 13:37 747 bytes Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\0001000F.ci 26.11.2006 13:38 40.00 KB Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\0001000F.dir 26.11.2006 13:38 483 bytes Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\00010010.ci 26.11.2006 13:38 872.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010010.dir 26.11.2006 13:38 5.25 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010011.ci 26.11.2006 13:38 16.00 KB Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\00010011.dir 26.11.2006 13:38 373 bytes Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\00010012.ci 26.11.2006 13:38 96.00 KB Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\00010012.dir 26.11.2006 13:38 925 bytes Visible in Windows API, directory index, but not in MFT. C:\System Volume Information\catalog.wci\00010013.ci 26.11.2006 13:38 380.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010013.dir 26.11.2006 13:38 3.38 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010014.ci 26.11.2006 13:39 2.40 MB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010014.dir 26.11.2006 13:38 4.64 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\00010015.ci 26.11.2006 13:41 112.00 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\00010015.dir 26.11.2006 13:41 1.06 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\00010016.ci 26.11.2006 13:42 792.00 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\00010016.dir 26.11.2006 13:42 4.83 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\00010017.ci 26.11.2006 13:42 272.00 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\00010017.dir 26.11.2006 13:42 2.06 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\0001001B.ci 26.11.2006 13:39 604.00 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\0001001B.dir 26.11.2006 13:39 4.44 KB Hidden from Windows API. C:\System Volume Information\catalog.wci\CiFLfffc.000 26.11.2006 13:42 240 bytes Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\CiFLfffc.001 26.11.2006 13:42 960.00 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\CiFLfffc.002 26.11.2006 13:42 960.00 KB Visible in directory index, but not Windows API or MFT. C:\System Volume Information\catalog.wci\CiFLfffd.000 26.11.2006 13:38 240 bytes Visible in Windows API, MFT, but not in directory index. C:\System Volume Information\catalog.wci\CiFLfffd.001 26.11.2006 13:38 960.00 KB Visible in Windows API, MFT, but not in directory index. C:\System Volume Information\catalog.wci\CiFLfffd.002 26.11.2006 13:38 960.00 KB Visible in Windows API, MFT, but not in directory index. C:\WINXP\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 20.11.2006 10:07 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINXP\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 20.11.2006 10:07 111.50 KB Visible in Windows API, but not in MFT or directory index. Langsam denke ich, dass ist ein hoffnungsloser Fall!!! Und dass ich vielleicht doch ein neue Installation aufsetzen muss!!! Gruss, |
|
|
||
28.11.2006, 01:24
Ehrenmitglied
Beiträge: 29434 |
#6
ich sehe keinen Rootkit, der malware sein koennte - und die 0 bytes Key kan man loeschen
ich denke fast, dass es kein Viren, sondern ein Software-Problem ist. 1. Start - Ausführen - schreib/kopiere rein: sfc /scannow nun wird Windows auf Fehler überprüft. 2. # mit Rechtsklick auf Deinem Lokalen Datenträger auf "Eigenschaften" drücken; nun gehst Du auf # "Extras" und wählst hernach # "Fehlerüberprüfung" Die Prüfung startet dann nach einem Neustart!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.11.2006, 22:39
Member
Themenstarter Beiträge: 15 |
#7
Hallo,
ich danke dir für deine Geduld und deine Hilfe... Es hat aber leider nichts gebracht, so dass ich gestern morgen das System neu aufgesetzt habe! Ich konnte nicht mehr ... Many many thanks again. Gruesse, |
|
|
||
ich hätte gerne von irgendjemand gewußt, was das genau sein soll?
Ist es ein Virus, Wurm oder Trojaner....
Mein Nod32 hat ein Trojaner gefunden und gelöscht... leider habe mir den Namen nicht gemerkt?
Hijackthis auswertung habe ich schon durchgeführt, Spybot auch... ich habe in diesem Thread hier mitgepostet ...
http://board.protecus.de/t26728.htm
ich fürchte aber es könnte sich -bei dem Thread-Öffner- um ein unterschiedliches Problem handeln...
Ich danke euch für eure Tipps und Hinweise.
Gruss
Kann mir keiner helfen?