Multi Problem mit Rechner + Virus worm.win32.netsky

#0
30.03.2008, 23:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 ich muss auch googeln...
bis dahin, wende sdfix an + poste hier den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2008, 06:15
Member

Themenstarter

Beiträge: 58
#47 Hallo,
deine letzte Antwort verwirrt mich ein wenig. Was muss denn gegoogelt werden, davon war bei mir doch gar keine Rede, sondern nur zwei Auffälligkeiten, die im Zusammenhang mit der Fehlerbehebungsprozedur aufgetaucht, aber in kein Schema passen.
Da hätte ich doch gerne genau so eine qualifizierte Antwort, wie bei all den anderen Schritten vorher auch. Danke Sehr.
Gruß
Rolf
Seitenanfang Seitenende
31.03.2008, 10:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 so, so eine qualifizierte Antwort, verständlich - bei einem kostenlosen Support ;)
nun, ich kenne mich mit viren aus, alles andere muss ich auch ergoogeln, sprich, im net nachlesen. Deshalb kam keine promte Antwort auf die Fragestellung.

Wo ist das Log von sdfix ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2008, 21:10
Member

Themenstarter

Beiträge: 58
#49 Hallo,
dass ich ein wenig verwirrt war, liegt einfach daran, dass deine/eure Antworten von Anfang an sehr gut waren/sind. Da braucht es keinen Hinweis auf kostenlosen Support, bin ich in anderen Foren selbst als Ratgeber tätig und weiss um ehrenamtliche, mühevolle Arbeiten, die sowieso keiner oder kaum einer dankt.
Habe ich nun meinen Anspruch zu hoch angesetzt?
So, nun habe ich heute abend den SDFix durchlaufen lassen, dabei tauchten nach dem ersten Durchgang foglende Zwischenfenster auf:
>>WARNING
Registry key not found: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\hivelist

ERUNT can try to backup the system registry with default values.
User registries cannot be saved that way, however.
Continue? Choice "yes" or "no"<<<<<

Ich habe "Yes" angeklickt.

Dann tauchte kurze Zeit später folgendes Fenster auf:
>>>>Application Error
Eception EAccessViolation in module oleaut32.dll at 000135A6.
Access violation at address 771035A6 in module 'oleaut32.dll'.
Read address 0000000C.
"OK".<<<<<<

Dann kam das nächste Fenster:
>>>>C:\SDFIX\SDFix\apps\Lacate.com
Für diesen Vorgang ist keine Anwendung der angegebenen Datei zugeordnet. Erstellen Sie eine Zuordnung, indem Sie unter "Systemsteuerung" auf Ordneroptionen klicken.<<<<

Dann tauchte DOS-Fenster auf, der mir sagte, dass SDFIX nicht gespeichert werden könne.

Dann wollte ich die Ordneroption (wie oben beschrieben) erledigen.
Das wollte ich machen, aber der PC zeigte im abgesicherten Modus keinen Desktop an, nur grauschwarzen Hintergrund. Dann habe ich Strg alt entf gedrückt und dann tauchte ein Multi-Fenster auf mit "Herunterfahren, Rechner sperren, Abmelden, Abbrechen,..." Habe dann "Herunterfahren" gewählt, dann fuhr der Rechner im normalen Modus hoch und zeigte mir den Sdfix-txt an, den ich hier nun nachfolgend einkopiere:

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-31 20:44:05
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFIX\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 28 Dec 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!

<<<<<Ende der txt-Kopie.

Mich stört immer noch gewaltig, dass der Rechner immer noch nicht korrekt herunterfährt, sondern im Status "Windows wird heruntergefahren" stehen bleibt.
Dann kann ich nur per Drücken "Power" länger als 5 Sek oder Ziehen des Netzsteckers (Akku ist dauerhaft teilweise herausgezogen) den Laptop zum Ausschalten bewegen.

Und ganz besonders schlimm ist, dass der Rechner seit dem SDFix häufiger als sont einfach stehen bleibt und einfriert, zB. zwei Mal mitten im Schreiben einer einzigen Mail, dann kurz danach beim Überweisen von Onlinebanking.
Da brauche unbedingt kurzfristig wirksame Hilfe und Problemlösung. Das ist echt ätzend, zeitraubend und mühsam.

Und meine für heute letzte Frage:
Muss der Rechner während des SDFix-vorgangs am Internet sein oder davon getrennt sein, also online oder offline???

Danke und Gruß
Rolf
Dieser Beitrag wurde am 31.03.2008 um 21:34 Uhr von Railroader editiert.
Seitenanfang Seitenende
31.03.2008, 23:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 Hallo,

sdfix hat funktioniert, hatte jedoch Schwierigkeiten ein Backup der Registry anzulegen, denn dieses Proggie löscht Viren aus, legt aber vorher ein Backup an, um es bei eventuellen Problemen wieder zurückspielen zu können.
Warum nun sdfix auf diese Schwierigkeiten gestossen ist und dein Rechner im Grossen und Ganzen so schlecht funktioniert ... ?
Ich bin der Meinung, dass es kein Virenproblem mehr ist, sondern ein Hardwareproblem.
Ich habe mir deine Logs alle noch mal angesehen, leider sieht man nur die Daten und keine Hinweise auf eventuelle Abweichungen.

Wenn ein Rechner einfriert, oder nicht runterfährt kann das viele Ursachen haben, begonnen bei verschmutzen Lüftern und damit erhöhte Temperatur, dann können auch die Speicherriegel einen Knacks haben, oder die Harddisc ist teilweise hinüber.

Zitat

Die Anweisung in 0x600f0290" verweist auf Speicher in 0x00000000". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.
führe doch mal bitte einen Speichertest durch und überprüfe mal den kompletten Speicher. Wahrscheinlich hat der PC nur einen defekten Arbeitsspeicher

Download - Pre-Compiled Memtest86 v3.3 installable from Windows and DOS
http://www.memtest86.com/

Windows Memory Diagnostic
http://oca.microsoft.com/de/windiag.asp

mit diesen Problemen bist du jedoch im Technikforum besser aufgehoben als bei mir....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 00:17
Member

Themenstarter

Beiträge: 58
#51 Dass die beiden Rams einen Knacks haben sillen, kann ich mir schlecht vorstellen, sind sie doch erst im Frühjahr ausgetauscht worden, nun sind 2 x 512MB Kingston eingebaut.
Das Lüfterproblem kann ic schon eher nachvollziehen, da der Propelle rkaumnoch still steht.Aber ich traue mich nicht den Acer 1300 Laptop mal eben so aufzuschrauben. Habe im Forum schon einen entsprechenden Thread als Frage aufgemacht, aber außer einem naiven Aufmunterungsschub "mach mal" noch keine versierte Hilfe erhalten. aber vielleicht kennst du ja einen Laptop-Schrauber-Meister, der mir sagen kann, was ich beim Aufschrauben und dann weiter beachten muss/sollte.

Habe den SDFix im geschützten Modus nochmals mit online-Verbindung laufen lassen, dabei wieder Fehlermeldungen nach Ende von SDFix erhalten:

PC sollte runterfahren, tat er nicht, also ich "strg-alt-entf", dann erschien Fenster:

taskmgr.exe
Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden.

Dann nur schwarzer Bildschirm mit "gech+ützter modus" in den 4 Ecken

dann wieder "strg-alt-entf"

es erschienen die bunten WinXP-Fenster herunterfahren, dann abmelden
dann
BITTE WARTEN...
- die Netzwerkverbindungen werden getrennt
- Einstellungen werden gespeichert

dann passierte nichts mehr

also ich den Power-Knopf für Notaus

PC macht weder im geschützten Modus noch imNormalzustand einen Neustart noch fährt runter. Geht immer nur per Notaus.

Dann beim erneuten Hochfahren im Normalmodus erschien der neue SDFix-Report Nr. 2:

SDFix: Version 1.164

Run by Cyber Cody on 31.03.2008 at 21:48

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFIX\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-31 22:11:44
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFIX\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 28 Dec 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!


Während ich dies schrieb und kopierte, ist der PC erstaunlicherweise nicht eingefroren, nicht stehen geblieben, sehr wundersam.
Gruß
Rolf
Seitenanfang Seitenende
01.04.2008, 00:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Hallo,

dennoch bin ich der Meinung, dass man bei den Speicherriegeln nachhaken sollte..und natürlich auch bei den Lüftern.
Ich habe einen Rechner, den kann man leicht aufschrauben, wie das bei einem Laptop geht...keine Ahnung ;)
Gib den Rechner am besten in die Reparatur, oder wenigstens, dass sie ihn mal aufmachen und nachsehen...
Von hier aus, ich vor meinem Bildschirm, du vor deinem (auch wenn du am liebsten in selbigen beissen würdest ;) ) ist es sehr schwer,die Ursachen zu finden.
Ich mache einfach meinen Rechner auf und schau nach, stecke um, pinsel den Staub raus usw...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 12:58
Member

Themenstarter

Beiträge: 58
#53 Hallo,
und was sagst du zum Ergebnis des zweiten SDFix-Tests?
Gruß
Rolf
Seitenanfang Seitenende
01.04.2008, 14:03
Member
Avatar Yourhighness

Beiträge: 279
#54 Hi,

bitte gehe auf diese Seite: http://www.bleepingcomputer.com/submit-malware.php?channel=4

Unter:

Link to topic where this file was requested: gebe bitte den Link dieses Themas an.

Browse to the file you want to submit: fuege entweder den Pfad: C:\Windows\System32\ScrRun.dll ein, oder klicke auf "Browse" und navigiere manuell zu der Datei.

Leave any comments, further information about this file, or contact information: gebe bitte an: Request by Yourhighness

Vielen Dank!

-edit- oopsie. Bitte natuerlich auf "Send File" klicken.
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 01.04.2008 um 16:09 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
02.04.2008, 00:39
Member

Themenstarter

Beiträge: 58
#55 Wer ist denn bitte schön "Yourhighness". Bitte mal ein kurzes Profil posten, damit ich Klarheit bekomme. Danke sehr.
Seitenanfang Seitenende
02.04.2008, 06:25
Member
Avatar Yourhighness

Beiträge: 279
#56 http://www.bleepingcomputer.com/forums/index.php?showuser=64788

Der ersteller von ComboFix hat mich gebeten die o.g. Datei hochladen zu lassen.

Sabina scheint zwar nicht drauf eingegangen zu sein, aber Du hattest dies geschrieben:

Zitat

Hatte noch vergessen zu erwähnen, dass ich bei der Combofix/cfscript-Sache noch eine Fehlermeldung erhielt, und zwar tauchte mehrmals ein Fenster auf:
>>>"Prozedureinsprungpunkt"
"DoOpenPipeStream" wurde in der DLL "ScrRun.dll" nicht gefunden.<<<
Dies teilte ich dann mit und darauf bekamm ich die "Anweisung" das Du bitte die Datei hochladen sollst.
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
02.04.2008, 10:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 Hallo Railroader
lade bitte die dll hoch ... Yourhighness nimmt an, dass diese dll nicht ganz "koscher" ist und zur Unstabilität deines Systems beisteuert.

dann mache bitte folgendes (ich hoffe,es klappt)
wende winpfind an, hake alles so an, wie auf der seite erklärt
Additional Scans" klick die checkboxes: "Select All"

und poste den report
http://www.virus-protect.org/artikel/tools/winpfind3.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2008, 23:27
Member

Themenstarter

Beiträge: 58
#58 Durch ein Missgeschick habe ich eine Plätzchendose mit reichlich krümmeln auf die Tastatur des Lappies verschüttet, dann mit dem Staubsauger die Krümmel entfernt und dann einfach mal die Saugdüse an den Luftaustritt des Laps gehalten und mit starker Leistung "abgesaugt".
Das scheint zumindest die Wirkung zu haben, dass der Lap nicht mehr stehen bleibt, nicht mehr einfriert und der Lüfter viel seltener und wenn dann nur von kurzer Dauer noch anläuft.
Alle weiteren von euch gewünschten Tests werde ich nächste Tage durchführen, wenn ich wieder mehr Zeit habe.
Gruß
Rolf
Seitenanfang Seitenende
06.04.2008, 00:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 Hallo.

was doch Plätzechen für eine heilende Wirkung auf verdreckte Lüfter haben ;)
Dennoch erledige, wenn du Zeit hast, worum Johannes gebeten hat - oder ist die Fehlermeldung nach dem Staubsaugen auch weggeblasen ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2008, 23:34
Member

Themenstarter

Beiträge: 58
#60 Moin,
melde mich mal wieder.
Zum Eintrag von Yourhighness vom 01.04.2008 hätte ich gerne gewußt, ob das Grüne die Übersetzung vom Schwarzen ist?
Danke und bis bald mal.
Rolf
Seitenanfang Seitenende