Anwendungsprogramme starten nicht mehr |
||
|---|---|---|
| #0
| ||
|
02.06.2008, 17:27
Member
Beiträge: 17 |
||
 
|
|
|
|
02.06.2008, 18:11
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo,
da gibt es eine ganze Menge Malware, welche den taskmanager deaktiviert und die Ausführung von exe verhindert... «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als RESTORE.REG mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei RESTORE.REG auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird. Zitat REGEDIT4PC neustarten «« versuche Combofix zu laden - umbenennen combofix.exe in neu.com , anwenden (warnmeldung wegklicken) + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.06.2008, 12:27
Member
Themenstarter Beiträge: 17 |
#3
Hallo - nun war ich gerade dort (danke für die Hilfen!).
Irgendwie bin ich aber wohl zu doof.  Die Restore.reg wird nicht als hinzuzufügbare Datei erkannt (habe ich was falsch gemacht?). Wenn man an dem Rechner eine Datei markiert und dann auf der Enter-Taste drauf bleibt, dann startet die irgendwann (und zwar seeehr oft). Ich habe das mit combofix.com (bzw. neu.com) versucht. Es erscheint eine Fehlermeldung, das nicht alle benötigten Verzeichnisse erstellt werden konnten. Habe dann via F8 und Anmeldung als Admin eine aktuelle Version von Antivir draufgespielt. Auf Anhieb auf C:\ 3 Trojaner gefunden mit einer .tmp-Endung. Und ich habe Hijackthis (via oft Enter drücken nach Anmeldung mit dem verseuchten Account) laufen gelassen (die "neu.com" sind von den combofix-Startversuchen). Die Auswertung (bin ja nun zu Hause) auf Hijackthis.de scheint die ntos.exe zu bemängeln. (Antivir hat diese nur als "versteckt" bezeichnet und die Einsendung angeboten - nach einem kopieren in die Quarantäne wurde sie als "sauber" identifiziert). Logfile of HijackThis v1.99.1 Scan saved at 11:45:15, on 03.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com F:\neu.com C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O4 - HKLM\..\Run: [SfWinStartInfo] C:\Programme\SFIRM32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Startup: HijackThis.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163576750921 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe Edit: und Antivir hat noch bei einer anderen Date (ich glaube " all[1].js " ) einen Heuristik-Treffer einervermuteten HTML-Malware erbracht. (Der Scan läuft aber noch - das kann dauern) Und nu? Grüße streaming |
|
|
|
|
|
|
03.06.2008, 12:36
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
,C:\WINDOWS\system32\ntos.exe, Ntos.exe is Infostealer.Banker.C. Infostealer.Banker.C is a Trojan horse that may steal sensitive information from the compromised computer. c:\windows\system32\wsnpoem C:\windows\system32\audio.dll Scanne versteckte Dateien... C:\WINNT\system32ntos.exe 311296 bytes C:\WINNT\system32wsnpoem %SYSDIR%\ntos.exe %SYSDIR%\wsnpoem\audio.dll %SYSDIR%\wsnpoem\video.dll • Änderung an der Registry • Stiehlt Informationen • Ermöglicht unbefugten Zugriff auf den Computer Zitat http://board.protecus.de/t31744.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.06.2008, 13:32
Member
Themenstarter Beiträge: 17 |
#5
Hm - ist nicht nett (das Problem meine ich
 ).Das Rechner aufsetzen sollte sich schwierig gestalten (zumal es nicht mein eigener ist). Die Daten und Installationen darauf sind umfangreich. Außerdem existieren insgesamt 4 Konten (Admin+3 weitere welche auch genutzt werden). Ich würde das lieber vermeiden (und hätte das so oder so nicht zu entscheiden). Nicht nur weil es eine Menge Arbeit macht, sondern auch weil es die Gefahr in sich birgt, das irgendwie Daten verloren gehen. Ich müsste ja zuallererst eine andere Festplatte organisieren - und ob alle CD´s der installierten Programme zur Hand sind ist (erfahrungsgemäß) auch fraglich (deshalb frage ich in solchen Fällen auch nicht.... es hat immer zuckende Schultern und ein"Oh je.." zur Folge ).Alternativen? Grüße Streaming Edit: c:\windows\system32\wsnpoem C:\windows\system32\audio.dll Ja - die hatte Antivir auch als "nicht scanbar und bitte einschicken" markiert - nach einem kopieren in die Quarantäne (und durchsuchen) aber ebenfalls mit einem Häkchen versehen. (waren meine ich aber drei Dateien - morgen werde ich mir das Log kopieren) Dieser Beitrag wurde am 03.06.2008 um 13:45 Uhr von streaming editiert.
|
|
|
|
|
|
|
03.06.2008, 14:54
Ehrenmitglied
Beiträge: 29434 |
#6
««
lade sdfix (noch nicht anwenden) http://virus-protect.org/artikel/tools/sdfix.html «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! Zitat F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,«« Avenger http://virus-protect.org/artikel/tools/avenger.html Script einkopieren kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" «« boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken --------- poste dann nach neustart den report von sdfix und Avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- »
- »
- » Kann Metin2 nicht mehr starten.
- »
- »
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe einen Rechner zu kurieren. Ich kann dort zwar frühestens morgen einen Virenscanner laufen lassen, wollte aber einmal fragen ob sich jemand einen (anderen) Reim darauf machen kann, weil mir ein Virus irgendwie auch nicht plausibel erscheint... oder die Symptome schon kennt (was eine Sucherei oder die zu besorgenden Programme erheblich beschleunigen kann... vor Ort habe ich keinen INet-Zugang)
Rechner:
XP SP2 - 3 Benutzerkonten; bei einem der Benutzerkonten geht seit vorgestern nahezu gar nichts mehr. Er lief ganz normal - wurden offenbar nur neue Zugangsdaten für die ISDN/DSL-Anbindung eingegeben und damit gesurft (ging auch).
Einen Tag später dann folgendes:
Klick auf Anwendungsprogramme... nichts geschieht. Es wird nicht ein Anwendungsprogramm geöffnet. Nicht einmal Notepad (Hjackthis) o.ä. (die Zip-Datei macht er noch auf... die .exe nicht... auch nicht wenn man die in den Autostart-Ordner schiebt).
Das geschieht nur bei diesem Benutzerkonto und ist auch im abgesicherten Modus Fakt. Jeder Startversuch(Öffnen o.ä.) von irgendwas führt nur zu einem kleinen zucken (Milisekunde Sanduhr). Ab und an startet es mit diesem Benutzerkonto noch nicht einmal oder bringt Fehlermeldungen (bis hin zu "ungenügender Speicher" o.ä.). Es ist offenbar im Laufe des Tages schlimmer geworden (am Anfang des Tages konnte man z.B. Word noch manuell starten - oder indem man zig Mal "Enter" zum starten gedrückt hat).
Bei den anderen Benutzerkonten ist alles einwandfrei.
Ich meine ja zu wissen, das es Trojaner/Backdoors gibt, welche das öffnen des Task-Managers unterdrücken. Aber alles???
Ich wäre für Hinweise dankbar.
Grüße
Streaming