Home » Viren, Trojaner & Malware Forum » Win 2000 bootet nicht mehr (TR Densmail.2 ) » Themenansicht
Win 2000 bootet nicht mehr (TR Densmail.2 ) |
||
|---|---|---|
| #0
| ||
|
07.04.2004, 11:42
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
07.04.2004, 12:30
Moderator
Beiträge: 7805 |
#2
Das scheint wohl "Nur" Adware zu sein: http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=Densmail.2&product=0
SChwer zu sagen, warum dein Win2000 nicht mehr bootet, vieleicht hilft das Log ja wirklich weiter... __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
07.04.2004, 13:14
...neu hier
Beiträge: 9 |
#3
Hallo monchen,
so ein Schlingel, dein Bruder! <Stirnrunzel>: Auf meiner Win2k-Kiste gibts gar keine comctl_32.exe, aber comctl32.dll (529680 byte) und comctl32.ocx (140488 byte). Die comctl32.dll gibts übrigens hier zum download: http://www.dll-files.com/search.php?s=comctl32 Bei: http://www.pestpatrol.com/PestInfo/t/trojan_win32_densmail.asp#Detection%20and%20Removal findest du Info zu densmail. Weiss nicht ob dir das wirklich hilft, insbesondere wg. des streikenden Win2k. <grübel>. Bitte meld dich wieder. -fpf PS: Wenn dein Win2k auf einer NTFS-Partition ist, wirst du unter ME das auf dieser Partition) gespeicherte log nicht "sehen", Ausweg z.B.: unter 2k auf Diskette speichern und in ME einlesen. Viel Erfolg! Dieser Beitrag wurde am 07.04.2004 um 13:26 Uhr von fpf editiert.
|
|
|
|
|
|
|
07.04.2004, 13:40
...neu hier
Themenstarter Beiträge: 8 |
#4
hallo raman und fpf
 danke hier erstmal der logfile puhh war des kompliziert*gCode Logfile of HijackThis v1.97.7hoffe ihr koennt mir weiterhelfen,aber ich probier erstmal eure tips aus!melde mich wieder gruss mona
|
|
|
|
|
|
|
07.04.2004, 15:45
Member
Beiträge: 1095 |
#5
Hi
Fixe bitte das in Hijackthis Alles mit R0, R1 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINNT\system32\deinst_qfe001.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Web Search - C:\WINNT\ex.htm O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download/ToolBand.cab O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} - http://dvdmoviescorp.com/dp5000.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.98.176.62/EPlugin_GB.cab Danach neustart Dann mal dies alles machen http://board.protecus.de/t9373.htm Dann nochmal logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
07.04.2004, 16:21
...neu hier
Themenstarter Beiträge: 8 |
#6
hallo paff!
ich hab des gefixt auf win 2000 und danach der logfile hier Logfile of HijackThis v1.97.7 Scan saved at 16:02:07, on 07.04.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINDOWS\Desktop\HijackThis.exe C:\WINNT\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: AIM (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.98.176.62/EPlugin_GB.cab so nun bin ich auf D:\ Bs Me sonst komm ich nicht online*g hmm aber nun aufm Desktop von Me so komische Backupdatein glaube die ich gerade auf C:\ Win 2000 gefixt habe! hmm merkwuerdig ! Trotzdem kann ich mein 2000 immer noch nicht normal hochfahren nur im abgesichertem Modus und nun?;((( |
|
|
|
|
|
|
07.04.2004, 22:54
Member
Beiträge: 1095 |
#7
Hi monchen
Was meldet den das Win2000 wenn du ganz normal hochfährts Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
08.04.2004, 11:16
...neu hier
Beiträge: 9 |
#8
Hallo monchen,
zu deinem streikenden Win2k: Hast du schon mal in die "Ereignisanzeige" geschaut? ( Arbeitsplatz > Systemsteuerung >Verwaltung > Ereignisanzeige >(Anwendungsprotokoll; Systemprotokoll)? Hast du beim Booten in den Normalmodus einen bluescreen? stop error message? welche? oder einfach nur einen schwarz bleibenden Bildschirm? So ganz ohne weitere Info 'kannste nicht geholfen werden', also lass mal wissen. bis dann und liebe Grüße -fpf |
|
|
|
|
|
|
09.04.2004, 19:32
...neu hier
Themenstarter Beiträge: 8 |
#9
hallo paff! wenn ich win 2000 hochfahre im normalen modus passiert nichts keine fehlermeldung und ist auch kein bluescreen im eigentl.sinne sondern nur der desktophintergrund ich kann std warten nix andres passiert .wenn ich strg alt entf. druecke steht auch nichts in anwendungen drin.komme in win 2000 nur im abgesichertem modus!vllt hast du ja ne ahnung.frohe ostern wuensch ich dir
|
|
|
|
|
|
|
09.04.2004, 19:36
Moderator
Beiträge: 7805 |
#10
Aha! Dann druecke mal auf "neuer Task" und gebe dort explorer ein und siehe was passiert. Vieleicht ist ja "nur" deine Explorer.exe weg!?
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
09.04.2004, 19:59
...neu hier
Themenstarter Beiträge: 8 |
#11
aehm ja´gute idee raman *g ich probiers mal ! frohe ostern
|
|
|
|
|
|
|
10.04.2004, 14:01
...neu hier
Beiträge: 9 |
#12
Schau mal,
1) ob in \WINNT die Datei explorer.exe die Größe 245008 byte hat und 2)mit regedit, ob im Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon bei "Shell" der Wert "explorer.exe" eingetragen ist. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ja also habe Virenscan auf 2000 mit abgesichtertem modus gemacht der zeigte mir in C:\WINN\comct1_32.exe (TR Densmail.2)an habe ihn aber da geloescht sagt zumindest antivir:Trotzdem komm ich nicht auf mein betriebssystem ausser einem blauen bildschirm.
Mein Bruder war am Weekend auf sexseiten (habe aber durch Telekom auch 0190er gesperrt)er hatt diesen trojaner auch gefunden und angeblich geloescht.naja und ich war spaeter dann online ohne am pc zu sitzn kein ie auf oder sonstwas da oeffneten sich die ganzen pornoseiten von allein.naechsten tag dasselbe spiel nur sah ich die seiten nicht also kein IE ging auf ,hab es im taskmanager(strg alt entf) bei anwendungen gesehn das sich IE immer pornoseiten lud hmm wer kann mirn helfen?waer echt nett
Mache gleich nochmal im abgesichtertem modus in win 2000 nen logfile dauert aber laenger muss sehn wie ich den auf win me bekomme und dann hier posten kann.lieben gruss und schoenen tag an alle mona