Hallo Leute!

Kennt jemand von euch diesen:

Win32:Cheburgen-D

avast! hat ihn gefunden und vernichtet.

Leider hab ich aber damit ein noch viel größeres Problem!
Dieser Trojaner befindet sich in der "pagefile.sys".

Bevor ich nun aber wohlgmeinte Tipps bekomme, dass ich die
Systemwiederherstellung deaktivieren soll, möchte ich über ein zumindest für
mich unerklärliches Phänomen berichten:

Es handelt sich um den Rechner meiner Schwägerin, die es aus
Unerfahrenheit geschafft hatte, in nur wenigen Minuten die Platte
voller Seuchen zu haben. Ihre Beschreibung beschränkte sich auf:
"Rechner startet nicht mehr".
Nach dem ich die Kiste dann im abgesicherten Modus nach x-Versuchen
zumindest soweit hatte, dass ich avast! installieren konnte, freute ich
mich schon, das Problem beim 5. Durchlauf nun endgültig gelöst zu haben.
Beim erneuten Start des Systems (WinXP-prof) fing aber der Ärger nun
so richtig an (und hält bislang an!).
Der Rechner fährt hoch, und beim Anmeldefenster ist Schluss. Es ist zwar
noch möglich, Benutzer und Kennwort einzugeben, aber nach wenigen
Sekunden kommt man wieder zum Anmeldefenster zurück! Egal welcher User,
also auch der Admin.
Hab die Platte dann ausgebaut, und sie extern wiederum mit avast! gescannt.
Dabei tauchte dieser letzte Trojaner in der pagefile.sys auf.
Nachdem ich mich im net schlau gemacht hatte, fiel meine Entscheidung
darauf, die pagefil.sys zu löschen. Da diese jedoch (nach den Informationen
aus dem net) aus der "System Volume Information" - Datei) immer wieder
hergestellt wird, mußte auch dieser Ordner (mittels Knoppix) dran glauben.
Platte wieder eingebaut, erneuter Versuch. Und siehe da, wieder der gleiche
Effekt! Platte wieder ausgebaut - externer Scan. Zu meiner Verwunderung
war tatsächlich die pagefile.sys wieder da, obwohl der Systemordner
"System Volume Information" zwar auch wieder da aber definitiv leer ist!!!

Woher kommt also diese pagefile.sys tatsächlich?!?

Hat jemand einen Tipp, wie ich XP sonst noch starten könnte, um die
Wiederherstellung endlich auszuschalten???

Grüße,
MEXX

Hi,
tja schön gedacht und auch von der Lösung her gar nicht so unschlau. Nur dumm, dass avast aller Wahrscheinlichkeit eine wichtige Windowsdatei angemeckert hat.
Wie groß ist denn die Datei? Wo liegt sie?

Solltest du diese Datei gelöscht haben:

Zitat:

C:\pagefile.sys

Dann hast du eine Windowsdatei gelöscht (ungesund!) und kannst dich bei Windows bedanken, dass es seine regenerativen Fähigkeiten eingesetzt hat.
Es handelt sich hierbei um die Auslagerungsdatei von Windows.
Diese kann übers ControlPanel wie folgt abgestellt werden:
Systemeigenschaften - Erweitert - Systemleistung - Einstellungen - Erweitert - Virtueller Arbeitsspeicher - Ändern.

Dort: Keine Auslagerungsdatei - Festlegen - OK - neu starten.

(Damit wird die Datei beim nächsten Neustart gelöscht und neuangelegt. Sollte sich darin ein Virus befunden haben, bist du ihn dann los)

Wenn du sie wieder aktivieren willst:
Wieder in den Dialog gehen und einstellen: "Größe wird vom System verwaltet" - Neustart.

Auch die Systemwiederherstellung bitte nicht im Betrieb löschen. Die Systemwiederherstellung lässt sich sehr einfach über Start -> Systemsteuerung -> System -> Systemwiederherstellung deaktivieren. in 99% der Fälle reicht das, sollte es mal nicht reichen, kann man hinterher immernoch rabiat werden.
(Der Ordner bleibt IIRC auch bei deaktivierter Systemwiederherstellung bestehen. Sollte aber leer sein.)

Bei kaputten Betriebssystem lässt sich allerdings die Prognose wagen, dass ein Neuaufsetzen schneller und sicherer ist, als die Reparatur.

Verlasse dich nie auf ein (Antiviren-)Programm a) gibt es Fehlalarme, deren Löschung ein zerstörtes Windows zur Folge haben können und b) erkennen sie bei weitem nicht alles, was an Malware herumkreucht und fleucht. Auch im Netz gilt Vorsicht ist besser als Nachsicht.


Was jetzt deine Schwägerin angeht:
Was wurde denn alles an Befällen gefunden? Welche Dateien wurden gelöscht? Wurde nur mit Avast oder auch mit anderen Programmen gearbeitet?
Müsste ich raten, würde ich behaupten es wurden nicht nur befallene Dateien, sondern auch Windowsdateien gelöscht, was ein korrektes Funktionieren von Windows jetzt unmöglich macht.

Ich würde wie gesagt ein Neuaufsetzten empfehlen.

lg myrtille

Danke für die Wortmeldung!

Der Entschluss, die pagefile.sys zu löschen ist mir nicht gerade leicht
gefallen, und war als letzter Schritt vor der Neuinstallation gedacht.

Wie ich aber schon geschrieben hatte, gab es das Problem mit dem Stopp
beim Anmeldefenster bereits vor dem Löschversuch, es hat die Sache also
nicht weiter verschlimmert.

Mein Problem liegt in erster Linie darin, dass ich keine Möglichkeit mehr habe,
mich über irgendein Profil anmelden zu können, um die Wiederherstellung
deaktiviern zu können. Gibt es da gar keine Chance mehr ???

Nebst avast liefen auch noch AdAware, SpyBot, McAffee und einige andere
Säuberungsprogramme über die Festplatte.
Bei den angemeckerten Dateien (zu 99% in den Temp.Internetfiles) war keine
"wichtige" dabei, bis eben auf die pagefie.sys.

Denke, dass ein Neubeginn die beste Lösung ist

Grüße,
MEXX

Hi,

wenn es "nur" Cookies/Adware/etc war, und es sich nicht um 5-6 hinterhältgie Trojaner handelt, sollte der PC nicht aufgrund von Malware abgestürzt sein, bzw nicht mehr hochfahren.
Ich vermute eher ein Softwareproblem. Deinstallier bitte McAffee oder Avast, 2 Antivireprogramme können durchaus dazuführen, dass dein Rechner nicht mehr richtig hochfährt.

Ich kann dir nicht wirklich helfen, solange ich nicht weiß, was eigentlich das Problem ist, bzw wieso das passiert.
Ich vermute mal es gab bisher keine Fehlermeldungen von Windows oÄ?
Vielleicht ist auch einfach nur das Benutzerkonto zerstört?
Bei WinXPProf kannst du mal versuchen am Loginscreen 2mal strg+alt+entf zu drücken und dich in dem erscheinenden Loginscreen als Administrator anzumelden. (vorausgesetzt ihr habt das Paßwort noch. )

Leider gibt es viele Möglichkeiten, wie es zu diesem Problem kommen könnte. Daher weiterhin meine Aussage: Schneller und Sicherer ist das Neuaufsetzen.

Vor der Systemwiederherstellung brauchst du an sich auch keine Angst zu haben, theoretisch könntest du dadurch wieder infiziert werden, dafür müsstst du die SWH allerdings erstmal ausführen und einen Ausführungspunkt wählen, an dem der Rechner schon infiziert war. Da besteht derzeit recht wenig Gefahr.

lg myrtille

Zitat:

Zitat von myrtille

Dann hast du eine Windowsdatei gelöscht (ungesund!) und kannst dich bei Windows bedanken, dass es seine regenerativen Fähigkeiten eingesetzt hat.

Die pagefile.sys ist zwar eine Systemdatei kann aber ohne Probleme gelöscht werden. Aus dem laufenden Windows geht das zwar nicht, aber von Fremdsystemen wie BartPE/Knoppix. Und es ist völlig normal daß die pagefile.sys beim nächsten Start von Windows wieder da ist, das haben Auslagerungsdateien so an sich. :aplaus:

Den angeblichen Schädling in der pagefile halte ich übrigens für einen Fehlalarm.

Genau so läuft das ja bei diesem Rechner ab! Ich lösche die pagefile.sys,
und beim nächsten Start ist sie wieder da. Gleiches gilt übrigens auch für
die hiberfil.sys!
Leider bringt mich diese Erkenntnis nicht viel weiter...

Ich konnte jedoch beobachten, dass nach dem Anmelden eines Profils noch
die Benutzereinstellungen geladen, und dann unmittelbar der User wieder
abgemeldet wird ("Einstellungen werden gespeichert"...).
Und schon landet man wieder beim Anmeldefenster!

Bevor ich avast installieren konnte, war das Bild folgendes:

Der Bootvorgang ("normaler" Windows-Start) war noch nicht abgeschlossen,
schon startete der Computer neu.
Den ersten Erfolg konnte ich dann landen, als ich die Kiste im abgesicherten
Modus hochfahren ließ - da erschien zumindest schon mal das Anmeldefenster.
Lustigerweise reagierte das Ding dann aber nicht mehr.

Nach einigen Versuchen gelang es mir aber dann schließlich, dass ich, sobald
am Schirm der blaue Hintergrund erschien, und ich bereits den Mauszeiger an
der richtigen Stelle platziert hatte, durch heftiges Betätigen der linken
Maustaste das Adminprofil anwählen zu können.

Es folgten die Scans mit dem nun vorliegenden Ergebnis, auch der gesicherte
Modus ändert daran nix!

Gibt es die Möglichkeit, den gesamten Anmeldevorgang in einem Logfile zu
hinterlegen?

Grüße,
MEXX

Zitat:

Ich lösche die pagefile.sys,
und beim nächsten Start ist sie wieder da. Gleiches gilt übrigens auch für
die hiberfil.sys!
Leider bringt mich diese Erkenntnis nicht viel weiter...

Was hast du denn da jetzt nicht verstanden? Die pagefile.sys ist und bleibt die Auslagerungsdatei! Windows lagert ständig irgendwie irgendwo was aus daher solltest du das auch nicht deaktivieren um unnötige Seiteneffekte zu verhindern.
Es sei denn da tarnt sich ein Schädling als pagefile.sys aber die würde dann nicht direkt im root-Verzeichnis von c:\ liegen.

Die hiberfile.sys kannst du dauerhaft entfernen wenn du in den Energieoptionen den Ruhezustand deaktivierst.

Zitat:

durch heftiges Betätigen der linken
Maustaste das Adminprofil anwählen zu können.

:aplaus:

Viel zu kompliziert. Wenn der Willkommensbildschirm da ist, einfach mal 2x STRG+ALT+ENTF dann gelangst du in die alte WINNT-Einlogmaske und kannst Dich als Administrator (das vordefinierte Konto das jedes Windows hat) anmelden.

Ehrlich gesagt weiß ich jetzt aber immer noch nicht welches akute Problem bei dir nun vorliegt, ich vermute aber die Kiste ist völlig versemmelt und kann mich daher myrtilles Tipp nur anschließen:

Zitat:

Zitat von myrtille

Ich würde wie gesagt ein Neuaufsetzten empfehlen.

Überleg mal wie lange du da jetzt schon an der Kiste rumgefrickelt hast.
In der Zeit hätte man schon 3x neu aufsetzen können.