Hallo Leute,
ich habe hier einen Rechner wo ich momentan nicht mehr weiter weiss.
Die Vorgeschichte:
Laptop von einer Kollegin, Windows XP Home SP3, sie hat einen USB-Stick angeschlossen, meldet AntiVir einen Virus..eine autorun.exe und eine autorun.inf.
Der Virus wurde als win32.psw.ldpinch erkannt.
Der USB Stick war von ihr und wurde sonst nirgends verwendet, ergo konnte der Virus nur von ihren Rechner stammen.
Scannt draufhin den kompletten Rechner und der Virus wurde unter C:\Programme\Gemeinsame Dateien als svchost.exe gefunden.
Und das Problem ist nun, wenn der Laptop gestartet wird, erscheint das Login-Bild wo man die Benutzer auswählen kann und anschließend rattert der PC weiter doch es erscheint kein Desktop oder Taskleiste.
Der Taskmanager lässt sich auch nicht aufrufen (nur im abgesicherten Modus).
Einmal konnte ich beobachten wie auf dem leeren Desktop das Antivir-Update Programm erscheint und sich selbst aktualisiert.
Im Abgesicherten Modus mit Eingabeaufforderung ist es mir möglich den Taskmanager zu starten.
Im normalen abgesicherten Modus nicht.
Desktop & Taskleiste sind ebenfalls nicht vorhanden und das starten von Explorer.exe oder IEexplorer.exe ist mir ebenfalls nicht möglich. (explorer.exe wurde nicht gefunden)
Ich habe die Reperaturfunktion von der XP CD durchgeführt was keinen Erfolg brachte.
Per BartPE einen Virenscann mit
CureIT von Dr. Web über die Festplatte gemacht, Virus wurde keiner gefunden.
Hier mal die HiJackThis-Log:
[QUOTE]Hallo Leute,
ich habe hier einen Rechner wo ich momentan nicht mehr weiter weiss.
Die Vorgeschichte:
Laptop von einer Kollegin, Windows XP Home SP3, sie hat einen USB-Stick angeschlossen, meldet AntiVir einen Virus..eine autorun.exe und eine autorun.inf.
Der Virus wurde als win32.psw.ldpinch erkannt.
Der USB Stick war von ihr und wurde sonst nirgends verwendet, ergo konnte der Virus nur von ihren Rechner stammen.
Scannt draufhin den kompletten Rechner und der Virus wurde unter C:\Programme\Gemeinsame Dateien als svchost.exe gefunden.
Und das Problem ist nun, wenn der Laptop gestartet wird, erscheint das Login-Bild wo man die Benutzer auswählen kann und anschließend rattert der PC weiter doch es erscheint kein Desktop oder Taskleiste.
Der Taskmanager lässt sich auch nicht aufrufen (nur im abgesicherten Modus).
Einmal konnte ich beobachten wie auf dem leeren Desktop das Antivir-Update Programm erscheint und sich selbst aktualisiert.
Im Abgesicherten Modus mit Eingabeaufforderung ist es mir möglich den Taskmanager zu starten.
Im normalen abgesicherten Modus nicht.
Desktop & Taskleiste sind ebenfalls nicht vorhanden und das starten von Explorer.exe oder IEexplorer.exe ist mir ebenfalls nicht möglich. (explorer.exe wurde nicht gefunden)
Ich habe die Reperaturfunktion von der XP CD durchgeführt was keinen Erfolg brachte.
Per BartPE einen Virenscann mit
CureIT von Dr. Web über die Festplatte gemacht, Virus wurde keiner gefunden.
Hier mal die HiJackThis-Log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:38, on 10.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [VModes] VModes 1024 768 32 60
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?AuthParam=1234209082_3217096ab0639c4e2665bc53320a2777&GroupName=JSC&FilePath=/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab&File=jinstall-6u12-windows-i586-jc.cab&BHost=javadl.sun.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs:
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DCOM-Server-Prozessstart DcomLaunchAntiVirScheduler (DcomLaunchAntiVirScheduler) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remoteprozeduraufruf (RPC) RpcSsDnscache (RpcSsDnscache) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Smartcard SCardSvrCOMSysApp (SCardSvrCOMSysApp) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Windows-Bilderfassung (WIA) stisvcWZCSVC (stisvcWZCSVC) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Dienst für Seriennummern der tragbaren Medien WmdmPmSNBrowser (WmdmPmSNBrowser) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Automatische Updates wuauservEapHost (wuauservEapHost) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCEapHost (WZCSVCEapHost) - - C:\WINDOWS\system32\accwiza.exe
--
End of file - 5727 bytes
|
Die verdächtige Datei accwiza.exe ist nicht vorhanden,
die Dienste habe ich zur Vorsicht alle deaktiviert. Brachte keine Änderung.
Bin für jeden Hinweis dankbar
11.11.2009, 00:41
Baum-Darstellung