| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hänge im abgesicherten Modus festWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.11.2009, 15:40
| #31 |
| /// Selecta Jahrusso   |  Hänge im abgesicherten Modus fest Abgesicherten Modus wirste vermutlich jetzt nicht mehr kommen wenn Du mehrmals beim booten auf F8 drückst oder ? Hier scheint die Winlogon.exe defekt zu sein. Versuch bitte nun folgendes wieder in der RC Code:
ATTFilter ren C:\windows\system32\winlogon.exe winlogon.exe.bak
copy C:\WINDOWS\system32\dllcache\winlogon.exe C:\windows\system32
Starte den Rechner bitte neu auf.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
26.11.2009, 15:58
| #32 |
 | Hänge im abgesicherten Modus fest Der abgesicherte Modus ist mit F8 jetzt nicht mehr erreichbar, ja!
__________________Eingabebefehl Nr. 1 hat er mir angenommen. Beim 2ten Befehl, also copy C:\WINDOWS\system32\dllcache\winlogon.exe C:\windows\system32 kam: Die angegebene Datei wurde nicht gefunden. Nach dem Neustart des Rechners befindet sich der Neustart in der Schleife |
|
26.11.2009, 16:33
| #33 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Erstens. Wurde Knoppix als bootbare CD gebrannt?
__________________so bitte versuche folgendes. Lege die Win CD ins Laufwerk. Boote in die RC und gib bitte folgendes ein Code:
ATTFilter expand x:\i386\winlogon.ex_ c:\windows\system32\winlogon.exe
__________________ |
|
26.11.2009, 16:38
| #34 |
| | Hänge im abgesicherten Modus fest Ich fürchte, dass Knoppix nur als Daten-CD gebrannt wurde und von daher nicht automatisch bootet  Den Rest probiere ich jetzt und berichte dann gleich. Edit: Dort kommt bei der Befehlseingabe leider: Ungültige Pfad- oder Dateiangabe Geändert von Thomas15872 (26.11.2009 um 16:59 Uhr) |
|
26.11.2009, 17:02
| #35 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Das gibts doch jz echt nicht Code:
ATTFilter copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\windows\system32
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
26.11.2009, 17:37
| #36 | |
| | Hänge im abgesicherten Modus festZitat:
1 Datei(en) wurde kopiert Bin dann mit EXIT wieder raus. Reboot erfolgte dann automatisch. Anschließend kam das blaue Fester wieder, dann kurz das Hintergrundbild, anschließend wieder das blaue Fenster und zuguterletzt das Benutzerkonto. Das habe ich angeklickt, doch der Ablauf war leider wieder der Altbekannte. Benutzerdaten werden geladen Abmeldung... Einstellungen werden gespeichert (also wieder die Schleife)  Habe jetzt erstmal den Rechner ausgemacht. Ich drücke die Daumen  für die Matheklausur ... und schaue dann morgen früh wieder rein. Vielen Dank erstmal bis hierhin^^ |
|
27.11.2009, 14:08
| #37 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Okay, next userinit.exe  Wenn da die Registry was hat, haben wir ein Problem ^^ Sehen wir nach was SFF so verunstalltet hat. Die .txt datei ist etwas länger. Du kannst diese auf einen USB Stick kopieren, wenn Du den Laufwerksbuchstaben weist Code:
ATTFilter set allowallpaths = true
set allremovablemedia = true
copy C:\rapport.txt X:\
Ansonsten Code:
ATTFilter type C:\rapport.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
28.11.2009, 13:19
| #38 | |
| | Hänge im abgesicherten Modus fest So, habe jetzt endlich die rapport.txt. Gestern hatte ich es leider nicht mehr geschafft ^^ Zitat:
C:WINDOWS\System32\smss.exe C:WINDOWS\system32\csrss.exe C:WINDOWS\system32\winlogon.exe C:WINDOWS\system32\services.exe C:WINDOWS\system32\lsass.exe C:WINDOWS\system32\svchost.exe C:WINDOWS\system32\svchost.exe C:WINDOWS\System32\svchost.exe C:WINDOWS\System32\svchost.exe C:WINDOWS\System32\svchost.exe C:WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\PCOptimizer\PCoptimizerService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe\Explorer.EXE C:\Programme\Analog Devices\Sound\MAX\SMTray.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\Spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_06\realsched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe >> >> >> >> >> >> >> >> >> >> >> >> hosts >> >> >> >> >> >> >> >> >> >> >> >> C:\ >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\Web >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system32 >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system32\LogFiles >> >> >> >> >> >> >> >> >> >> >> >> C:\Dokumente und Einstellungen\Thomas >> >> >> >> >> >> >> >> >> >> >> >> C:\DOKUME~1\Thomas\LOKALE~1\TEMP >> >> >> >> >> >> >> >> >> >> >> >> C:\Dokumente und Einstellungen\Thomas\Application Data >> >> >> >> >> >> >> >> >> >> >> >> Start Menu >> >> >> >> >> >> >> >> >> >> >> >> C:\DOKUME~1\Thomas\FAVORI~1DESKTOP >> >> >> >> >> >> >> >> >> >> >> >> C:\Programme >> >> >> >> >> >> >> >> >> >> >> >> Corrupted Keys >> >> >> >> >> >> >> >> >> >> >> >> Desktop Components >> >> >> >> >> >> >> >> >> >> >> >> 04Patch !!!Attention, following Keys are not inevitably infected!!! 04Patch Credits: Malware Analysis & Diagnostic Code: S!Ri >> >> >> >> >> >> >> >> >> >> >> >> IEDFix !!!Attention, following Keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri >> >> >> >> >> >> >> >> >> >> >> >> Agent.OMZ.Fix !!!Attention, following Keys are not inevitably infected!!! Agent.OMZ.Fix Credits: Malware Analysis & Diagnostic Code: S!Ri >> >> >> >> >> >> >> >> >> >> >> >> VACFix >> >> >> >> >> >> >> >> >> >> >> >> 404Fix >> >> >> >> >> >> >> >> >> >> >> >> Sharedtaskscheduler !!!Attention, following Keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll >> >> >> >> >> >> >> >> >> >> >> >> AppInit DLLs !!!Attention, following Keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows] “AppInit_DLLs”=”owegeq.dll” >> >> >> >> >> >> >> >> >> >> >> >> Winlogon !!!Attention, following Keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows] “Userinit”=”C:\\WINDOWS\\system32\\userinit.exe, “ >> >> >> >> >> >> >> >> >> >> >> >> RK [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows] “System”=” “ >> >> >> >> >> >> >> >> >> >> >> >> DNS Description: MAC-Brückenminiport – Paketplaner-Miniport DNS Server Search Ordner: 192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1. HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1. HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1. >> >> >> >> >> >> >> >> >> >> >> >> Scanning for wininet.dll infection >> >> >> >> >> >> >> >> >> >> >> >> End |
|
28.11.2009, 14:18
| #39 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Okay, wurde SFF mit Option 1 oder 3 ausgeführt. Sieht nach 1 aus. Versuchen wir die Userinit.exe zu ersetzen. Code:
ATTFilter cd C:\windows\system32
attrib -s -h -r userinit.exe
ren userinit.exe userinit.bak
copy C:\WINDOWS\system32\dllcache\userinit.exe C:\windows\system32
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
28.11.2009, 14:37
| #40 |
| | Hänge im abgesicherten Modus fest Bekomme hier: Unbekannter Befehl Parameter ungültig angegebene(s) Datei / Verzeichnis nicht gefunden angegebene Datei wurde nicht gefunden Edit: oder muss ALLES in einem eingegeben werden? Habe es nacheinander versucht^^ |
|
28.11.2009, 14:39
| #41 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Wann genau kommt "unbekannter befehl" ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
28.11.2009, 14:42
| #42 | |
| | Hänge im abgesicherten Modus festZitat:
C:\windows\system32 |
|
28.11.2009, 14:52
| #43 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Okay, schreiben wir es um Sorry, ich hab noch nicht so viel Erfahrung mit der RC Code:
ATTFilter attrib -s -h -r C:\windows\system32\userinit.exe
ren C:\windows\system32\userinit.exe userinit.bak
copy C:\WINDOWS\system32\dllcache\userinit.exe C:\windows\system32
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
28.11.2009, 15:05
| #44 | |||
| | Hänge im abgesicherten Modus festZitat:
Zitat:
Zitat:
|
|
28.11.2009, 15:38
| #45 |
| /// Selecta Jahrusso | Hänge im abgesicherten Modus fest Okay, dann anders. Code:
ATTFilter copy C:\i386\userinit.ex_ C:\windows\system32
ren C:\windows\system32\userinit.ex_ userinit.exe
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu Hänge im abgesicherten Modus fest |
| abgesicherten, abgesicherten modus, anschluss, antivir, anzeige, anzeigen, benutzerkonto, beseitigen, betriebssystem, cd-rom, daten, daten sichern, direkt, entfernen, folge, google, guten, iso-datei, klick, laufwerk, modus, namen, neu, nichts, rechner, windows |
Linear-Darstellung
