Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hänge im abgesicherten Modus fest

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.11.2009, 15:40   #31
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Abgesicherten Modus wirste vermutlich jetzt nicht mehr kommen wenn Du mehrmals beim booten auf F8 drückst oder ?


Hier scheint die Winlogon.exe defekt zu sein.
Versuch bitte nun folgendes wieder in der RC

Code:
ATTFilter
ren C:\windows\system32\winlogon.exe winlogon.exe.bak
copy C:\WINDOWS\system32\dllcache\winlogon.exe C:\windows\system32
         
Es sollte nun 1 Datei wurde kopiert auf dem Desktop erscheinen.

Starte den Rechner bitte neu auf.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 26.11.2009, 15:58   #32
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Der abgesicherte Modus ist mit F8 jetzt nicht mehr erreichbar, ja!

Eingabebefehl Nr. 1 hat er mir angenommen.

Beim 2ten Befehl, also copy C:\WINDOWS\system32\dllcache\winlogon.exe
C:\windows\system32

kam: Die angegebene Datei wurde nicht gefunden.

Nach dem Neustart des Rechners befindet sich der Neustart in der Schleife
__________________


Alt 26.11.2009, 16:33   #33
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Erstens. Wurde Knoppix als bootbare CD gebrannt?

so bitte versuche folgendes. Lege die Win CD ins Laufwerk.

Boote in die RC und gib bitte folgendes ein
Code:
ATTFilter
expand x:\i386\winlogon.ex_ c:\windows\system32\winlogon.exe
         
X steht für den Laufwerksbuchstaben deines CD Laufwerkes. Bitte anpassen..
__________________
__________________

Alt 26.11.2009, 16:38   #34
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Ich fürchte, dass Knoppix nur als Daten-CD gebrannt wurde und von daher nicht automatisch bootet

Den Rest probiere ich jetzt und berichte dann gleich.


Edit: Dort kommt bei der Befehlseingabe leider: Ungültige Pfad- oder Dateiangabe

Geändert von Thomas15872 (26.11.2009 um 16:59 Uhr)

Alt 26.11.2009, 17:02   #35
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Das gibts doch jz echt nicht

Code:
ATTFilter
copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\windows\system32
         
So muss jetzt meine matheklausur schreiben. bin gegen 10 wieder da

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 26.11.2009, 17:37   #36
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Zitat:
copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\windows\system32
Der Befehl wurde genommen^^

1 Datei(en) wurde kopiert

Bin dann mit EXIT wieder raus. Reboot erfolgte dann automatisch.
Anschließend kam das blaue Fester wieder, dann kurz das Hintergrundbild,
anschließend wieder das blaue Fenster und zuguterletzt das Benutzerkonto.

Das habe ich angeklickt, doch der Ablauf war leider wieder der Altbekannte.

Benutzerdaten werden geladen
Abmeldung...
Einstellungen werden gespeichert

(also wieder die Schleife)

Habe jetzt erstmal den Rechner ausgemacht.

Ich drücke die Daumen
für die Matheklausur ... und schaue dann morgen früh wieder rein.

Vielen Dank erstmal bis hierhin^^

Alt 27.11.2009, 14:08   #37
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Okay, next userinit.exe
Wenn da die Registry was hat, haben wir ein Problem ^^

Sehen wir nach was SFF so verunstalltet hat.
Die .txt datei ist etwas länger. Du kannst diese auf einen USB Stick kopieren, wenn Du den Laufwerksbuchstaben weist

Code:
ATTFilter
set allowallpaths = true
set allremovablemedia = true
copy C:\rapport.txt X:\
         
X ist wieder die Variable was zum anpassen ist

Ansonsten
Code:
ATTFilter
type C:\rapport.txt
         
Poste mir den Inhalt.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2009, 13:19   #38
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



So, habe jetzt endlich die rapport.txt. Gestern hatte ich es leider nicht mehr geschafft ^^

Zitat:
type C:\rapport.txt
>> >> >> >> >> >> >> >> >> >> >> >> Process

C:WINDOWS\System32\smss.exe
C:WINDOWS\system32\csrss.exe
C:WINDOWS\system32\winlogon.exe
C:WINDOWS\system32\services.exe
C:WINDOWS\system32\lsass.exe
C:WINDOWS\system32\svchost.exe
C:WINDOWS\system32\svchost.exe
C:WINDOWS\System32\svchost.exe
C:WINDOWS\System32\svchost.exe
C:WINDOWS\System32\svchost.exe
C:WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\PCOptimizer\PCoptimizerService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe\Explorer.EXE
C:\Programme\Analog Devices\Sound\MAX\SMTray.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\Spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_06\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

>> >> >> >> >> >> >> >> >> >> >> >> hosts

>> >> >> >> >> >> >> >> >> >> >> >> C:\

>> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS

>> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system

>> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\Web

>> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system32

>> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system32\LogFiles

>> >> >> >> >> >> >> >> >> >> >> >> C:\Dokumente und Einstellungen\Thomas

>> >> >> >> >> >> >> >> >> >> >> >> C:\DOKUME~1\Thomas\LOKALE~1\TEMP

>> >> >> >> >> >> >> >> >> >> >> >> C:\Dokumente und Einstellungen\Thomas\Application Data

>> >> >> >> >> >> >> >> >> >> >> >> Start Menu

>> >> >> >> >> >> >> >> >> >> >> >> C:\DOKUME~1\Thomas\FAVORI~1DESKTOP

>> >> >> >> >> >> >> >> >> >> >> >> C:\Programme

>> >> >> >> >> >> >> >> >> >> >> >> Corrupted Keys

>> >> >> >> >> >> >> >> >> >> >> >> Desktop Components

>> >> >> >> >> >> >> >> >> >> >> >> 04Patch
!!!Attention, following Keys are not inevitably infected!!!

04Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

>> >> >> >> >> >> >> >> >> >> >> >> IEDFix
!!!Attention, following Keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

>> >> >> >> >> >> >> >> >> >> >> >> Agent.OMZ.Fix
!!!Attention, following Keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

>> >> >> >> >> >> >> >> >> >> >> >> VACFix

>> >> >> >> >> >> >> >> >> >> >> >> 404Fix

>> >> >> >> >> >> >> >> >> >> >> >> Sharedtaskscheduler
!!!Attention, following Keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll


>> >> >> >> >> >> >> >> >> >> >> >> AppInit DLLs
!!!Attention, following Keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows]

“AppInit_DLLs”=”owegeq.dll”


>> >> >> >> >> >> >> >> >> >> >> >> Winlogon
!!!Attention, following Keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows]

“Userinit”=”C:\\WINDOWS\\system32\\userinit.exe, “

>> >> >> >> >> >> >> >> >> >> >> >> RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows]

“System”=” “

>> >> >> >> >> >> >> >> >> >> >> >> DNS

Description: MAC-Brückenminiport – Paketplaner-Miniport
DNS Server Search Ordner: 192.168.2.1

HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1.

HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1.

HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1.


>> >> >> >> >> >> >> >> >> >> >> >> Scanning for wininet.dll infection

>> >> >> >> >> >> >> >> >> >> >> >> End

Alt 28.11.2009, 14:18   #39
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Okay, wurde SFF mit Option 1 oder 3 ausgeführt. Sieht nach 1 aus.

Versuchen wir die Userinit.exe zu ersetzen.

Code:
ATTFilter
cd C:\windows\system32
attrib -s -h -r userinit.exe
ren userinit.exe userinit.bak
copy C:\WINDOWS\system32\dllcache\userinit.exe C:\windows\system32
         
Sollte irgendwann eine Fehlermeldung auftauchen, bitte abbrechen und mir berichten.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2009, 14:37   #40
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Bekomme hier:

Unbekannter Befehl

Parameter ungültig

angegebene(s) Datei / Verzeichnis nicht gefunden

angegebene Datei wurde nicht gefunden


Edit: oder muss ALLES in einem eingegeben werden? Habe es nacheinander versucht^^

Alt 28.11.2009, 14:39   #41
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Wann genau kommt "unbekannter befehl" ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2009, 14:42   #42
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Zitat:
Zitat von Larusso Beitrag anzeigen
Wann genau kommt "unbekannter befehl" ?
nach der Befehleingabe

C:\windows\system32

Alt 28.11.2009, 14:52   #43
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Okay, schreiben wir es um
Sorry, ich hab noch nicht so viel Erfahrung mit der RC


Code:
ATTFilter
attrib -s -h -r C:\windows\system32\userinit.exe
ren C:\windows\system32\userinit.exe userinit.bak
copy C:\WINDOWS\system32\dllcache\userinit.exe C:\windows\system32
         
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2009, 15:05   #44
Thomas15872
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Zitat:
attrib -s -h -r C:\windows\system32\userinit.exe
Parameter ungültig


Zitat:
ren C:\windows\system32\userinit.exe userinit.bak
Befehl wurde angenommen

Zitat:
copy C:\WINDOWS\system32\dllcache\userinit.exe C:\windows\system32
Die angegebene Datei wurde nicht gefunden


Alt 28.11.2009, 15:38   #45
Larusso
/// Selecta Jahrusso
 
Hänge im abgesicherten Modus fest - Standard

Hänge im abgesicherten Modus fest



Okay, dann anders.


Code:
ATTFilter
copy C:\i386\userinit.ex_ C:\windows\system32
ren C:\windows\system32\userinit.ex_ userinit.exe
         
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Hänge im abgesicherten Modus fest
abgesicherten, abgesicherten modus, anschluss, antivir, anzeige, anzeigen, benutzerkonto, beseitigen, betriebssystem, cd-rom, daten, daten sichern, direkt, entfernen, folge, google, guten, iso-datei, klick, laufwerk, modus, namen, neu, nichts, rechner, windows




Ähnliche Themen: Hänge im abgesicherten Modus fest


  1. Anleitung: Smartphone im abgesicherten Modus starten (sicherer Modus)
    Mülltonne - 12.08.2016 (1)
  2. Starten nur im abgesicherten Modus möglich
    Log-Analyse und Auswertung - 09.06.2015 (45)
  3. Windows funktioniert nur noch im Abgesicherten Modus mit Netzwerkeingabe. Im normalen Modus hängt er sich nach ein par Minuten auf.
    Log-Analyse und Auswertung - 25.10.2014 (9)
  4. Browser funktionieren nur im abgesicherten Modus
    Log-Analyse und Auswertung - 12.06.2014 (27)
  5. Trojaner Interpol Win XP - trotz abgesicherten Modus kein Zugriff - Standard AW: Trojaner Interpol Win XP - trotz abgesicherten Modus kein
    Log-Analyse und Auswertung - 18.02.2014 (18)
  6. GVU verhindert abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 01.09.2013 (3)
  7. GVU Trojaner im abgesicherten Modus
    Log-Analyse und Auswertung - 09.04.2013 (11)
  8. Trojaner im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (9)
  9. Kein Zugrif auf abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 20.09.2012 (3)
  10. bundespolizei trojaner im abgesicherten modus (win xp)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (3)
  11. Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (37)
  12. Hänge im Bios fest
    Alles rund um Windows - 08.05.2010 (3)
  13. abgesicherten Modus starten wie?
    Alles rund um Windows - 03.01.2010 (2)
  14. Abgesicherten Modus
    Alles rund um Windows - 30.12.2009 (8)
  15. Fehlermeldung im Abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (5)
  16. starten nur im abgesicherten modus?
    Log-Analyse und Auswertung - 01.02.2006 (6)
  17. eScan im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 29.12.2004 (13)

Zum Thema Hänge im abgesicherten Modus fest - Abgesicherten Modus wirste vermutlich jetzt nicht mehr kommen wenn Du mehrmals beim booten auf F8 drückst oder ? Hier scheint die Winlogon.exe defekt zu sein. Versuch bitte nun folgendes wieder - Hänge im abgesicherten Modus fest...
Archiv
Du betrachtest: Hänge im abgesicherten Modus fest auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.