Habe gestern einen verschlüsselten Eintrag in meiner win.ini gefunden.
Zuvor hat mir Spybot gemeldet, die Datei könne nicht gescannt werden, da sie von einem anderen Prozess verwendet wird. Die .ini ist auch durch einen Texteditor nicht einsehbar gewesen, auch Zugriff verweigert.
Habe im abgesicherten Modus die Datei auf eine andere Partition kopiert, neu gestartet und die Kopie eingesehen.
Dabei ist mir der verschlüsselte Eintrag aufgefallen.

(hkjhk) (eckige Klammer)
nnhjhkj=1095014078

Eintrag habe ich gelöscht und die Kopie mit dem Original ersetzt.

Meine Frage: Habe ich irgendeine Chance diesen Prozess bzw. diese Anwendung auf meinem Rechner zu finden...
Zeitlich eingegrenzte Suche nach .dll u. .exe-Dateien hat keinen Erfolg gebracht.
(win.ini wurde am 25.10.2004 verändert...laut Explorer-Info...)

Keines meiner Scanprogramme hat etwas gefunden...
Hijack This meldet keinen ungewöhnlichen Prozess bei Online-Verbindung.

Poste trotzdem mal bitte das HijackThis log

Mh, klingt so in etwa wie mein Problem mit der wininit.ini, Prozess, worauf nicht zugegriffen wird, Spybot nennt den Schädling: BackOrifice.B
... Helft mir auch !

HijackThis.log

@selecta

poste mal ein logfile von Hijackthis
http://www.trojaner-board.de/51130-a...ijackthis.html

chaosman

@stg74
der hier scheint was ungutes zu sein
C:\Programme\(Provider)\(Provider.exe)
http://de.mcafee.com/virusInfo/defau...virus_k=128462

lass mal dein virenscanner in den abgesicherten modus laufen.
oder hier onlin überprüfen lassen
http://virusscan.jotti.org/de
poste das ergebnis hier im board mit ein neues HJT logfile.

Bitte hier direkt im board posten, und nicht wie du es jetzt gemacht hast, dass würde der auswertung sehr erleichtern

chaosman

Danke für Deine Antwort.

Zitat:

Zitat von chaosman

der hier scheint was ungutes zu sein
C:\Programme\(Provider)\(Provider.exe)

Die runde Klammer sollte bedeuten, das ich nacheditiert habe.
Ich habe alle Providerdaten und die IP´s aus dem log genommen.
Die Daten sind o.k.

Zitat:

Zitat von chaosman

lass mal dein virenscanner in den abgesicherten modus laufen

egal mit welchem Viren-, Malware-Scanner und abgesichert oder nicht: Ergebnis=nichts gefunden.

Zitat:

Zitat von chaosman

poste das ergebnis hier im board mit ein neues HJT logfile

Ich kenne jeden Eintrag aus dem Log; wie gesagt, daraus ist nichts ersichtlich.

Zitat:

Zitat von chaosman

Bitte hier direkt im board posten

Werde ich in Zukunft tun, sollte nur wirklich Interessierte oder Hilfsbereite erreichen...

...Alle aktuellen MS Patches sind installiert...

Hat noch jemand eine Idee?

Hi all @ s.o. ! (1.posting Oh Gott)
nur mal kurz dazwischengefunkt ? bin auch eher selbst Geschädigter als Heilsbringer.

hatte gestern nach Spybot-Update gleiches mit:
Fehler während der Überprüfung!: Cabrotor (Datei C:\WINDOWS\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird)

alle scans online, "Bordmittel", einzeln, kpl. alles nix !

aber:
nach Experimenten "Autostart" hatte ich Teatimer aus Spybot-Ordner raus und da rein... Fehler ?
Jedenfalls per Kopie zurückgeschickt
und ein neuerliches Update (Datei vom 30.09. ? schiet, Name nich gemerkt, aber glaub war was mit Teatimer)

jetz wird jedenfalls nix mehr gemeldet !
(und wieder ans "googlen") ersmal

@ morgenlatte

Hast recht, nach erneutem Update, ist zumindest dieser kleine Bug behoben.

Erklärt leider immernoch nicht den Eintrag.

Danke trotzdem für den Hinweis.

Gruß
stg74

Hi nochmal stg74!
weiß nich, ob Du inzwischen weiter ?

vielleicht auch zu banal, aber hast Du versucht "Änderung" mal über Datum und´ner .log Datei zu finden.
Bei mir waren´s an dem Tag viele "Dateiänderungen" und ein log ließ meine Neuinst. als "Ursache" vermuten !
(gab sogar´ne backup-datei)

ersmal und ....