Hallo,

ich habe eine Frage und blicke grad überhaupt nicht mehr durch.
Mein PC macht schon seit längerer Zeit erhebliche Probleme, stürzt oft ab und fährt oft gar nicht mehr hoch.
Gestern hab ich mir Trojanercheck 6 auf meinen PC
geladen, heute geöffnet und er zeigte an:
"Änderungen an Autostarteinträgen von Windows gefunden" .. in der Liste darunter erschien dann:
"C:\WINDOWS\wininit.ini" ... ich hab dann auf "akzeptieren" geklickt, weil ich nicht wußte, ob ich das wohl löschen kann?
Hat das was zu bedeuten? Ich meine, ich würde wohl gern wissen, ob auf meine, PC ein Virus oder Trojaner drauf ist oder ob er einfach so "spinnt". Mit Antivir (der Demoversion) werden keine Viren gefunden.
Aber wie gesagt, vielleicht hab ich ja einen Trojaner hier drauf ... bloß, ich weiß eben nicht, wie ich den mit Trojanercheck genau finden soll.
Hm ... is echt dooooooof .. die doooooofe Technik .. ;)

Hoffe auf Hilfe und danke im voraus!
Gruß,
lu

Hallo.

Hier auf Trojaner-Info findest Du die Beschreibung der Datei. Du musst ein bißchen nach unten scrollen. Schau mal in der bei Dir vorhandenen Datei nach, wie der Inhalt ist und poste ihn hier. Dann können Dir auch andere aus dem Board helfen.

Gruß

[ 10. Januar 2003, 22:43: Beitrag editiert von: Husky1963 ]

hallo Husky1963,

ich hab versucht, meine wininit.ini datei hier herein zu kopieren, aber es wird angezeigt dann
"Das folgende HTML-Tag ist nicht erlaubt: Parenthesis in HTML tag" (durch das board) .. dabei hab ich keine html-tags benutzt.

Außerdem ist die datei sehr lang und beginnt mit
"atei nicht gefundenPfad nicht gefundenZugriffsberechtigung fehlt+Die Datei ist auf einem anderen Datentr„ger.Tempor„re Datei kann nicht erstellt werden f�rUnbekannter MS-DOS-Fehler$
Weiter mit beliebiger Taste...

?WININIT.EXE kann nur auáerhalb von Windows ausgef�hrt werden.
VVor dem Starten konnte Windows die .VxD-Dateien nicht zu einer Datei zusammenf�hren.
QVor dem Starten konnte Windows mindestens eine Systemdatei nicht aktualisieren.
·Es k”nnten Probleme beim Starten oder Ausf�hren von Windows auftreten.

usw. ...

was müßte denn normalerweise in wininit.ini drinstehen?

Gruß,
lu

Bist Du Dir sicher, dass Du die richtige Datei geöffnet hast? Du musst die Wininit.ini öffnen und nicht die Wininit.exe! Ich denke, Du hast die falsche Datei versucht zu öffnen. Was in der Wininit.ini drinstehen muss weiß ich nicht. Bei mir ist die nicht auf der Kiste. Auch nicht die Datei Wininit.bak, die bei Trojaner-Board genannt wird. Versuch es nochmal.

Gruß

:D :D :D :D

Hallo Husky1963,

oh shit ... *gg* .... du hast recht ...

aber komischerweise ist die datei wininit.ini
nicht mehr zu finden ...

in der datei wininit.bak steht folgendes:

[Rename]
NUL=D:\ANTIVIR\AVSHLEXT.DLL

............

Gruß,
lu

hmm hast du ein Update vom AVPE gemacht gehabt?

Hallo lu.

Schau mal in den Autostart-Ordner. Den findest Du über Start->Ausführen und "msconfig" eingeben. Da erscheint dann das Systemkonfigurationsprogramm. Klicke den Reiter "Autostart" an. Da siehst Du dann alle Programme, die beim Starten von Windows automatisch gestartet werden. Hast Du AVPE schon früher drauf gehabt? Oder erst seit gestern? Hast Du in AVPE bei Optionen->Konfiguartionsmenü->Diverses ein Häkchen gemacht bei "Guard beim Systemstart laden"? Wenn ja, dann wird der Guard automatisch gestartet und ist dann im Autostart-Ordner unter AVGCtrl enthalten. Schau mal danach.

Gruß

Hallo Husky1963,

danke für deine Antwort.

Also .. ich hab bei antivir bei "guard beim Systemstart laden" kein Häkchen gemacht.
antivir hatte ich vorher schon mal drauf, aber vollständig wieder gelöscht und eben gestern eine neue Version runtergeladen.

Im Autostart finde ich mehrere Einträge, die mir seltsam erscheinen und nichts sagen:

1. TimeSink Ad Client .. TSAdBot.exe

2. SystemTray ... SysTray.exe

3. LoadPowerProfile ... rundll32.exe powrprof.dll,LoadCurrentPwrScheme
(das erscheint 2 x)

4. SchedulingAgent ... mstask.exe

5. load= ... HPWHRC.exe

Ist das alles so normal?

Gruß,
lu

Hallooo,

ja, ich hatte gestern mir eine neue Version von antivir runtergeladen ...

Gruß,
lu

hallo nochmal,

ich hab jetzt weiter geschaut .. unter
autoexec.bat finde ich diese Einträge:

1. @PATH D:\MICROS~1\OFFICE;%PATH%

2.
mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

3. mode con codepage select=850

4. keyb gr,,C:\WINDOWS\COMMAND\keyboard.sys

5. SET QTJava=C:\WINDOWS\SYSTEM\QTJava.zip

6. SET CLASSPATH=%QTJava%;

7. C:\essolo.com

------

unter config.sys
ist dieses:

1. DEVICE=C:\essolo.sys

2. device=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)

3. Country=049,850,C:\WINDOWS\COMMAND\country.sys


Hmmm ... alles normal soweit? (bitte auch meinen obigen Beitrag lesen .. danke!)

Gruß,
lu

hi

der geborene viren-spezialist bin ich nicht gerade, aber zu ein paar sachen kann ich
dann vielleicht doch was sagen.

SystemTray ... SysTray.exe
das sys-tray ist die "schnellstart-leiste" rechts unten (das ding mit der uhr) und muss aktiv sein.

LoadPowerProfile ... rundll32.exe powrprof.dll,LoadCurrentPwrScheme
(das erscheint 2 x)
2 mal nur? bei mir waren es in spitzenzeiten 5 einträge.
habe alle weggehakt und es läuft alles supi.

SchedulingAgent ... mstask.exe
das müsste der task-planer von windows sein. hast du dort sachen eingegeben, dann willst du
den sicherlich laufen haben. ich persönlich finde ihn jedoch überflüssig, da ich von solchen
automatiken nicht viel halte. ich sehe halt gerne was mein kleiner grauer satan so macht.

load= ... HPWHRC.exe
aha, ein hp-drucker, war bei mir auch aktiv, als der drucker noch angeschlossen war.

aus deinem 2. post sind eigentlich nur der erste und letzte eintrag ungewöhnlich.
für mich auf jedenfall.
ich wüsste nicht was office in der autoexec.bat verloren hätte.
essolo.com kenne ich gar nicht (dafür aber www.google.de u.ä., mit denen sich evtl. mehr finden lässt.

ich weiss, nicht das ergiebigste, aber vielleicht hilfts schon mal weiter.

missing neighbour
halt stop : WICHTIG alle angaben für win98

Sieht soweit alles ganz normal aus. Erstelle mal bitte mit TC6 einen Report und poste die Rgistry-Einträge. Vielleicht findet sich da noch was verdächtiges.

Hallo und danke für eure Hilfe!

@Missing Neighbour

zu LoadPowerProfile: Du schreibst, du hast die Einträge weggehakt? Also kann ich die problemlos löschen, ja? Ist nix wichtiges??

und ..

in autoexec.bat :
1. @PATH D:\MICROS~1\OFFICE;%PATH%

soll ich das löschen??

7. C:\essolo.com .... da hab ich bei google schon geschaut, das scheint irgendeine soundkarte zu sein ... ich hab keine ahnung, ob ich hier eine drauf hab ... (unter systemsteuerung ist so nix zu finden)

@CyberFred: ist es hilfreich, wenn ich den report von den registry-standardeinträgen poste oder von allen??

... Mist ... ich kann den Report nicht hier reinkopieren, wie kann ich den für euch sichtbar machen? (wollt nicht grad alles abschreiben .. ;)

Gruß,
lu

Dann lade dir hier Trojancheck 5 runter (ca. 1.5MB). Da ist der Report noch im txt-Format.

ciao, Cyber

[ 11. Januar 2003, 14:14: Beitrag editiert von: CyberFred ]

hi lu

die powerprofiles können weg (weghaken), bei mir hat sich dadurch keine änderrung ergeben.
bei bedarf kannst du sie ja wieder aktivieren.

ob du eine soundkarte hast, kann ich von hier aus schlecht beurteilen.
kannst du denn irgendwelche audios abspielen? oder willst du das gar nicht?
dann kannst du das ja auch mal probeweise abstellen.
was mir so ein bisschen aufstösst, ist die .com-endung. aber da kann ich nichts genaues zu sagen, ausser "versuch macht kluch".
entweder du deaktivierst (evtl. mal umbenennen in .co*)sie und harrst der dinge die da kommen, oder wartest noch antworten von spezialisten ab.

warum sich dein office nun unbeding nach D: setzen will, kann ich von hier aus leider auch nicht beurteilen.
wohin hast du es denn installiert?

missing neighbour

Hallo nochmal ...

@ Missing Neighbour:

in autoexec.bat und unter config.sys
hab ich das Häkchen vor essolo.com bzw. vor DEVICE=C:\essolo.sys entfernt ...
bei Neustart erscheint aber wieder dieser Eintrag und auch automatisch mit Häkchen ...

Audios kann ich schon abspielen, aber ich hab keine Boxen am PC, das läuft über die Anlage.

Office hab ich eigentlich gar nicht vollständig installiert, sondern nur word und das in D:\

Hmmmm ........

Gruß,
lu

@ CyberFred

hier hab ich den Report (aus der Version 5):

TrojanCheck Report
Kompakter Report vom 11.01.03 14:42:23

Registry Run Sektionen

[HKEY_LOCAL_MACHINE]

[Run]
ScanRegistry C:\WINDOWS\scanregw.exe /autorun
TaskMonitor C:\WINDOWS\taskmon.exe
SystemTray SysTray.Exe
TimeSink Ad ... "C:\Programme\TimeSink\AdGateway\TSADBOT.EXE"
YAW
Trojancheck ... D:\TROJANER-CHECK\TROJANCHECK 6\TCGUARD.EXE
RealTray C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
LoadPowerPro... Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[RunOnce]

[RunOnceEx]

[RunServices]
LoadPowerPro... Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAg... mstask.exe

[RunServicesOnce]

[HKEY_CURRENT_USER]

[Run]
AIM C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl
YAW

[RunOnce]

INI Dateien

[WIN.INI]

[load]
HPWHRC.EXE

[run]

[SYSTEM.INI]

[shell]
Explorer.exe

Autostart Gruppen

[Standard]
InControl Desktop Manager.lnk » C:\Programme\Diamond\InControl Tools 98\DMHKEY.EXE
EPSON Background Monitor.lnk » C:\Programme\Stms.exe
Microsoft-Indexerstellung.lnk » D:\Microsoft Word 97\Office\FINDFAST.EXE
Corel MEDIA FOLDERS INDEXER 8.LNK » D:\Corel Draw 8\Programs\MFIndexer.exe
Office-Start.lnk » D:\Microsoft Word 97\Office\OSA.EXE

[All Users]

Shell-Open

EXE "%1" %*
COM "%1" %*
BAT "%1" %*
PIF "%1" %*

Hilft das was?

Gruß,
lu

na dann

kannst du den eintrag von office in der autoexec.bat stehen lassen.

warum sich dein essig holen, sorry essolo, wieder aktiviert auch wenns deaktiviert wurde,
kann ich nicht nachvollziehen.
und ob du nun den pc an die anlage stöpselst oder boxen an den pc steckst, ist egal,
du benötigst auf jedenfall den passenden treiber für die soundkarte und dieser muss
dann auch bereit stehen, wenn du musik hören willst.
deswegen startet diese datei mit.

missing neighbour

ach, noch was zu den reporten die du nicht posten kannst.
lassen sich diese nicht als textdatei speichern und dann per copy'n'paste hier einfügen?
(ich will mich auch nicht lustig machen, aber tastenkombi "strg+c" fürs kopieren und
"strg+v" für's einfügen)

@Lu:
Also ich hab nichts verdächtiges gefunden. Das mit den Abstürzen und so war bei meinem PC und Win 98 genauso. Du solltest vielleicht auf2k oder XP umsteigen ;)

ciao, Cyber

na

wir kommen doch vorwärts.

TimeSink Ad ... "C:\Programme\TimeSink\AdGateway\TSADBOT.EXE"
das ist ad-ware die sich mit den programmen ad-aware von lavasoft oder mit
spybotSD entfernen lässt.
danach könnte es sein, das das proggie mit dem sich das installiert hat nicht mehr läuft.
(ich tippe hier mal auf den realplayer, der in der "basic"-version dadurch gesponsort wird)

RealTray C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
benötigst du den denn wirklich?
eigentlich gibt's genug alternativen die spywarefrei sind.

Microsoft-Indexerstellung.lnk » D:\Microsoft Word 97\Office\FINDFAST.EXE
Corel MEDIA FOLDERS INDEXER 8.LNK » D:\Corel Draw 8\Programs\MFIndexer.exe
die index-erstellung dient dem schnelleren auffinden der einzelnen dateien.
auch hier wieder ein bericht aus meiner erfahrung.
für otto-normal-user nicht sinnvoll, eher im gegenteil. zumindest der indexer von microsoft
greift in regelmässigen abständen (und die sind leider nicht allzuselten) auf die festplatte zu
und behindert dadurch den übrigen datenstrom.
bei mir äusserte sich das darin, das mein brenner dadurch mehr ausschuss produzierte
als er sollte.

so, das war' dann erstmal für mich hier, muss mal bisschen ins real-life eintauchen.
missing neighbour

hi

@cyberfred
der umstieg auf ein neueres (besseres) bs ist sicherlich sinnvoll.
allerdings gibt es glaube ich doch genügend laufende win98 pc's, oder? ;)
also erstmal schauen, ob man es nicht (hin)richten kann.

nu aber tschüss
missing neighbour

Da hast du zwar recht, aber zu Win 98 fällt mir nur Eines ein:
Hatt vor ca. einem halben Jahr meinen Rechner platt gemacht und Win98 neu aufgesetzt. Win98 Installation war grade abgeschlossen. Als ich für den Erforderlichen Neustart die Windows-taste drückte, um dann auf "Beenden" zu gehen, kam "Rundll32.exe: Diese Anwendung..." DIREKT NACH DER NEUINSTALLATION.

ciao, Cyber

</font><blockquote>Zitat:</font><hr /> C:\essolo.com </font>[/QUOTE]Hey,das ist (glaub ich) von einer onboard-soundkarte in einem bestimmten Biostar-Mainboard.Du hast nicht zufällig einen Pentium 3 500Mhz PC von Fujitsu-Siemens (ich hab letztens ewig lange gesucht,bis ich den Treiber für das Ding gefunden habe)

hallo janerik,

</font><blockquote>Zitat:</font><hr />Du hast nicht zufällig einen Pentium 3 500Mhz PC von Fujitsu-Siemens (ich hab letztens ewig lange gesucht,bis ich den Treiber für das Ding gefunden habe)[/QB]</font>[/QUOTE]nee ... hab ich leider nicht, hab nur nen pentium 2 mit was weiß ich für lahmen 350 MHz ... :(

soweit ich jetzt gefunden hab, ist dieses essolo.com, wie gesagt ... ja, von irgendeiner Soundkarte ..
Hm ...
Vielleicht liegt das ganze ja auch gar nicht an einem Virus oder Trojaner, aber irgendwie ist eben die gesamte Festplatte schon total beschädigt.
(Ist wohl langsam Zeit, mir über einen neuen PC Gedanken zu machen ... ;)

Und danke für eure Mühen.

Gruß,
lu

Hi Lu,
wie sieht es denn aus mit einem Frühjahrsputz? Ich habe WIN 98 SE und seitdem ich regelmäßig (monatlich) eine Defragmentierung mache und Regeln bei Deinstallationen und Neuinstallationen einhalte, läuft mein System sehr stabil und fast störungsfrei.

Wichtig wäre auch diese Ordner stets zu leeren: Die Pfadangabe kann bei dir evtl. etwas anders sein.
C:\Temp
C:\Windows\Temp
C:\Windows\Temporary Internet Files
C:\Windows\Verlauf
C:\Windows\Cookies (von Zeit zu Zeit löschen, auch wenn du dich erst einmal wieder in den Foren neu Einloggen musst.)

Vor einer Neuinstallation müssen die laufenden Hintergrundprogramme beendet werden, d.h.:
Außer der Uhr und Lautsprechersymbol steht dann bei mir nichts mehr unten rechts in der Taskleiste.
Also: Rechtsklick auf diese Symbole und Beenden/Schließen auswählen.

Danach noch den Affengriff = Strg+Alt+Entf und jedes einzelne Teil markieren und beenden. Es sollte nur noch der Windows Explorer und Systray drin stehen bleiben.

Die zu installierende Datei sollte sich in einem "leeren gelben Ordner" (Windows Explorer) befinden und dann erst durch Doppelklick die Installation starten.
Nach der Installation einen Neustart des PCs machen.

Nach einer Deinstallation ebenfalls einen Neustart des PCs machen.

Wenn du eine Änderung in der Autoexec.bat machst, musst du diese auch speichern. Sonst bleibt alles so wie es vorher war.

Viele Grüße
Renate

Nachtrag: Bevor du eine Defragmentierung startest, bitte auch die laufenden Hintergrundprogramme wie oben geschrieben beenden.
Viele Grüße
Renate

hi

OFF-TOPIC !!!
@CyberFred
kam "Rundll32.exe: Diese Anwendung..." DIREKT NACH DER NEUINSTALLATION.
ja, kommt bei mir auch, ist nervig, es gibt aber einen patch von MS der dieses prob behebt.
da der support allerdings eingestellt wurde, muss man ihn sich von sonstigen seiten besorgen.

missing neighbour

Hallo Renate,

danke für deine Antwort.
Also .. die Defragmentierung und auch Scandisk
mache ich immer wieder und auch Verlauf und temporäre Internetfiles und Cookies usw. lösch ich ungefähr alle drei, vier Tage.
Trotzdem besteht weiterhin das Problem, dass der PC oft anhält und eben beim Hochfahren Probleme hat.

Nochmal eine Frage zu autoexec.bat und config.sys ... dieses essolo.com hab ich weggeklickt, also das Häkchen im Kästchen davor entfernt und auch gespeichert das Ganze (also auf "übernehmen" geklickt), den PC neu hochgefahren, aber trotzdem trägt sich das essolo.com in der auoexec.bac und in der cinfog.sys immer wieder neu ein.
Ich frage mich, ob ich es wagen soll, es ganz zu löschen. Ich habe im Moment leider keine Ahnung, ob ich das wirklich gebrauche, weil ich ja nicht genau weiß, woher das essolo.com kommt oder was es ist.

(ich will ja nicht nerven damit, aber was würdet ihr machen?)

Gruß,
lu

Hi Lu,
essolo.com ist mir ein Begriff. Dieses müssten Treiber sein für Video, Sound etc. Ich habe diese Sachen - meine ich - auf meinem anderen PC. Schaue ich später mal nach.

Verstehe ich dich richtig? Du hast START / msconfig und von dort aus in der Autoexec.bat und Config.sys gearbeitet?

Mache das doch vom Windows Explorer aus und öffne die Autoexec.bat und die Config.sys mit Rechtsklick und "Öffnen mit" ... und dann auswählen mit "WordPad". Dann kannst du eine Änderung machen und als Abschluss auf DATEI / SPEICHERN gehen.

Dann ist das auch nach einem Neustart raus.

Aber diese Sachen nehmen keine wirklichen Ressourcen weg und die Treiber werden auch gebraucht. Ich würde sie drin lassen.

Ich würde in der Systemkonfiguration "Autostart" die LoadPowerProfile... die dort 2 x drin stehen wieder aktivieren. Bei mir ging das nämlich auch mal voll daneben.

Probiere einfach mal folgendes aus um zu testen was so viele Ressourcen verbraucht.
Ein Grundstock muss im "Autostart" stehen bleiben wie:

1. Scan Registry
2. TaskMonitor
3. SystemTray
4. LoadPowerProfile

Wenn du nur noch das aktiviert hast, ÜBERNEHMEN, OK mache einen Neustart und gehe dann auf:

START /Einstellungen / Systemsteuerung / System / Leistungsmerkmale.... dort kannst du sehen wieviel in % an Ressourcen noch frei sind.

Dann gehst du wieder in den Autostart und aktivierst immer nur ein Programm was du nötig brauchst hinzu. Neustart und dann wieder nachsehen wieviel Ressourcen noch frei sind.

So kannst du das Programm herausfinden, was einfach zuviel an Ressourcen schluckt.

Viele Grüße
Renate

Hallo Renate,

super!
Ich werd das gleich mal ausprobieren.
Ich hoffe, ich werd fündig .. ;)

Einen Dank und Gruß,
lu

</font><blockquote>Zitat:</font><hr /> wie sieht es denn aus mit einem Frühjahrsputz? Ich habe WIN 98 SE und seitdem ich regelmäßig (monatlich) eine Defragmentierung mache </font>[/QUOTE]Ohhh..... ich habe schon seit ca. 10 Monaten keine Defragmentierung geamcht,dürfte jetzt wohl ewig dauern.
Ich habe noch einen Tip: Wer Win 98 (SE) hat,sollte sich mal das Tool "REgistry Optimizer" besorgen,damit kann man die Registry schön schlank halten (wenn manes regelmäßig macht,dauert es auch nur ca. 5 Minuten)

</font><blockquote>Zitat:</font><hr />Original erstellt von lu:
...woher das essolo.com kommt oder was es ist.
</font>[/QUOTE]Hi Lu,
ESS Solo stammt vom Mainboard-VIA Chipset
Muss also bleiben.
Viele Grüße
Renate