|
SystemRestore ohne Rueckfrage guten Morgen zusammen! wie toll doch so ein Computer sein kann! wozu Sudoku spielen, wenn man sich auch ueber den PC den Kopf zerbrechen kann? System: Pentium4 / 1,5GB RAM / 60GB Systempartition / ATI9200SE / Win XPro(up to date, ausser der IE und evtl der letzte MS Patch bzgl der Scripte)) bei folgend beschriebenem Verhalten, bin ich ein wenig ratlos. seit wohl schon einiger Zeit wird beim Starten des PC folgender Fehler angezeigt: Fehlerhafte Datei BOOT.INI. Starten von C:\windows\. dennoch startet das System ohne weitere Fehler, bis man sich das Adminkonto mal genauer betrachtet. die Userin arbeitet idR mit eingeschraenkten Benutzerrechten. kuerzlich hat Sie sich das Programm RadioTracker (gekaufte Version von Saturn) installiert. dies unter dem Admin-Konto. dabei hat sie zu diesem Zeitpunkt festgestellt, dass Sie, jedoch nur dort!, das Hintergrundbild mit der Maus verschieben kann. dererlei Spezialeffekte sind weder durch Sie noch durch mich installiert bzw aktiviert worden(oder hab ich was nicht mitbekommen und das geht schon immer auf XP bzw mit der verbauten GraKa einfach so?) als ich mir das mal anschauen wollte war dies nicht mehr der Fall. nein, das bereits eingestellte Hintergrundbild war komplett weg und das System machte den Anschein,als waere es gerade neu installiert worden (voreingestelltes Hintergrundbild, Aufklappen des Startmenues, neue Maus gefunden+Config?). kurioserweise zeigt der Hardwaremanager keine nicht installierte Hardware an. ein Blick in die Systemwiderherstellung machte mich weiterhin stutzig, da dort keine automatisch erzeugten Systempruefpunkte aufzufinden sind. einen Loesungsansatz dafuer habe ich gefunden -> nicht automatisierter Taskplaner. jedoch waere mir fraglich, wenn dieser Dienst abgeschaltet worden ist (werd ich im Laufe der Woche nachsehn), von wem oder was! mehr als ein HJT-Logfile hab ich vorerst nicht. verdaechtige Eintraege von der automatischen Auswertung habe ich schon mal farblich markiert. ich waere dankbar, wenn dennoch mal jemand drueber schauen wuerde und fuer den ein oder anderen moeglichen Loesungsansatz des merkwuerdigen Verhaltens. Code: Logfile of Trend Micro HijackThis v2.0.2cypher |
Zitat:
Zitat:
Fehlermeldungen "Fehlerhafte Datei Boot.ini" oder "Windows konnte nicht gestartet werden" beim Starten des Computers Die Warnung kann auf eine beschädigte Datei hindeuten. Zitat:
Ich würde den ganzen Schrott unten aus meinem Browser schmeissen: O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll ------------------------------------------------------------- Zitat:
-------------------------------------------------------------- O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm Mal ne Frage: Kennst du dieses Programm da oben. Sag mir mal das du es installiert hast und weisst was es so macht. Oder kuck hier: btsendto_ie.htm - Can you trust this file? OASIS Das Ding unten ist interessant. Könnte was böses sein. Checke es doch mal hier: VirusTotal - Kostenloser online Viren- und Malwarescanner O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe Glückauf! :daumenhoc |
Hallo cypher und Herzlich Willkommen! :) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Poste bitte ein aktuelles HijackThis-Logfile aus dem normalen Modus 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
Zitat:
Zitat:
Zitat:
Zitat:
danke fuer die Tips und to-do-list. werde diese abarbeiten und mich dann wieder melden. cheers cypher |
sodann hier die aktuellen Files: HJT: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Adobe Flash Player 10 Plugin |
...und noch die Filelist Teil1: Filelist: Code: ----- Root ----------------------------- |
...und Filelist Teil2: Filelist2: Code: |
...aller "guter" Dinge sind bekanntlich drei... Filelist Teil3: Code: ----- Windows/Temp ----------------------- hat lediglich McAfee ne Meinung: Zitat:
:kaffee: |
hi 1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` 2. Falls noch vorhanden: Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code: O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dllalle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
6. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 7. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
so gut wie das Ergebnis bis jetzt erscheint,fuer mich etwas enttaeuschend. das System scheint soweit sauber zu sein: SAS-User: Code: SUPERAntiSpyware Scann-ProtokollCode: SUPERAntiSpyware Scann-ProtokollCode: Logfile of Trend Micro HijackThis v2.0.2Code: Logfile of Trend Micro HijackThis v2.0.2noch eine Frage bzgl SAS: hab ich da die richtige Version bzw das richtige Programm erwischt? ich werd leicht skeptisch, wenn ich gerade bei solch einer Software Fehler wie "Scann" oder nicht ganz so sauber programmierte Programmoberflaechen finde. ich will damit niemanden an den Karren fahren, nobody is perfect, nur nochmal rueckfragen! cypher |
hi 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code: R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)Was soll das denn unter AutoStart bewirken? : "User" Code: O4 - Startup: Geburtstage 09.txt"Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. (oder mit HijackThis fixen) Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht) Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` - auf keinen Fall Grafiktreibers, Sound, Firewall und Anti-Viren-Programmen abschalten!! Oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen kannst noch herausnehmen: ("User" + "Admin": Code: O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -DelayWir kennen alle Programme,die wir verwendet haben, sind sie gut und bieten in der Regel gute Ergebnisse und sind alle Vertreuenswürdig! ** Läuft dein System stabil? |
hey Coverflow, danke fuer die unermuedliche Hilfe! die txt.-Autostarteintraege sind fuer meine "Mom" ne Art Erinnerungsfunktion. unter gewissen Umstaenden lassen unsere Kapazitaeten irgendwann leider etwas nach. sicher gibt es dafuer auch ganz tolle Programme, aber so gehts ja auch, einfach und schnell. Quicktime ist ua eins der nervigsten Programme, was den Autostart angeht. frag nicht wie oft ich den da schon rausgenommen hab. scheinbar traegt sich das Teil immer wieder ein, wenn es mal gestartet wird (weil diese Option vllt auch noch im Programm selbst so gesetzt ist. muss ich auch noch mal schaun). also dieses System laeuft, soweit ich das beurteilen kann, stabil. jedoch besteht nach wie vor dieses seltsame Verhalten, dass das Admin-Kto bei jeder Anmeldung den Anschein macht, als sei das System gerade frisch installiert worden. als wenn da irgendwo ein Eintrag existiert "set to zero@adminlogon". glaube so wuerde ich den nennen, wuerde ich sowas bauen. ansonsten kein auffaelliges Verhalten feststellbar. jedenfalls nichts Offensichtliches. um dies zu untermauern, muesste man wahrscheinlich eins zwei Programme zur Systemueberwachung mal mitlaufen lassen!? hast du dies bzgl schon ne Idee, ob Bug oder doch destruktiver Code? |
so langsam fuehrchte ich, dass ich um ein Neuaufsetzen wohl nicht herumkommen werde. die "automatische Rueckstellung" von Programmeigenschaften scheint nun auch auf das Benutzerkonto ueberzugreifen. es ist jedenfalls nun bei jedem Reboot von Noeten, den Trackball neu zu konfigurieren, wobei auch noch ein Fehler beim Verarbeiten einer DLL auftritt. beim Schließen des Trackball-Configtools informiert eine Box" rundll32.exe hat ein Problem festgestellt und muss beendet werden". Fehlerbericht blablabla. desweiteren bin ich ueberaus "erfreut", dass nach dem dritten mal Anstoepseln meines USB Sticks ~1,2GB Daten nicht mehr sichtbar sind, der Platz jedoch noch belegt ist. so allmaehlich bekomm ich ein mulmiges Gefuehl. wenngleich die Daten auch lediglich fuer mich Arbeit der Wiederbeschaffung bedeuten. die Daten meiner Mom haben da schon mehr Gewichtung. habe mal noch SpyBot S&D laufen lassen, jedoch auch ohne bemerkenswertes Resultat. waere vllt ein Rootkit denkbar? hier erstmal aktuelle HJT-Logs: User: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Logfile of Trend Micro HijackThis v2.0.2 |
hi dein USB können wir gerne kontrollieren, dazu: Externe Medien desinfizieren und absichern 1. Schalte Antiviren-Programm und Firewall ab, da der Flash_Disinfector irrtümlich von manchen Anti-Virus-Programmen als Schädling erkannt wird, was er aber nicht ist. Lade Flash Disinfector von sUBs herunter und speichere die Datei auf Deinem Desktop.
2. - Lasse die externen Medien noch am Rechner angeschlossen und mache nun zur Kontrolle einen Onlinescan mit dem Kaspersky-Online-Scanner : *** Vergesse nicht, bevor Du wieder online gehst, Antiviren-Programm und Firewall wieder einzuschalten! 3. - Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
ok, das mit dem USB Stick probier ich gleich, wenn ich die Daten von meinem Lappi gesichert hab. Danke dafuer! den KasperskyOnlineScan werd ich evtl heute oder dann am Sonntag in Angriff nehmen. du hast demnach noch Hoffnung, dass da noch was gefunden wird bzw sich das Ganze evtl noch mal richten laesst? ich muss ehrlich gestehen, dass mich allmaehlich die Lust verlaesst. kostet einfach alles zu viel Zeit. mich interessiert im Moment einfach nur noch, was da vor sich geht und wer womoeglich dahinter steckt (ein wager Verdacht besteht). aufatmen wuerde ich und meine Mom vorallem, wenn es sich doch "nur" um ein Fehler im System handelt. ist aber wahrscheinlich etwas illusorisch der Gedanke, bei diesem Verhalten..? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board