|
SystemRestore ohne Rueckfrage guten Morgen zusammen! wie toll doch so ein Computer sein kann! wozu Sudoku spielen, wenn man sich auch ueber den PC den Kopf zerbrechen kann? System: Pentium4 / 1,5GB RAM / 60GB Systempartition / ATI9200SE / Win XPro(up to date, ausser der IE und evtl der letzte MS Patch bzgl der Scripte)) bei folgend beschriebenem Verhalten, bin ich ein wenig ratlos. seit wohl schon einiger Zeit wird beim Starten des PC folgender Fehler angezeigt: Fehlerhafte Datei BOOT.INI. Starten von C:\windows\. dennoch startet das System ohne weitere Fehler, bis man sich das Adminkonto mal genauer betrachtet. die Userin arbeitet idR mit eingeschraenkten Benutzerrechten. kuerzlich hat Sie sich das Programm RadioTracker (gekaufte Version von Saturn) installiert. dies unter dem Admin-Konto. dabei hat sie zu diesem Zeitpunkt festgestellt, dass Sie, jedoch nur dort!, das Hintergrundbild mit der Maus verschieben kann. dererlei Spezialeffekte sind weder durch Sie noch durch mich installiert bzw aktiviert worden(oder hab ich was nicht mitbekommen und das geht schon immer auf XP bzw mit der verbauten GraKa einfach so?) als ich mir das mal anschauen wollte war dies nicht mehr der Fall. nein, das bereits eingestellte Hintergrundbild war komplett weg und das System machte den Anschein,als waere es gerade neu installiert worden (voreingestelltes Hintergrundbild, Aufklappen des Startmenues, neue Maus gefunden+Config?). kurioserweise zeigt der Hardwaremanager keine nicht installierte Hardware an. ein Blick in die Systemwiderherstellung machte mich weiterhin stutzig, da dort keine automatisch erzeugten Systempruefpunkte aufzufinden sind. einen Loesungsansatz dafuer habe ich gefunden -> nicht automatisierter Taskplaner. jedoch waere mir fraglich, wenn dieser Dienst abgeschaltet worden ist (werd ich im Laufe der Woche nachsehn), von wem oder was! mehr als ein HJT-Logfile hab ich vorerst nicht. verdaechtige Eintraege von der automatischen Auswertung habe ich schon mal farblich markiert. ich waere dankbar, wenn dennoch mal jemand drueber schauen wuerde und fuer den ein oder anderen moeglichen Loesungsansatz des merkwuerdigen Verhaltens. Code: Logfile of Trend Micro HijackThis v2.0.2cypher |
Zitat:
Zitat:
Fehlermeldungen "Fehlerhafte Datei Boot.ini" oder "Windows konnte nicht gestartet werden" beim Starten des Computers Die Warnung kann auf eine beschädigte Datei hindeuten. Zitat:
Ich würde den ganzen Schrott unten aus meinem Browser schmeissen: O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll ------------------------------------------------------------- Zitat:
-------------------------------------------------------------- O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm Mal ne Frage: Kennst du dieses Programm da oben. Sag mir mal das du es installiert hast und weisst was es so macht. Oder kuck hier: btsendto_ie.htm - Can you trust this file? OASIS Das Ding unten ist interessant. Könnte was böses sein. Checke es doch mal hier: VirusTotal - Kostenloser online Viren- und Malwarescanner O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe Glückauf! :daumenhoc |
Hallo cypher und Herzlich Willkommen! :) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Poste bitte ein aktuelles HijackThis-Logfile aus dem normalen Modus 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
Zitat:
Zitat:
Zitat:
Zitat:
danke fuer die Tips und to-do-list. werde diese abarbeiten und mich dann wieder melden. cheers cypher |
sodann hier die aktuellen Files: HJT: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Adobe Flash Player 10 Plugin |
...und noch die Filelist Teil1: Filelist: Code: ----- Root ----------------------------- |
...und Filelist Teil2: Filelist2: Code: |
...aller "guter" Dinge sind bekanntlich drei... Filelist Teil3: Code: ----- Windows/Temp ----------------------- hat lediglich McAfee ne Meinung: Zitat:
:kaffee: |
hi 1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` 2. Falls noch vorhanden: Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code: O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dllalle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
6. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 7. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
so gut wie das Ergebnis bis jetzt erscheint,fuer mich etwas enttaeuschend. das System scheint soweit sauber zu sein: SAS-User: Code: SUPERAntiSpyware Scann-ProtokollCode: SUPERAntiSpyware Scann-ProtokollCode: Logfile of Trend Micro HijackThis v2.0.2Code: Logfile of Trend Micro HijackThis v2.0.2noch eine Frage bzgl SAS: hab ich da die richtige Version bzw das richtige Programm erwischt? ich werd leicht skeptisch, wenn ich gerade bei solch einer Software Fehler wie "Scann" oder nicht ganz so sauber programmierte Programmoberflaechen finde. ich will damit niemanden an den Karren fahren, nobody is perfect, nur nochmal rueckfragen! cypher |
hi 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code: R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)Was soll das denn unter AutoStart bewirken? : "User" Code: O4 - Startup: Geburtstage 09.txt"Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. (oder mit HijackThis fixen) Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht) Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` - auf keinen Fall Grafiktreibers, Sound, Firewall und Anti-Viren-Programmen abschalten!! Oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen kannst noch herausnehmen: ("User" + "Admin": Code: O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -DelayWir kennen alle Programme,die wir verwendet haben, sind sie gut und bieten in der Regel gute Ergebnisse und sind alle Vertreuenswürdig! ** Läuft dein System stabil? |
hey Coverflow, danke fuer die unermuedliche Hilfe! die txt.-Autostarteintraege sind fuer meine "Mom" ne Art Erinnerungsfunktion. unter gewissen Umstaenden lassen unsere Kapazitaeten irgendwann leider etwas nach. sicher gibt es dafuer auch ganz tolle Programme, aber so gehts ja auch, einfach und schnell. Quicktime ist ua eins der nervigsten Programme, was den Autostart angeht. frag nicht wie oft ich den da schon rausgenommen hab. scheinbar traegt sich das Teil immer wieder ein, wenn es mal gestartet wird (weil diese Option vllt auch noch im Programm selbst so gesetzt ist. muss ich auch noch mal schaun). also dieses System laeuft, soweit ich das beurteilen kann, stabil. jedoch besteht nach wie vor dieses seltsame Verhalten, dass das Admin-Kto bei jeder Anmeldung den Anschein macht, als sei das System gerade frisch installiert worden. als wenn da irgendwo ein Eintrag existiert "set to zero@adminlogon". glaube so wuerde ich den nennen, wuerde ich sowas bauen. ansonsten kein auffaelliges Verhalten feststellbar. jedenfalls nichts Offensichtliches. um dies zu untermauern, muesste man wahrscheinlich eins zwei Programme zur Systemueberwachung mal mitlaufen lassen!? hast du dies bzgl schon ne Idee, ob Bug oder doch destruktiver Code? |
so langsam fuehrchte ich, dass ich um ein Neuaufsetzen wohl nicht herumkommen werde. die "automatische Rueckstellung" von Programmeigenschaften scheint nun auch auf das Benutzerkonto ueberzugreifen. es ist jedenfalls nun bei jedem Reboot von Noeten, den Trackball neu zu konfigurieren, wobei auch noch ein Fehler beim Verarbeiten einer DLL auftritt. beim Schließen des Trackball-Configtools informiert eine Box" rundll32.exe hat ein Problem festgestellt und muss beendet werden". Fehlerbericht blablabla. desweiteren bin ich ueberaus "erfreut", dass nach dem dritten mal Anstoepseln meines USB Sticks ~1,2GB Daten nicht mehr sichtbar sind, der Platz jedoch noch belegt ist. so allmaehlich bekomm ich ein mulmiges Gefuehl. wenngleich die Daten auch lediglich fuer mich Arbeit der Wiederbeschaffung bedeuten. die Daten meiner Mom haben da schon mehr Gewichtung. habe mal noch SpyBot S&D laufen lassen, jedoch auch ohne bemerkenswertes Resultat. waere vllt ein Rootkit denkbar? hier erstmal aktuelle HJT-Logs: User: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Logfile of Trend Micro HijackThis v2.0.2 |
hi dein USB können wir gerne kontrollieren, dazu: Externe Medien desinfizieren und absichern 1. Schalte Antiviren-Programm und Firewall ab, da der Flash_Disinfector irrtümlich von manchen Anti-Virus-Programmen als Schädling erkannt wird, was er aber nicht ist. Lade Flash Disinfector von sUBs herunter und speichere die Datei auf Deinem Desktop.
2. - Lasse die externen Medien noch am Rechner angeschlossen und mache nun zur Kontrolle einen Onlinescan mit dem Kaspersky-Online-Scanner : *** Vergesse nicht, bevor Du wieder online gehst, Antiviren-Programm und Firewall wieder einzuschalten! 3. - Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
ok, das mit dem USB Stick probier ich gleich, wenn ich die Daten von meinem Lappi gesichert hab. Danke dafuer! den KasperskyOnlineScan werd ich evtl heute oder dann am Sonntag in Angriff nehmen. du hast demnach noch Hoffnung, dass da noch was gefunden wird bzw sich das Ganze evtl noch mal richten laesst? ich muss ehrlich gestehen, dass mich allmaehlich die Lust verlaesst. kostet einfach alles zu viel Zeit. mich interessiert im Moment einfach nur noch, was da vor sich geht und wer womoeglich dahinter steckt (ein wager Verdacht besteht). aufatmen wuerde ich und meine Mom vorallem, wenn es sich doch "nur" um ein Fehler im System handelt. ist aber wahrscheinlich etwas illusorisch der Gedanke, bei diesem Verhalten..? |
leider hat es Flash Disinfector nicht geschafft, meine Daten wieder sichtbar zu machen. es hat lediglich den besagten Ordner erstellt. belegt sind ~1,4GB. bilde mir zwar ein, dass es gestern noch beschriebene 1,22GB waren, aber kann mich auch irren. heute sind es jedenfalls 1,4GB. waere es moeglich, dass die Daten in eine versteckte Partition, moeglicherweise auch noch verschluesselt, verschoben wurden? aehnlich wie dies bspw TrueCrypt möglich macht? in dem Fall waere der Flash Disinfector wahrscheinlich eher machtlos..? Onlinescan im Moment nicht moeglich. Kaspersky werkelt dran rum. cypher |
bin mir nicht sicher, ob das jetzt vllt zu off-topic geht? wenn ja, dann sorry und bitte in passendere Kategorie (hierhin vllt -> Ueberwachung und Datenschutz) verschieben. habe mal noch mit PartedMagic den Stick durchleuchtet. dabei kam mir noch der Gedanke, dass Daten von einem Datentraeger scheinbar verschwinden, wenn man die Partitionstabelle aendert. richtig? wuerde mir in etwa auch eine Erklaerung geben, dass der Name des Datentraegers ebenfalls nicht mehr vohanden ist. beim Auslesen des Datentraegers gab es diese Info ein Check mit libparted meinte: Code: The FATs don't match. If you don't know what this means, then select cancel, run scandisk on the file system, and then come back.Code: Sat Oct 10 15:59:59 2009 |
hi Also neu zu installieren hilft meistens, nur so kannst Du sicher sein, dass Dein Speicher sauber ist. Danach hat den großen Vorteil (wenn dein Rechner ohne Fehle läuft), dass Du einen Virenverdacht definitiv ausschließen kannst. Die "Bad Relative Sector" kann ein Hinweis auf die Partitionslänge sein Wenn Du Lust hast noch weiter herumzubasteln, sichere deine Daten und danach kannst versuchen mit "chkdsk Laufwerksbuchstabe: /r " mal einen Check noch durchführen. |
hey Coverflow, nunja, dann soll es wohl so sein und wie mir scheint auch besser. wie hoch schaetzt du die Chance ein, dass nach einem Scan (Kas-Online oder genuegt auch Lokal, zB mit Avira?) der Dateien auf der externen Festplatte, diese ohne Gefahr einer Neuinfektion durch nen verborgenen Schaedling wieder zu nutzen? chkdsk hat meine 1,44GB Daten in der Tat gefunden. ok, scheinbar eher Fragmente dieser. die Frage, ob ich die "Ketten" in Dateien umgewandelt haben wolle, bestaetigte ich mit ja. nun weiß ich nicht, ob dies so gut war. haette ich mal besser vorher etwas Lektuere mir zu Gemuete gefuehrt! nunja, jedenfalls habe ich nun 5273-CHK Dateien (weißes Blatt-Symbol mit gruen/orange'nem Zahnrad drauf) in einem "FOUND.000" Ordner und weiß herzlich wenig damit anzufangen..? stutzig macht mich noch, dass ich beim ersten Durchlauf 1versteckte Datei mit 16KB hatte. spaßenshalber hab ich noch einen gemacht und da waren es dann 2Versteckte mit 192KB. obwohl in den Ordneroptionen alles so eingestellt ist, dass alle Dateien, auch Systemdateien, angezeigt werden, bleiben diese beiden meinen Augen verborgen. oder ist dies lediglich ein Ausdruckfehler von Windows und meint, damit die zwei Ordner (autorun.inf von Flash-Disinfector und den Found.000), welche als Objekte die entsprechende Groeße aufweisen, ohne den eigentlichen Inhalt? also dass es eigentlich heißen muesste: 192KB in zwei versteckten Objekten? |
hi 1. vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. kannst gerne mal zuerst mit Avira, Einstellungen entnehme bitte von hier: http://forum.avira.com/wbb/index.php...threadID=78339 1. Einstellungen und 2. - Erster Scan (Lokale Laufwerke) 2. dann mit Kaspersky: vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
dat Kas-Log wird sicher noch n biss auf sich warten llassen, wie mir scheint. dat Sys mach ich jedenfalls am Sa wieder frisch und fertig:kloppen: chias |
Zitat:
|
2-3Jahre ist ein einigermaßen annehmbarer Zyklus, wenn es sich um Komprometierung handelt. bei Treiberproblemen etc versteh ich das dann nicht so ganz, wo es doch sonst wie tolle Proggis gibt, mit denen man solch ein System warten kann. aber naja, bei Microsoft, wie auch vielen anderen Sparten des Lebens/oder der Konsumgueter, geht es ja eher um Profit und nicht um Effizienz. etwas zu schaffen, was der Allgemeinheit nuetzlich waere, ohne jeglichen Eigennutz, waer ja auch gegen unsere Natur:rolleyes: jedenfalls teilweise. Ausnahme siehe zB TB:daumenhoc"eine Neuregistrierung von Windows, weil ich RAM aufrueste, tut auch wirklich Not!?". kein Scherz, hatte ich auch schon! naja, Computer und Software sind schon spannend und manchmal faszinierend wie das Leben selbst. wenn auch nicht ganz so Gesellschaftsfaehig... cheers |
Zitat:
Bei Computerbefall & Technische Probleme gleich handeln, ansonsten zeitweise die Erneuerung von Systemen kann nur gut tun! Zitat:
|
wenngleich das System nun wieder neu installiert ist, dennoch hier das Kaspersky Scan-Log. Eintraege die ich mit Sicherheit als ungefaehrlich einstufen konnte (wie zB Flash-Disinfector), habe ich entfernt(---xxx-weitere Eintraege dieser Art---), um das Log etwas zu verkuerzen(und mir ein wenig Arbeit beim Modifizieren von Benutzernamen zu ersparen :crazy: Scan wurde jedoch von Lokal ausgefuehrt, da der Onlinescanner nach wie vor offline ist/zu diesem Zeitpunkt ebenfalls war. Code: Vollstaendige Untersuchung: wurde abgeschlossen vor 1 Minute (Ereignis: 539, Objekte: 117496, Zeit: 00:26:38) |
part two: Code: 17.10.2009 18:06:52 C:\Programme\ZipGenius 6\cutter\cutt4cm.dll cheers cypher |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board