|
@Sahara Hi, eigentlich musst Du einen neuen Thread eröffnen... Als erstes änderst Du von einem sauberen Rechner aus alle Internetpasswörter (eBay, eMail, Homebanking etc.)! Bis auf die askbar ist das HJ-Log von RSIT i. O., es gibt allerdings inifizierte Mountpoints: Zitat:
Mountpoints entfernen: Die nachfolgenden Zeilen (ohne code!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior) kopieren und auf dem Desktop unter dem Namen "mountpoints.reg" speichern (ohne Anführungszeichen und unbedingt die Endung auf .reg ändern!). Code: REGEDIT4Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\stu2.exe
Dr. Web: http://www.trojaner-board.de/59299-a...eb-cureit.html Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Und noch ein neues RSIT-Log posten.... chris |
hey, danke schonmal für deine hilfe! das mit den mountpoints habe ich gemacht, und bei virustotal kam folgendes raus (ich hoffe es ist alles wichtige dabei?!): atei userinit.exe empfangen 2010.01.23 22:09:26 (UTC) Status: Beendet Ergebnis: 0/40 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.01.23 - AhnLab-V3 5.0.0.2 2010.01.23 - AntiVir 7.9.1.146 2010.01.22 - Antiy-AVL 2.0.3.7 2010.01.22 - Authentium 5.2.0.5 2010.01.23 - Avast 4.8.1351.0 2010.01.23 - AVG 9.0.0.730 2010.01.23 - BitDefender 7.2 2010.01.23 - CAT-QuickHeal 10.00 2010.01.22 - ClamAV 0.94.1 2010.01.22 - Comodo 3685 2010.01.23 - DrWeb 5.0.1.12222 2010.01.23 - eSafe 7.0.17.0 2010.01.21 - eTrust-Vet 35.2.7255 2010.01.22 - F-Prot 4.5.1.85 2010.01.23 - F-Secure 9.0.15370.0 2010.01.23 - Fortinet 4.0.14.0 2010.01.23 - GData 19 2010.01.23 - Ikarus T3.1.1.80.0 2010.01.23 - Jiangmin 13.0.900 2010.01.23 - K7AntiVirus 7.10.952 2010.01.22 - Kaspersky 7.0.0.125 2010.01.23 - McAfee 5870 2010.01.23 - McAfee+Artemis 5870 2010.01.23 - McAfee-GW-Edition 6.8.5 2010.01.23 - Microsoft 1.5405 2010.01.23 - NOD32 4800 2010.01.23 - Norman 6.04.03 2010.01.23 - nProtect 2009.1.8.0 2010.01.23 - Panda 10.0.2.2 2010.01.23 - PCTools 7.0.3.5 2010.01.23 - Rising 22.31.04.04 2010.01.22 - Sophos 4.50.0 2010.01.23 - Sunbelt 3.2.1858.2 2010.01.23 - Symantec 20091.2.0.41 2010.01.23 - TheHacker 6.5.0.9.160 2010.01.23 - TrendMicro 9.120.0.1004 2010.01.23 - VBA32 3.12.12.1 2010.01.23 - ViRobot 2010.1.23.2152 2010.01.23 - VirusBuster 5.0.21.0 2010.01.23 - weitere Informationen File size: 25088 bytes MD5 : d1e53dc57143f2584b1dd53b036c0633 SHA1 : 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa SHA256: 66562aa550338571595975a81654834878c890126c8d513141a9903b72f9943d PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x50E5 timedatestamp.....: 0x41107B78 (Wed Aug 4 08:00:24 2004) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4DB8 0x4E00 6.01 510e211d12a2f009afb5f7a90cff9783 .data 0x6000 0x14C 0x200 1.86 cbb599f9267bf53209039d14a3574eb1 .rsrc 0x7000 0xCE0 0xE00 3.76 8b4bed593db3a5e5efda36f52c878d12 ( 0 imports ) ( 0 exports ) TrID : File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) ssdeep: 768:SJDUaxgu5YEVBxkjuv7wbaLa4PU4V4RuIc6:SJHxIEVBvT2aLa4PUe40Ic6 PEiD : - CWSandbox: Malware Report for ID: 267304 RDS : NSRL Reference Data Set ( Microsoft ) Disc 2438.5: userinit.exeMSDN Disc 2438.7: userinit.exeMSDN Disc 2438.8: userinit.exe |
oh. oh. habe versucht, meinen rechner durch die entsprechende änderung in der boot.ini im abgesicherten modus zu starten, und seitdem bekomme ich nur noch die anzeige, dass windows nicht gestarten werden kann und darunter verschieden auswahlmöglichkeiten (3 varianten abgesicherter modus, mit letzter funktionierender konfiguration oder normal starten). egal welche ich auswähle, er fährt nicht hoch und kehrt nur immer wieder zu dieser seite zurück :( wie kann ich denn jetzt die einstellung in der boot.ini ändern und ihn so wenigstens normal wieder hochfahren??? habe in einem beitrag hier gelesen, dass man dazu irgendwas in dos ändern muss, aber leider ohne genaue beschreibung... :( |
Hi, äh, Du solltest nicht die userinit.exe sondern die stu2.exe scannen lassen. Und welche Änderungen hast Du in der Bootini vorgenommen? Von woher hast Du das? Änderungen an der Bootini sind gefährlich (sic)... XP-Boot-CD rein, Reperaturinstallation durchführen, oder: Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Schnellanweisung für XP: Im Groben sieht das so aus; UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden). Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)). Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los. Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)... chris |
hey, ich hatte auch eigentlich die stu2 scannen lassen... komisch. mein rechner ist ein vaio von sony, daher habe ich leider keine xp-cd, sondern nur eine wiederherstellungs-cd ohne die möglichkeit der reparaturinstallation. ich habe nur leider, wie das ja immer so ist, noch ein paar ungesicherte dateien auf der festplatte, die ich nur sehr ungerne verlieren würde :( also muss ich mir jetzt von irgendjemandem eine normale xp-cd besorgen, damit ich eine reparaturinstallation machen kann?! der link für den abgesicherten modus auf eurer seite mit der anleitung für drweb curit (http://www.trojaner-board.de/59299-a...eb-cureit.html) funktioniert nicht mehr, daher habe ich es gegoogelt wie man bei xp in den abgesicherten modus kommt (hatte nur noch f5 im kopf, und das funktioniert bei xp ja scheinbar nicht). und da habe ich mehrmals den hinweis mit der boot.ini gefunden, z.b. hier: da fiel mir dann auch ein, dass mein informatik-prof sowas mal erwähnt hatte, und habe die anweisung dann leider befolgt :( ich war auch schon soweit, dass ich meinen rechner lieber zu einem fachmann bringen wollte, aber in unserem kleinen ort hier ist die auswahl nicht so groß und wenn ich das mit den sicherheitskopien von sony erwähnt habe, meinten alle nur sofort da könnten sie dann auch nichts machen. aber mit einer anderen, "normalen" xp-cd müsste das doch gehen, oder? bin so langsam am verzweifeln... |
Hi, kümmern wir uns erst darum, dass der Rechner wieder startet. Die Änderung in der boot.ini ist permanent, d.h. bevor die nicht wieder zurückeditiert wurde, versucht der Rechner immer in den abgesicherten Modus zu kommen. Und so wie das aussieht, ist der erstmal durch die Malware "blockiert" ->Deadlock... Versuche beim Booten mit der Taste F8 in den abgesicherten Modus zu kommen (nicht F5!)... Probiere die Erstellung einer xp-bootdisk wie beschrieben mit ubcd4win, das sollte auch mit einer Recover-Cd gehen (zumindest habe ich das mit einer Medion--Recovery-CD hinbekommen). Das gibt dann zwar eine Warnung, funktioniert aber... Im übrigen nicht F5 sondern F8: ->http://www.winfaq.de/faq_html/Conten...?h=tip0408.htm Wenn die Boot-CD läuft müssen wir von ihr booten und die boot.ini kopieren auf boot.ini.bak und sie dann editieren...: Code: [boot loader]In einer der letzten C't war eine Notfall-CD zum Booten drin... chris |
bin grad beim erstellen der boot-cd, scheint bis jetzt auch alles zu funktionieren. hoffe ich :) wie genau gehe ich denn dann mit der cd vor? Zitat:
|
mhm ja nee, zu früh gefreut mit der cd. habe den UBCD4WinBuilder.exe gestartet, bin den anweisungen gefolgt und jetzt hänge ich hier Zitat:
Zitat:
hab ich da schon wieder etwas falsch gemacht oder heißt das nun, dass das mit meiner sony system-sicherheitskopie nicht geht? oder einfach nochmal von vorne probieren...? |
Hi, tja, da hat Sony stark gespart, nehmen wir knoppix: http://www.trojaner-board.de/75619-anleitung-erstellen-einer-knoppix-live-cd.html Hast du versucht beim Booten F8 zu drücken? chris |
hi, hab mir eine normale xp-cd besorgen können, jetzt hat es auch funktioniert mit der erstellung der boot-cd :) und wie genau gehe ich jetzt damit vor? startet mein rechner dann erstmal wieder normal wenn ich sie reintue? mir würd es auch völlig reichen, nur eine chance zu bekommen meine daten zu sichern. danach mach ich gerne einmal das c-laufwerk platt und spiele windows komplett neu auf, wenn ich dadurch auch die viren, trojaner und was sich sonst auf meinem rechner zu tummeln scheint los werde. und das automatische hochfahren im abgesicherten modus dadurch dann wieder ausgeschaltet wäre... was meinst du mit beim booten f8 drücken? soll ich das jetzt bei meinem rechner versuchen oder ob ich es vorher versucht habe, als er noch lief? ich danke dir auf jeden fall schon vielmals für deine hilfe! sarah |
Hi, wenn Du jetzt eine normale XP-Boot-Cd hast, kanns Du auch von der direkt starten (im Bios die Bootreihenfolge umstellen, erstes Laufwerk muss das CD/DVD-Laufwerk sein -> http://www.winboard.org/forum/winxp-...anleitung.html). Dann CD rein ins Laufwerk, von CD booten und Reparaturinstallation durchführen. Dabei bleibt normalerweise SW und Daten erhalten... Du kannst auch die universalbootcd erstellen und von der Booten, dann kommst Du in ein "mini"-Window mit Virenscanner etc. Dort müsstest Du dann die boot.ini wie beschrieben erst sichern und dann editieren (den "/savemode"-Schalter entfernen). Parallel zum Scann kannst Du dann die Daten sichern... Nach dem Scann der Festplatte, der Datensicherung und der Änderung der Boot.ini sollte der Rechner wieder normal booten. (Das wäre die absolut sichere Variante)! chris |
hi, ich hab das mit der reparaturinstallation von der normalen xp-cd versucht, sah auch zuerst alles ganz gut aus, aber dann kam ein schwarzer bildschirm, mit oben + unten links + unten rechts der schrift "abgesicherter modus". kurz darauf tauchte dann ein fenster auf, dass das setup nicht im abgesicherten modus durchgeführt werden könnte, und man hatte nur die möglichkeit "okay" anzuklicken. wenn man das tat, versuchte er wieder von neuem hochzufahren, kam dann bis zu dem schwarzen fenster mit dem xp-logo, bevor er wieder abbrach und zu dem schwarzen bildschirm mit dem abgesicherten modus zurückkam. tja, jetzt hab ich den laptop doch zu einem experten gebracht, der versucht mir die wichtigsten daten von der festplatte zu holen und zu speichern (was durch die versuchte reparaturinstallation ja leider anscheinend schwieriger ist als normal, da desktop und eigene dateien woanders hin verschoben wurden). und dann werd ich mal eine komplette systemwiederherstellung machen und hoffen, dass die plagegeister auf meinem rechner nicht überlebt haben... das mit der boot-cd lass ich lieber, denn nochmal in der boot.ini rumzupfuschen trau ich mich nicht mehr. das habe ich jetzt fürs leben gelernt! ;) also nochmal vielen dank für deine hilfe und die vielen anweisungen! sarah |
Hi, dann war ich wohl zu ungenau in meinen Ausführungen. Bei der Reparaturinstallation ist kein abgesicherter Modus notwendig (in dem lässt sich tatsächlich nichts installieren) und es werden normalerweise auch keine eigenen Datein verschoben, sondern es wird nur das Betriebssystem überbügelt, wobei die Registry erhalten bleibt... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board