Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   tr/zlob und Windows startet nicht (https://www.trojaner-board.de/49803-tr-zlob-windows-startet.html)

eins.zwei 23.02.2008 18:59
tr/zlob und Windows startet nicht
 
Hi alle zusammen!

Ich habe den Trojaner tr/zlob mit Antivir7 gefunden und dann auf mehrmals löschen geklickt.
Danach ist der Pc abgestürzt und ich kann jetzt nur mehr im abgesicherten Modus starten. Beim normalen Start kommt nicht mal der Logon Screen und der Pc startet neu.
Ich habe danach in Abgesicherten Modus mit Smitfraud versucht den Trojaner zu löschen aber Smitfraud zeigt die Meldung: CScript Fehler: Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert.Wenden Sie sich an den Administrator um weitere Details in Erfahrung zu bringen.

Hab schon diese Lösung probiert, hat aber nicht funktioniert da der Eintrag bereits auf 1 war:

Code:
Start -> Ausführen -> eintippen: regedit.exe -> ENTER

Suche nun folgenden Schlüssel: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows Script Host/Settings

Dann den Wert UseWinsafer suchen und von "0" auf "1" ändern. Danach die Registrierung schließen und das System neu starten.

Versuch es dann nochmal mit SmitfrautFix.
Hab auch schon einen Hijackthis log im Abgesicherten Modus erstellt:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 18:56:15, on 22.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
I:\hiii.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myownstartpage.net/?cm=8-14&lt=2&it=2008-02-22%2017%3A02%3A39&dt=2008-02-22%2018%3A44%3A55&q=http://www.darkorbit.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Startup: Verknüpfung mit LClock.lnk = C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\LClock\LClock.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O4 - Global Startup: StyleXP.lnk = C:\Programme\TGTSoft\StyleXP\StyleXP.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.darkorbit.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)
Bitte um Hilfe!
mfg eins.zwei :balla: :snyper:

virus 24.02.2008 12:43
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll (file missing)


das ist das einzige was mir in deinem logfile aufgefallen ist:)

als ich bei hijackthis.de dein logfile habe auswerten lassen ist bei dem von mir verdächtigen eintrag diese meldung dabei raus gekommen:

Unbedingt fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann! isfmdl.dll, sbmdl.dll - Adware downloader causing false spyware warnings,a member of the Trojan-Downloader.Zlob

leider kann ich dir nun auch nicht mehr weiter helfen, hoffe aber das dir nun die profis weiterhelfen können.

KarlKarl 24.02.2008 19:56
Hi,

wäre ja gut herauszubekommen, was Du nun mit Antivir gelöscht hast. Dazu mal die Berichte und Events durchsehen. Nicht auszuschließen, dass eine für den normalen Modus wichtige Datei dabei war, Fehlalarme kommen vor. Oder sie war infiziert, deshalb kein Fehlalarm, darf aber dennoch nicht einfach gelöscht werden.

Ansonsten Systemwiederherstellung: System auf einen Punkt zurücksetzen, als es noch funktionierte. Danach nicht wieder mit irgendwelchen Tools Amok laufen, da macht man leicht mehr kaputt als es nützt. Erstmal untersuchen, wo das Problem liegt.

Der Schlüssel für den Windows Script Host ist falsch, der von dir genannte hat nur mit der Überprüfung von Signaturen zu tun. Das ist der richtige:
Code:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"="1"
Gruß, Karl

eins.zwei 24.02.2008 20:54
Hab hier mal die Ereignisse von Antivir:

Code:
Exportierte Ereignisse:

22.02.2008 17:51 [Scanner] Malware gefunden
      Die Datei 'C:\System Volume
      Information\_restore{A2AF027D-6517-412A-86E3-C93B28AEB76A}\RP51\A0030621.dll'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

22.02.2008 17:20 [Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\<Benutzer>\Lokale
      Einstellungen\Temp\zfe1.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Zlob.19968.B' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde gelöscht.

22.02.2008 17:11 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:09 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:08 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:07 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:06 [Guard] Virus gefunden
      In der Datei 'C:\WINDOWS\system32\wbchha.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.19968.A' [TR/Zlob.19968.A]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:03 [Guard] Virus gefunden
      In der Datei 'C:\Dokumente und Einstellungen\<Benutzer>\Lokale
      Einstellungen\Temp\zfe2.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.144504' [TR/Zlob.144504]
      gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:02 [Guard] Virus gefunden
      In der Datei 'C:\Dokumente und Einstellungen\<Benutzer>\Lokale
      Einstellungen\Temp\zfe2.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Downloader.Gen'
      [TR/Downloader.Gen] gefunden.
      Ausgeführte Aktion: Datei löschen

22.02.2008 17:02 [Guard] Virus gefunden
      In der Datei 'C:\Dokumente und Einstellungen\<Benutzer>\Lokale
      Einstellungen\Temporary Internet Files\Content.IE5\3133RYUQ\somefile[1]'
      wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.144504' [TR/Zlob.144504]
      gefunden.
      Ausgeführte Aktion: Datei löschen
Die Systemwiederherstellung hab ich schon gestartet und wollte wiederherstellen.Hab dann neu gestartet und dann ist nur mehr dieser Fehler bei der Systemwiederherstellung: "Die Systemwiederherstellung kann den Computer nicht sichern. Starten Sie den Computer neu, und führen Sie die Systemwiederherstellung erneut aus."

danke eins.zwei

eins.zwei 24.02.2008 21:01
Nachtrag (kann man hier nicht Editieren?):

Jetzt kommt diese Fehlermeldung von Smitfraud:

C:\Dokumente und Einstellungen\<Benutzer>\Desktop\SmitfraudFix\ProcessList.vbd(15, 1) (null): Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit den aktivierten Geräten verbunden.

Und die Datei rapport.txt von SmitfraudFix:

Code:
SmitFraudFix v2.294

Scan done at 20:55:20,40, 24.02.2008
Run from C:\Dokumente und Einstellungen\<Benutzer>\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\<Benutzer>


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\<Benutzer>\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\<Benutzer>\FAVORI~1

C:\DOKUME~1\<Benutzer>\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}"="djuka"

[HKEY_CLASSES_ROOT\CLSID\{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}\InProcServer32]
@="C:\WINDOWS\system32\wbchha.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}\InProcServer32]
@="C:\WINDOWS\system32\wbchha.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" C:\\WINDOWS\\system32\\guard32.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
thx eins.zwei

KarlKarl 24.02.2008 21:05
Nach einer Systemdatei sieht da aber nichts aus. wenn ein Virenscanner allerdings in den Daten der Systemwiederherstellung (Ordner C:\System Volume Information) was löscht, besteht die Gefahr, dass die Systemwederherstellung dann nicht mehr funktioniert, da Windows dann die gelöschte Datei vermisst. Windows mag es überhaupt nicht, wenn in dem Ordner jemand anderes herumpfuscht.

Wie siehts aus? Geht der normale Modus wieder? Dann dort ein Hijackthis erstellen. Wenn es mit zurücksetzen nicht wieder geht, dann kannst Du noch einen älteren Punkt probieren, aber nicht auszuschließen, dass es dann auf eine Neuinstallation hinausläuft.

Diese letzte Fehlermeldung kann ich gerade nicht deuten, aber vielleicht mal hier weiterlesen. Außerdem: Istd ein Dateisystem NTFS oder FAT? Es gibt einige Berichte, dass die Systemwiederherstellung bei FAT öfter Aussetzer haben soll.

eins.zwei 24.02.2008 21:15
Der Normale Modus funktioniert noch immer nicht.
Und in die Systemwiederherstellung komme ich gar nicht erst hinein, es wird immer dieser Fehler gemeldet.
Die Suche nach der Datei wininit.ini ergab keine Ergebnisse.

Das Dateisystem ist NTFS.

danke eins.zwei

KarlKarl 24.02.2008 21:23
Die Fehlermeldung oben von Smitfraudfix deutet darauf hin, dass es nicht möglich war, eine Verbindung mit Windows Management Instrumentation - Wikipedia, the free encyclopedia aufzubauen. Wenn die zerschossen ist, dann sieht es richtig böse aus, das ist die zentrale Verwaltung von Windows. Da denke ich, dass Du das Problem wohl am schnellsten und einfachsten in den Griff bekommst, indem Du Windows neu installierst.

eins.zwei 24.02.2008 21:27
KarlKarl danke für deine Hilfe!

Es wird wohl das Beste sein den Computer neu aufzusetzen!

mfg eins.zwei :headbang:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131