|
Abgesicherten Modus wirste vermutlich jetzt nicht mehr kommen wenn Du mehrmals beim booten auf F8 drückst oder ? Hier scheint die Winlogon.exe defekt zu sein. Versuch bitte nun folgendes wieder in der RC Code: ren C:\windows\system32\winlogon.exe winlogon.exe.bakStarte den Rechner bitte neu auf. |
Der abgesicherte Modus ist mit F8 jetzt nicht mehr erreichbar, ja! Eingabebefehl Nr. 1 hat er mir angenommen. Beim 2ten Befehl, also copy C:\WINDOWS\system32\dllcache\winlogon.exe C:\windows\system32 kam: Die angegebene Datei wurde nicht gefunden. Nach dem Neustart des Rechners befindet sich der Neustart in der Schleife |
Erstens. Wurde Knoppix als bootbare CD gebrannt? so bitte versuche folgendes. Lege die Win CD ins Laufwerk. Boote in die RC und gib bitte folgendes ein Code: expand x:\i386\winlogon.ex_ c:\windows\system32\winlogon.exe |
Ich fürchte, dass Knoppix nur als Daten-CD gebrannt wurde und von daher nicht automatisch bootet :( Den Rest probiere ich jetzt und berichte dann gleich. Edit: Dort kommt bei der Befehlseingabe leider: Ungültige Pfad- oder Dateiangabe |
Das gibts doch jz echt nicht Code: copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\windows\system32 |
Zitat:
1 Datei(en) wurde kopiert Bin dann mit EXIT wieder raus. Reboot erfolgte dann automatisch. Anschließend kam das blaue Fester wieder, dann kurz das Hintergrundbild, anschließend wieder das blaue Fenster und zuguterletzt das Benutzerkonto. Das habe ich angeklickt, doch der Ablauf war leider wieder der Altbekannte. Benutzerdaten werden geladen Abmeldung... Einstellungen werden gespeichert (also wieder die Schleife) :confused: Habe jetzt erstmal den Rechner ausgemacht. Ich drücke die Daumen :daumenhoc:daumenhoc:daumenhoc für die Matheklausur ... und schaue dann morgen früh wieder rein. Vielen Dank erstmal bis hierhin^^ |
Okay, next userinit.exe ;) Wenn da die Registry was hat, haben wir ein Problem ^^ Sehen wir nach was SFF so verunstalltet hat. Die .txt datei ist etwas länger. Du kannst diese auf einen USB Stick kopieren, wenn Du den Laufwerksbuchstaben weist :) Code: set allowallpaths = trueAnsonsten Code: type C:\rapport.txt |
So, habe jetzt endlich die rapport.txt. Gestern hatte ich es leider nicht mehr geschafft ^^ Zitat:
C:WINDOWS\System32\smss.exe C:WINDOWS\system32\csrss.exe C:WINDOWS\system32\winlogon.exe C:WINDOWS\system32\services.exe C:WINDOWS\system32\lsass.exe C:WINDOWS\system32\svchost.exe C:WINDOWS\system32\svchost.exe C:WINDOWS\System32\svchost.exe C:WINDOWS\System32\svchost.exe C:WINDOWS\System32\svchost.exe C:WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\PCOptimizer\PCoptimizerService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe\Explorer.EXE C:\Programme\Analog Devices\Sound\MAX\SMTray.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\Spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_06\realsched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe >> >> >> >> >> >> >> >> >> >> >> >> hosts >> >> >> >> >> >> >> >> >> >> >> >> C:\ >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\Web >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system32 >> >> >> >> >> >> >> >> >> >> >> >> C:\WINDOWS\system32\LogFiles >> >> >> >> >> >> >> >> >> >> >> >> C:\Dokumente und Einstellungen\Thomas >> >> >> >> >> >> >> >> >> >> >> >> C:\DOKUME~1\Thomas\LOKALE~1\TEMP >> >> >> >> >> >> >> >> >> >> >> >> C:\Dokumente und Einstellungen\Thomas\Application Data >> >> >> >> >> >> >> >> >> >> >> >> Start Menu >> >> >> >> >> >> >> >> >> >> >> >> C:\DOKUME~1\Thomas\FAVORI~1DESKTOP >> >> >> >> >> >> >> >> >> >> >> >> C:\Programme >> >> >> >> >> >> >> >> >> >> >> >> Corrupted Keys >> >> >> >> >> >> >> >> >> >> >> >> Desktop Components >> >> >> >> >> >> >> >> >> >> >> >> 04Patch !!!Attention, following Keys are not inevitably infected!!! 04Patch Credits: Malware Analysis & Diagnostic Code: S!Ri >> >> >> >> >> >> >> >> >> >> >> >> IEDFix !!!Attention, following Keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri >> >> >> >> >> >> >> >> >> >> >> >> Agent.OMZ.Fix !!!Attention, following Keys are not inevitably infected!!! Agent.OMZ.Fix Credits: Malware Analysis & Diagnostic Code: S!Ri >> >> >> >> >> >> >> >> >> >> >> >> VACFix >> >> >> >> >> >> >> >> >> >> >> >> 404Fix >> >> >> >> >> >> >> >> >> >> >> >> Sharedtaskscheduler !!!Attention, following Keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll >> >> >> >> >> >> >> >> >> >> >> >> AppInit DLLs !!!Attention, following Keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows] “AppInit_DLLs”=”owegeq.dll” >> >> >> >> >> >> >> >> >> >> >> >> Winlogon !!!Attention, following Keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows] “Userinit”=”C:\\WINDOWS\\system32\\userinit.exe, “ >> >> >> >> >> >> >> >> >> >> >> >> RK [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Windows] “System”=” “ >> >> >> >> >> >> >> >> >> >> >> >> DNS Description: MAC-Brückenminiport – Paketplaner-Miniport DNS Server Search Ordner: 192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\..\{59EA70AE-C612-40D4-BC85-20E1D29F3FF5}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1. HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1. HKLM\SYSTEM\CCS\Services\TCpip\Parameters: DhcpNameServer=192.168.2.1. >> >> >> >> >> >> >> >> >> >> >> >> Scanning for wininet.dll infection >> >> >> >> >> >> >> >> >> >> >> >> End |
Okay, wurde SFF mit Option 1 oder 3 ausgeführt. Sieht nach 1 aus. Versuchen wir die Userinit.exe zu ersetzen. Code: cd C:\windows\system32 |
Bekomme hier: Unbekannter Befehl Parameter ungültig angegebene(s) Datei / Verzeichnis nicht gefunden angegebene Datei wurde nicht gefunden Edit: oder muss ALLES in einem eingegeben werden? Habe es nacheinander versucht^^ |
Wann genau kommt "unbekannter befehl" ? |
Zitat:
C:\windows\system32 |
Okay, schreiben wir es um Sorry, ich hab noch nicht so viel Erfahrung mit der RC :) Code: attrib -s -h -r C:\windows\system32\userinit.exe |
Zitat:
Zitat:
Zitat:
:confused: |
Okay, dann anders. Code: copy C:\i386\userinit.ex_ C:\windows\system32 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board