Win XP: Kann PC nicht mehr starten...

Abges. Modus (F8 beim Start) , & Systemwiederherstellung.
Danach:
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
Virenscan machen
& ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

Hi,

das hab ich gestern versucht. Aber ich komm auch im abgesicherten Modus nicht mehr rein!  Ich habe ein Trojanisches Pferd drauf, die Datei im System32 Sfc_os.dll ist es, da mein Antivir diesen nicht loeschen konnte, hab ich die Datei umbenannt (In Trojaner) und auf den Destop verschoben. Dann habe ich Antivir deinstalliert, da ich Avast danach drueberlaufen lassen wollte. Aber jetzt komme ich nicht mehr in Windows!!

Komme ich irgendwie an meine Dateinen auf der Festplatte, ich benoetige diese dringend!? Kann ich die irgendwie von meinem anderen Windows erreichen? Ich hab naemlich noch eine Windows XP Home version drauf, da kann ich noch draufzugreifen!!

Bitte um Hilfe!

Danke, DANIEL

AHtte auch ma Das gleiche Pro
pc Neu Instalation wäre die einzige Möglichkeit

Schadprogramme von PC können nur unbedarfte Anfänger oder selbstüberzeugte Ignoranten sauber von einem PC entfernen. Fachleute nicht.
Sicherheit wieder herstellen
Und in Zukunft,. nach einer
Intelligenten  Neuinstallation
daraus lernen und immer ein Schadprogrammfreies Image zur Verfügung haben.
Jürgen

@DANHALL-
woher willst Du wissen, das die zu rettenden Dateien nicht auch verseucht sind?
Besorge Dir "Barts PE-Builder" mit Nero- Plugin und boote von dieser CD. Und brenne die Daten.
Aber - bevor Du sie benutzt, mit einem aktualisierten Virenscanner prüfen! Sonst hast Du recht schnell und effektiv Deine Neuinstallation ebenfalls verseucht.

Hi,

also meine Laptop laeuft wieder, aber ich glaube das da noch einiges drauf ist was nicht drauf sein sollte!! Hier mal mein altuelles Logfile, sieht aber glaub nicht so toll aus, oder? Weitere Vorgehensvorschlaege??

Scan saved at 21:10:01, on 07.12.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dj-danhall.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LSA Shel (Export Version) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Viele Grüsse DANHALL

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html

Wenn hast Du das letzte Mal Deinen PC bei Microsoft aktualisiert? Das dürfte ein Weilchen her sein.
Du hast unter anderem einen Schädling vom Typ Sasser auf Deinem PC.
Ich kann Dir nur zu einer Formatierung des PCs raten und einer anschließenden Neuinstallation. Hab ich weiter oben schon getan.
Vorschläge, wie ein verseuchter (kompromittierter) PC wieder zu 100% sauber zu bekommen ist, überlasse ich Scharlatanen.
Jürgen

Hi Jürgen,


wäre wahrscheinlich schon das beste, kann ich aber derzeit nicht machen,da ich bis ende feb. in brasilien bin und meine windows cds nicht dabei hab! aber ich hab gelesen dass ich den sasser wurm mit antivir losbekomm?!? hab bis jetzt nur immer avast draufgehabt... meinst das hilft... da ich zur zeit nicht ins internet komm!! "die suchseite konnt nicht angezeigt werden!"

Grüsse

 

da ich zur zeit nicht ins internet komm!!

Nanu? Hast Du das hier mit einem berittenen Boten geschickt?
Ich betone noch einmal: Du bekommst den PC nicht sauber.
Du kannst basteln. Unter anderem
- die Datei
C:\WINDOWS\lsass.exe löschen (versteckte und Systemdateien anzeigen)
- Sasser- Entfernung:
http://www.rz.uni-konstanz.de/Antivirus/vb/sasser/
- Updateseite von Microsoft aufsuchen:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de
- Microsoft Removal- Tool laden und ausführen:
http://www.pcwelt.de/downloads/virenschutz/virenprogramme/106555/index.html

Formatiere so schnell wie möglich, erstelle Dir eine Installations- CD, wie ich es oben bereits vorschlug. Installiere diese samt allen Treibern, aktiviere telefonisch. Defragmentiere und erstelle ein Image! Erst dann ins Internet gehen - so hast Du eine saubere Rückversicherung. Der PC läuft dann nach einer Verseuchung schnell, sauber und sicher.
Wenn Du es so machst, wie ich oben unter "Intelligente Installation" vorschlug, hast Du nach drei Minuten wieder einen sauber und komplett laufenden PC.
Jürgen

Hi,

eine Frage hab ich noch: Wollte mal wieder ein Systemwiederherstellungspunkt erstellen, aber das geht irgendwie nicht. Er bringt mir da eine Fehlermeldung, das er die Remote Zufuhr nicht starten kann... ??? Oder so ähnlich!? Was kann ich dagegen machen?

Danke. DANIEL

>>Wollte mal wieder ein Systemwiederherstellungspunkt erstellen, aber das geht irgendwie nicht<<
Nach meinen Erfahrungen ist es mehr Zufall, wenn das mal geht. Wer sich darauf verlassen will, der kann sich auch darauf verlassen, das am kommenden Heilig Abend 75cm Schnee liegen und eine Temperatur von minus 7°C herrscht.
Wenn Du verstehst, was ich meine.
Sehr viel besser und fast ABSOLUT sicher ist die Verwendung von Imagetools. Das sehr komfortable Acronis True Image v7 ist nun schon als Freeware erhältlich. Es wird Dich nie im Stich lassen.
>>Was kann ich dagegen machen?<<
Zu einem Gott Deiner Wahl beten. Ist ebenso erfolgversprechend, wie alle dazu im Internet geschriebenen "Lösungs"vorschläge.
Jürgen

Rechtsklick auf Arb-Platz ,Eigenschaften ,  prüfen ob S-W evtl deaktiviert ist ... ?

hi HCK,


dein Tipp habe ich gestern ausprobiert, abr ich kann nicht mal die Eigenschaften vom Arbeitsplatz anzeigen lassen, da kommt auch eine Fehlermeldung! Irgendwas mit rundel32.exe ...

Weitere Tipps?! DANKE

Grüsse DANIEL