Booten in Win98-Nichts geht mehr-Virus ?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Oldie1944, 8. Mai 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Oldie1944

    Oldie1944 Byte

    Registriert seit:
    20. August 2002
    Beiträge:
    28
    Es begann mit einer Warnung von NAV 2002 (oder einer Anwendung, die orgab, NAV 2002 zu sein) beim Laden einiger kleinerer Dateien aus dem Internet, die mitteilte, dass eine dieser Dateien gelöscht wurde, und ich beruhigt weiterarbeiten koenne.
    Danach habe ich einen Komplettwscan mit den neuesten Virendefinitionen (vom 30.4.2003) - alle Laufwerke und Dateien - mit der Aussage: keine Infektion gefunden). Danach PC runtergefahren und ins Nest.

    Am naechsten Morgen keine Chance mehr, den Rechner ordnungsgemäss zu booten - auch nicht im abgesicherten Modus oder ins DOS.
    Beim Start wird versucht (welche Datei ist dafuer verantwortlich ?? IO.SYS ??) die Dateien HIMEM.SYS, DBLBUFF.SYS und IFSHLP.SYS aus einem ominösen Laufwerk "0" zu laden und nicht aus c:\windows. (Siehe nachfolgender Anfang von Bootlog.txt:)

    [0013B6CB] Loading Device = 0\HIMEM.SYS
    [0013B6CC] LoadFailed = 0\HIMEM.SYS
    [0013B6CC] Loading Device = C\WINDOWS\EMM386.EXE
    [0013B6D8] LoadFailed = C:\WINDOWS\EMM386.EXE
    [0013B6D8] Loading Device = 0\DBLBUFF.SYS
    [0013B6D8] LoadFailed = 0\DBLBUFF.SYS
    [0013B6D8] Loading Device = C:\ATAPI\TOSHV216.SYS
    [0013B6EE] LoadSuccess = C:\ATAPI\TOSHV216.SYS
    [0013B6EE] Loading Device = C:\WINDOWS\COMMAND\DISPLAY.SYS
    [0013B6F0] LoadSuccess = C:\WINDOWS\COMMAND\DISPLAY.SYS
    [0013B6F2] Loading Device = 0\DBLBUFF.SYS
    [0013B6F2] LoadFailed = 0\DBLBUFF.SYS
    [0013B6F2] Loading Device = 0\IFSHLP.SYS
    [0013B6F2] LoadFailed = 0\IFSHLP.SYS
    [0013B6F6] C:\WINDOWS\COMMAND\MSCDEX.EXE[0013B6F7] starting
    [0013B6FA] C:\TRMOUSE\TRMOUSE.COM[0013B6FA] starting
    [0013B711] C:\WINDOWS\COMMAND\MODE.COM[0013B711] starting
    [0013B719] C:\WINDOWS\COMMAND\MODE.COM[0013B719] starting
    [0013B721] C:\WINDOWS\COMMAND\KEYB.COM(Logo disabled)

    Resultiert in BlueScreen "Fehler beim Initialisieren des VFAT-Geraets. Ein fuer VFAT erforderliches Geraet bzw. eine Ressource ist nicht vorhanden oder nicht verfuegbar. VFAT kann nicht geladen werden. System angehalten."

    Nehme ich jetzt den Aufrufe von HIMEM,DBLBUFF und IFSHLP aus c:Windows in die CONFIG.SYS (was aber unter Win98 eigentlich nicht erforderlich ist, weil das System Sie automatisch laedt, kommen folgende Meldungen:

    "Registrieungsdatei nicht gefunden; ggf. sind fuer diese Sitzung keine Registrierungsdienste verfuegbar. XMS-Cache-Fehler.
    Die Registrierungsdienste sind ggf. waehrend der Sitzung nicht verfuegbar" - und dann ca. 2 Min. spaeter: "Sie koennen den Computer jetzt ausschalten. Zum Neustart des Computers koennen Sie auch Strg+ALT+Entf druecken".

    Abgesicherter Windows-Start endet mit Fehlern bezueglich dem misglueckten Laden der 3 Sys-Dateien am DOS-Prompt.
    Neue Soft- oder Hardware wurde auf diesem Rechner in den letzten Wochen nicht installiert - ich verwende ihn ausschliesslich fuers Surfen. Ich erwaehne dies, weil Symantec auf der Webseite aehniche Probleme einraeumt - direkt nach der Installation von SystemWorks - aber ich habe vor 6 Monaten das Programm installiert. Ausserdem kommt man da zur Problemloesung ins abgesicherte Windows - ich leider nicht.

    Was war sonst noch ?
    1. Ueberinstallieren von Windows 98 in gleiches Verzeichnis = gleiches Problem
    2. Ueberinstallieren von Windows 98 SE in gleiches Verzeichnis = gleiches Problem
    3. Neuinstallation von Windows 98 SE in anderes Verzeichnis auf gleicher Partition = gleiches Problem.
    2. Probeweiser Einbau einer Festplatte aus einem anderen PC in das Problemgeraet: Nach Nachinstallation einiger Geraetetreiber lief PC problemlos.

    Ueber kompetente Hilfe eines Forumsmitgliedes, der das gleiche Problem hatte und geloest hat, wuerde ich mich sehr freuen. (ob Virus als Ursache oder nicht.....).
    Aber bitte nicht verhauen wegen dem langen Beitrag - ich brauche Hilfe und nicht jede Menge Rueckfragen.

    MfG.
     
  2. Oldie1944

    Oldie1944 Byte

    Registriert seit:
    20. August 2002
    Beiträge:
    28
    Ursache war jetzt doch eine Manipulation der MSDOS.SYS durch ausfuehrbaren Code, den ich mir per Internet eingefangen habe.
    Nach dem scheinbaren Ende des Textes in der Datei folgten ca. 100 Leerzeilen (nur ein Leerzeichen pro zeile, damit es von der Dateigroesse nicht auffaellt...) und dann:
    [Paths]
    WinBootDir=0.

    Ob jetzt durch den ausfuehrbaren Code die Datei manipuliert oder per Anhang komplett ausgetauscht wurde, weiss ich nicht - immerhin ist die Datei eine versteckte, schreibgeschuetzte Systemdatei.
    Eine andere Ursache gibt es jedoch nicht, da ausser mir kein weiterer Scherzkeks Zugriff zu diesem PC hat.

    Bitpicker, danke fuer Deine Hartnaeckigkeit - hat meinen Ehrgeiz angestachelt und verhindert, dass ich letzte Nacht den "roten Knopf" (=Format c :\) gedrueckt habe
     
  3. Oldie1944

    Oldie1944 Byte

    Registriert seit:
    20. August 2002
    Beiträge:
    28
    Scandisk ist bei den Windows-Neuinstallationen der letzten beiden
    Tage mehrmals gelaufen ohne Fehler.
    Festplatte ist einige Jahr alt - eine 6 GB grosse Fujitsu Platte (hat 3 Partitionen) und eine uralte 850 MB Seagate Platte. Wie gesagt,
    ist mein sekundaerer Rechner - nur fuer das Internet.
     
  4. Oldie1944

    Oldie1944 Byte

    Registriert seit:
    20. August 2002
    Beiträge:
    28
    Hallo Bitpicker,
    danke fuer die detaillierte Aufstellung, darauf wird es wohl hinauslaufen, wenn nicht noch jemand einen genialen Einfall oder eine leidvolle Erfahrung hat, die er anders geloest hat. Ganz bin ich immer noch nicht ueberzeugt, dass die Neuinstallation sein muss.
    Hier am Frontend ruft eigentlich die MSDOS.SYS (eine versteckte Textdatei-in die kann ich reinsehen, die ist sauber) die IO.SYS auf (die kann ich nicht lesen). Wiefern da noch die Command.COM und andere DOS-Dateien eine Rolle spielen und ob diese z.B. durch eine Virus manipulierbar sind - denn irgendwo muessen die falschen Address-Aufrufe ja herkommen - weiss ich nicht. Das Problem beginnt also schon vor dem eigentlichen Windows-Start.

    Gruss
    Oldie1944
     
  5. Oldie1944

    Oldie1944 Byte

    Registriert seit:
    20. August 2002
    Beiträge:
    28
    Resultat:
    Nachrichten in dieser Reihenfolge
    1."Registrierungsdatei nicht gefunden; ggf. sind fuer diese Sitzung keine Registrierungsdienste verfuegbar. XMS-Cache-Fehler.
    Die Registrierungsdienste sind ggf. waehrend der Sitzung nicht verfuegbar" - und dann ca. 2 Min. spaeter: "Sie koennen
    den Computer jetzt ausschalten. Zum Neustart des Computers koennen Sie auch Strg+ALT+Entf druecken".
    2.BlueScreen "Fehler beim Initialisieren des VFAT-Geraets. Ein fuer VFAT erforderliches Geraet bzw. eine Ressource ist nicht vorhanden oder nicht verfuegbar. VFAT kann nicht geladen werden. System angehalten."

    Eine Meldung bezueglich einem nicht korrigierbaren Fehler in der Registry hatte ich auch zwischenzeitlich in der vergangenheit bei Bootversuchen teilweise auch erhalten (hatte ich beim Bericht vergessen). Wiederherstellung am DOS-prompt mit scanreg war formal auch erfolgreich - gebracht hat es beim Start auch nichts..

    Gruss
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen