Crash.html + 4 weitere Dateien -> jetzt kein Internet mehr

Dieses Thema im Forum "Sicherheit" wurde erstellt von Wackelmeister, 20. Dezember 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    Hi,

    gestern Abend, ging auf einmal eine Seite, Crash.html auf, welche sich kurz zuvor auf C: erstellt hatte. Mit ihr hatten sich vier weitere Dateien erstellt. Seit diesem Ereigniss funktioniert nun die Internetverbindung überhaupt nicht mehr. Wenn ich versuche über meinen Router ins Internet zu kommen, hakt es immer bei der Authentification, obwohl mein Benutzername richtig und ich mir schon extra ein neues Passwort von meinem Anbieter erstellen lassen hab. Mit diesem neuen Passwort lief es dann auch erstmal ca. ne Minute wieder, ehe dann sich auf meiner LED aufm Router ein dauerflackern einsetze, obwohl ich nicht mehr surfen konnte. Seitdem gehts dann wieder nicht mehr.
    Ich hoffe, dass mir jemand helfen kann. Vielleicht hatte ja jemand schon einmal ähnliches?

    MfG
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Wackelmeister

    Wie heißen denn die 4 anderen Dateien?

    Gruß
    Nevok
     
  3. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    auch alle Crash, jedoch war die eine ne exe oder com, die andere ne Stapelverarbeitungsdatei, die andere ne Registrierungsdatei. Hab se leider schon gelöscht, weiß es nicht mehr ganz genau.
     
  4. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Ich würd erst mal keine Passwörter mehr ins System tippen ;) - erst mal aktuellen Virenscanner von extern drüber laufen lassen...

    Gruss, Matthias
     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  6. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    das hab ich mir auch schon gedacht und auch schon gemacht. Virenscanner findet jedoch nichts. Hab grad ma probiert mitm File Recovery Tool zu schauen, was das genau für Dateien waren. Is schon komisch, der hat aber auch alles gefunden, aber die Crash Dateien nicht mehr.
     
  7. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    das über google hatte ich auch schon gelesen. Konnte damit nur nicht wirklich etwas anfangen, da bei mir ja nicht der Internetexplorer darunter leidet, sondern der Router. Und irgendwie muss sich der Krams ja ersteinmal selbst auf der Platte erstellt haben.
     
  8. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Alles löschen, was als "böse" gekennzeichnet ist.

    Dazu solltest du den Rechner aber im abgesicherten Modus starten. Dazu drückst du beim Systemstart mehrmals die F8-Taste.

    Im übrigen ist deine HijackThis-Version veraltet. Version 1.99 ist derzeit aktuell.

    Gruß
    Nevok
     
  10. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    wollte mich mal seperat um diese Dateien kümmern,:

    C:\WINDOWS\System32\manager32c.exe
    Unbekannt Laufender Prozess. (manager32c.exe)
    Dies ist ein unbekannter Prozess.

    C:\WINDOWS\System32\winudp32.exe
    Unbekannt Laufender Prozess. (winudp32.exe)
    Dies ist ein unbekannter Prozess.

    C:\WINDOWS\System32\rarwin.exe
    Unbekannt Laufender Prozess. (rarwin.exe)
    Dies ist ein unbekannter Prozess.

    C:\WINDOWS\System32\Winlogin.exe
    Böse Laufender Prozess. (Winlogin.exe)
    Added as a result of the RANDEX.E VIRUS!. This is not the valid winlogon.exe as described here Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

    C:\Dokumente und Einstellungen\@ Home\Anwendungsdaten\estr.exe
    Unbekannt Laufender Prozess. (estr.exe)
    Dies ist ein unbekannter Prozess.



    jedoch finde ich sie nicht am angegebenen Ort auch nicht, wenn ich versteckte Dateien einblende. Vor allem die Winlogin.exe müsste ja von den oben angegebenen auf jeden Fall manuell gelöscht werden.
     
  11. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    irgendwie komisch, ich kann im Task Manager sehen, dass Winlogin.exe aktiv ist, finde die Datei jedoch nicht unter den von Hijackthis angegebenen Ort. Wie kann ich die Datei trotzdem finden und dann vor allem löschen?
     
  12. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hast du dein System so eingestellt, daß alle Dateien (auch die versteckten) angezeigt werden?

    Den Prozeß "Winlogin.exe" solltest du umgehend beenden und die Datei löschen.
     
  13. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    klar hab ich auch die versteckten Dateien anzeigen lassen. Hab den Prozess auch beendet, jedoch unter der Adresse C:/windows/system32/winlogin.exe , wie es Hijackthis meint, ist diese Datei leider nicht zu finden. Wie kann ich sie sonst finden und löschen?
     
  14. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Wird die Datei "winlogin.exe" denn noch von HijackThis angezeigt?

    Falls nicht, dann ist sie wahrscheinlich schon gelöscht worden.

    Was mit an dem Log noch aufgefallen ist:

    Kann es sein, daß du weder SP1 noch SP2 installiert hast?

    Deine IE-Versionsnummer lautet: 6.00.2600.0000
    Wenn SP1 installiert ist, lautet sie: 6.00.2800.1106
    Wenn SP2 installiert ist, lautet sie: 6.00.2900.2180

    Du solltest also schleunigst dein Betriebssystem auf den neuesten Stand bringen.
     
  15. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    Das ist ja das Problem, nach jedem Neustart ist Winlogin wieder aktiv und Hijackthis zeigt es auch an. hab SP1 installiert, 2 nicht, da hier die Meinungen ja unterschiedlich waren, obs nun mehr Vorteile/Nachteile hat. Hab aber mitlerweile auch schon erfahren, dass wenn ich SP2 installiert gehabt hätte, mir das wahrscheinlich nicht passiert wäre.
     
  16. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Miste doch einfach mal die "Startrampen" aus. "Ausführen" > "msconfig" und die verdächtigen Programme deaktivieren. Nach dem nächsten Start die Problemdateien löschen und der Spuk sollte vorbei sein.

    Gruss, Matthias
     
  17. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  18. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    also, die erste Sache, welche wirklich wirkung gezeigt hat, ist diese englische sache da trend micro........ Nur komm ich da noch nicht so ganz mit dem Programm klar........
     
  19. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    In welcher Hinsicht?
     
  20. Wackelmeister

    Wackelmeister Kbyte

    Registriert seit:
    12. August 2001
    Beiträge:
    396
    man klickt auf scan, dann läuft es ewig und hinterher kann man sich die log anschauen, jedoch werd ich aus der nicht so ganz schlau, ob es etwas gefunden bzw. beseitigt hat.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen