Windows XP startet nicht vollständig

Hallo allerseits!

Kann mir bitte jemand helfen!!!
Windows XP startet auf meinem Laptop nicht mehr vollständig, er bootet nur bis zur Kennmelodie und zum "Willkommen", danach ist Schluss. Erst wenn ich über den Taskmanager "explorer.exe" ausführe, kommt auch die Taskleiste und der Desktop, danach ist alles normal.

Der Grund war wohl, dass ich auf C:\WINDOWS\system32 eine offenbar wichtige .exe-Datei geöscht habe, weil mein Antivirenprogramm diese als schädlich identifiziert hat.
In der Registry (HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon) hat der Eintrag "AutoRestartShell" den Wert "1" und der Eintrag "Shell" den Wert "Explorer.exe", meiner Ansicht nach normal.
Neustart im abgesicherten Modus bringt auch nichts!

Wer kann mir hier Tips geben und weiterhelfen? Help, please!!!
Tausend Dank im Voraus!
PS: Wenn jemand anderer ebenfalls exakt mein Problem hatte und dieses im Forum bereits erörtert wurde, dann Entschuldigung für die Doppelgleisigkeit!

LG, Goliaf

 

Kannst du nicht im Protokoll des Antivirenprogramms gucken, welche Datei gelöscht wurde?

 

Hallo,
nein leider, ich hab die Datei händisch gelöscht, weil das AV-Programm sie nicht löschen konnte.

 

Mein AntiVirus schiebt eine infizierte Datei erstmal in ein Quarantäne-Verzeichnis. Also Angaben zum Virus / Trojaner der gefunden wurde (Dateiname, Virenname) und ein HiJackThis-Log nachreichen.

 

Ja aber in der Log-Datei von dem AV-Programm muss doch stehen was es wo gefunden hat u. nicht löschen konnte.

 

Dann kann der Schädling als alternative Shell (Explorer-Ersatz) gestartet worden sein. Dieser Autostarteintrag kann noch vorhanden sein, weshalb die explorer.exe nachträglich über den Taskmanager gestartet werden muss.
Also mal die Autostarteinträge mit msconfig oder HijackThis durchforsten.
Hier gibt es Beispiele, wie die aussehen können:
http://www.winfaq.de/faq_html/Content/tip2000/tip2007.htm

 

Hallo allerseits, es geht um die WUAUBOOT.exe, bin ich draufgekommen.
Ich verwende Ad Aware 2008, und beim letzten Scan hat er die beiden A....gesichter PurityScan und Win32.TrojanDownloader.Homles auch entdeckt bzw. entfernt. Aber die kommen sofort wieder herein, eine Minute später, und meine Firewall (Freeware - COMODO) sieht tatenlos zu!

Bitte, wie werde ich die wieder los?????????
Zuerst kommen zwei, drei Werbe-pop-ups, dann hängt sich der Rechner komplett auf, nichts geht mehr.

Ich bitte Euch wirklich inständig um gute bzw. wirksame Ratschläge, ich bin nahe am Verzweifeln!
Ich hänge unten noch einen Auszug aus dem Logfile dran, vielleicht hilft das!


Infections Found
Family Id Name Category TAI
553 PurityScan Malware 6
[147102] File: c:\windows\ystem3~1\wuauboot.exe
[147102] Process Hash: c:\windows\ystem3~1\wuauboot.exe
[147102] File: C:\Dokumente und Einstellungen\guido\Lokale Einstellungen\Temp\!update.exe
[147102] File: C:\Dokumente und Einstellungen\guido\Lokale Einstellungen\Temp\NDR4.tmp
[147102] File: C:\Dokumente und Einstellungen\guido\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BK7K9NKA\!update-4495[1].0000
[147102] File: C:\WINDOWS\ѕystem32\wuauboot.exe

725 Tracking Cookie DataMiner 3
[600000188] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat adverserve.net RMID /
[600000188] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat adverserve.net RMFD /
[600000667] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat hit.gemius.pl Gtestss /
[600000667] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat hit.gemius.pl Gtestb /
[600000126] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat hitbox.com CTG /
[600000126] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat hitbox.com WSS_GW /
[600000126] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat ehg-upcchellomedia.hitbox.com DM561220N9AZV6 /
[600000126] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat ehg-upcchellomedia.hitbox.com DM5611185MSBV6 /
[600000460] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat ad.yieldmanager.com uid /
[600000460] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat ad.yieldmanager.com fl_inst /

2171 Win32.TrojanDownloader.Homles Malware 10
[188024] File: C:\System Volume Information\_restore{771037E1-6B74-4DF9-85A4-D31B16BB9A4D}\RP733\A0074461.exe
[188024] File: C:\System Volume Information\_restore{771037E1-6B74-4DF9-85A4-D31B16BB9A4D}\RP733\A0074462.exe

9999 MRU Object MRU Object 0
[3] MRU Registry Key: S-1-5-21-892523558-731324196-1181868335-1006\Software\Microsoft\Internet Explorer\TypedURLs Count: 1


Quarantined Objects
Family Id Name Category TAI

Removed Objects
Family Id Name Category TAI
553 PurityScan Malware 6
[147102] Process Hash: c:\windows\ystem3~1\wuauboot.exe
[147102] File: c:\windows\ystem3~1\wuauboot.exe
[147102] File: C:\Dokumente und Einstellungen\guido\Lokale Einstellungen\Temp\!update.exe
[147102] File: C:\Dokumente und Einstellungen\guido\Lokale Einstellungen\Temp\NDR4.tmp
[147102] File: C:\Dokumente und Einstellungen\guido\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BK7K9NKA\!update-4495[1].0000
[147102] File: C:\WINDOWS\ѕystem32\wuauboot.exe

2171 Win32.TrojanDownloader.Homles Malware 10
[188024] File: C:\System Volume Information\_restore{771037E1-6B74-4DF9-85A4-D31B16BB9A4D}\RP733\A0074461.exe
[188024] File: C:\System Volume Information\_restore{771037E1-6B74-4DF9-85A4-D31B16BB9A4D}\RP733\A0074462.exe

725 Tracking Cookie DataMiner 3
[600000188] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat adverserve.net RMID /
[600000188] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat adverserve.net RMFD /
[600000460] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat ad.yieldmanager.com uid /
[600000460] Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\guido\Cookies\index.dat ad.yieldmanager.com fl_inst /

9999 MRU Object MRU Object 0
[3] MRU Registry Key: S-1-5-21-892523558-731324196-1181868335-1006\Software\Microsoft\Internet Explorer\TypedURLs Count: 1

 

Am Effektivsten ist eine Neuinstallation!

Alternativ:

Lade Dir HijackThis herunter (und auch CCleaner):

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

Dann deaktiviere die Systemwiederherstellung und starte XP im abgesicherten Modus:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Lösche im abgesicherten Modus alle temporären Dateien, z.B. mit dem CCleaner:

http://www.ccleaner.com/ - Workshop: http://www.chip.de/artikel/Workshop-CCleaner_18599754.html

Starte dann HijackThis und erstelle laut Anleitung eine log-Datei. Nach BSI-Anleitung das System wieder normal starten und hier die log-Datei als Anhang hochladen (.log in .txt umbenennen). Evtl. noch ein weiteres Log anhängen, nachdem Du das System neugestartet hast. Wenn gewünscht die Systemwiederherstellungs aktivieren.

 

Hallo Leute, ich denke, es ist wieder alles im grünen Bereich *dreimalaufHolzklopf*.
Ich hab kapituliert und mir die Kasperski Internet Security 2009 gekauft, und da sind noch drei andere Trojaner zum Vorschein gekommen, alle gemeinerweise auf C:\System Volume Information, also im geschützten Bereich, wo man nicht hinkommt.

Mein persönliches Fazit: Lieber ein paar Euro ausgeben und dafür seine Ruhe haben, nicht am falschen Platz, sondern besser seine Nerven sparen. Lavasoft AdAware und Spybot haben echt nichts ausrichten können.

Wie auch immer allen hier danke für Eure Beiträge!

 

Das Geld hättest Du Dir sparen können, da mit Deaktivierung bzw. Reaktivierung der Systemwiederherstellung der Ordner "System Volume Information" gelöscht und neu angelegt worden wäre. Und damit hättest Du auch die Trojaner ins Jenseits befördert...