In der Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es

Dort hat jeder Service und jeder Treiber einen Unterschlüssel. In diesem Unterschlüssel gibt es auch einen REG_DWORD-Wert namens "ErrorControl", für den folgende Werte gültig sind:

Setze den Wert auf 0 und das System müßte wieder starten können.

Beide möglichkeiten gaben keinen Erfolg.

Kann das um einen TROJANER bzw. Virus handeln? die rechter stellen eine Verbindung ins Internet (DFÜ).

Es kann sich selbstverständlich um ein Rootkit handeln, wenn du aber die Rettungskonsole benutzt, ist das Rootkit nicht aktiv und du kannst es entfernen usw. ...

Trojaner wäre es vom Sinn her schon, aber üblicherweise spricht man bei Kmode-Treibern dann von Rootkits ...

Debug Modus
Abgespeicherter Modus

schlagen fehl.

Boote von der Wondows-CD in die rettungskonsole und melde dich dort an der Windowsinstallation an.

Ich sagte doch Rettungskonsole ...

Hallo. Alle PC wurden neu installiert. dort befanden sich sehr viele Viren und Trojaner.

Kann ein Virus oder ein Trojander auf ein PC sich automatisch installieren wenn:

OS: Win 2000 PRO SP4
keine Firewall
keine Antivirusschutz
Benutzer: Administrator

PC hollt per DFÜ 1x pro Tag die E-Mails ab und versenden welche

____

aus meine Sich JA, KLAR. Nur Wie?

... über das Patchlevel sagst du nix. Zum SP4 kam inzwischen mindestens ein SRP (mit dem Filter-Manager) sowie viele einzelne Patches.

Also kann der Rechner durchaus sehr verwundbar sein. Schlimmer wird's noch, wenn du einen unsicheren Browser benutzt um auf unsicheren Seiten zu surfen ...

Genau denselben Mist habe ich auch drauf. Nach 3 Bluescreen-Starts war mir das dann zu blöde und ich habe ein altes Image wiederhergestellt. Anfangs schien es zu funzen, aber dann habe ich gemerkt, dass da einer heimlich mitsurft. Die Kiste wurde immer langsamer und das Schwein hat mich wohl ausspioniert. Nach einigen Tagen wurden meine eBay accounts gespertt - zum Glück nichts schlimmes passiert, den Mistkerlen sollte man die Ohren abschneiden oder besser noch die Finger abhacken.

Such mal in Google nach "winde.exe" da findest du viele Einträge, wie man diesen Scheiss-Trojaner flachlegt. Mittlerweile wurde das blöde Ding "verschlimmbösert" und es hängt sich wohl in den Bootsektor, denn auch ein altes Image hilft nur vorrübergehend. Sobald du den Internet Explorer aufmachst ist er wieder da. Die Datei winde.exe hängt anfangs in WINNT/system32 und später sogar auf C:. Das Mistding scheint sich sogar zu verändern und mutiert andauernd - anderer Dateiname, anderer Speicherort. Je öfter du den PC startest, umso mehr stellt der wohl an.

Erzeuge auf einem sauberen PC eine Datei winde.txt mit 0 Byte und benenne sie anschliessend in winde.exe um. Kopiere diese Null-Datei auf eine saubere Diskette.

Starte den PC von einer sauberen und schreibgeschützen Boot-Diskette und hole ein sauberes Image zurück. Wenn du kein Image hast hilft nur eine Neuinstallation - tragisch, aber wahr.

Kopiere die Null-Datei wenn möglich noch von DOS aus in C:/WINNT/system32 und dann sollte es gehen. Das blöde Ding schaut nämlich beim Aufrufen von Iexplore nach, ob die Datei winde.exe schon existiert. Tip an die "Programmierer" von dem Mist, da habt ihr wohl gepennt, ihr Stümper!

Der Trojaner ist damit aber noch lange nicht weg, er kann aber zumindest keinen Code mehr ausführen, weil winde.exe ja leer ist.

Ich habe bisher noch kein vernünftiges Tool gefunden, was den Mistkerl wirklich säubert. Habe alle möglichen Virenscanner, ext. probiert. Die meisten meckern zwar und können teilweise die Dateien löschen - beim nächsten Start von Iexplore sind sie aber schwuppdiwupp wieder da. Registry säubern kannste dir sparen solange das Ding im Bootsektor hängt, die Einträge werden sofort wieder erneuert.

Vielleicht weiss ja jemand anders noch Rat. Alles was ich gefunden habe ist leider nur viel BlaBla und viel Schrott.

Hat schon mal jemand probiert den kompletten Iexplore von einem sauberen PC zu kopieren? Da hängt er wohl zuerst drinn.


Viel Erfolg!

Den IExplore würd ich nicht von einem anderen pc kopieren, den würd ich nach quarantaene (alias quarantaene /dev/null/) verschieben...

Schritt für Schritt:

1. Daten vom System holen ("Backup")
2. alles plattmachen
3. sauber neu aufsetzen
4. servicepacks drauf
5. Antivirus(z.B. Avira Antivir - www.free-av.de), Personal Firewall (z.B. ZoneAlarm, www.zonelabs.com) drauf (NAT = Router zusätzlich is auch imemr gut)
6. Patches laden
7. Ordentlichen Browser drauf (FF, gerne auch Opera, für Puristen: telnet, das ist schon vorinstalliert, da kommt sicher kein exploit durch)
8. Arbeitsprogramme drauf (Office und was man sonst so braucht)
9. Image ziehen (!!) - falls Speicherplatz beschränkt, das vor Schritt 8 druchführen.
10. Daten wieder drauf

und ab jetzt: Immer Brain1.0 einschalten bevor man ins Internet connected.

Dann sollte alles funktionieren.