Willkommen auf Planet-Liebe

diskutiere über Liebe, Sex und Leidenschaft und werde Teil einer spannenden Community! :)

jetzt registrieren

Was könnte das gewesen sein?

Dieses Thema im Forum "Musik, Filme, Computer und andere Medien" wurde erstellt von WhiteStar, 20 August 2005.

  1. WhiteStar
    WhiteStar (38)
    Toto-Champ 2006
    781
    103
    15
    Single
    Sicherlich ist eine Fernanalyse alles andere als einfach, vor allem wenn es im Nachhinein geschieht, aber ich versuch es trotzdem mal

    Nachdem ich letzte Nacht schon Probleme beim Runterfahren meines Rechners hatte (dauerte ewig lange und wandelte sich in einen Neustart statt des erwarteten Herunterfahrens), kam das dicke Ende heute Mittag als ich den Rechner wieder hochgefahren hatte.

    Im Autostart wurde absolut nichts geladen. Der Systray bliebt bis auf die Uhr tot. Bei sämtlichen Verknüpfungen in der Schnellstartleiste und im Startmenü fehlten die Symbole und beim Anklicken öffnete sich überall das Programm "Torrent-Spy" (sogar bei den Verknüpfungen in der Systemsteuerung)
    Als ich versuchte die Programme direkt zu starten (C:\Programme\...) bekam ich überall die Meldung, der angegeben Pfad würde nicht existieren (im übrigen fehlte auch hier bei den EXE-Dateien die Symbole)

    Ich hatte Gott sei Dank gestern Nachmittag noch ein Image erstellt und konnte so die Partition innerhalb von 5min wiederherstellen, aber mich würde trotzdem mal interessieren, was zum Teufel da passiert war.

    Schonmal Danke für Antworten, die Licht ins Dunkel bringen könnten
     
    #1
    WhiteStar, 20 August 2005
  2. ECMusic
    Gast
    0
    Ganz sponten würde mir zunächst mal ein Virus einfallen....
    Benutzt du irgendwelche Programme, um deinen Rechner von datenmüll zu befreien, z.B. TuneUp oder sowas?
    Ich hab aufgrund solcher Programme schon diverse abgefahrene Systemabstürze gehabt, bei denen wichtige DLLs als Müll erkannt wurden und gelöscht wurden, so dass ich nicht mehr hochfahren konnte oder mich nicht mehr anmelden konnte ...
     
    #2
    ECMusic, 20 August 2005
  3. BlackSun
    BlackSun (32)
    Verbringt hier viel Zeit
    102
    101
    0
    Single
    Mal im Internet nach Torrent-Spy gesucht?


    Ansonsten, "Diagnose" kann ich mit ziemlicher Sicherheit erstellen:
    Viren und besonders Trojaner suchen ja immer Autostart-Möglichkeiten. Und eine (damals relativ innovative) Version ist, sich als "ausführbares Programm für Exe-Dateien" einzutragen.

    Es gibt ja im Windows-Explorer unter Extras, Ordneroptionen, Dateitypen eine Liste, welcher Dateityp mit welchem Programm geöffnet wird.
    Da gibts irgendwo einen Eintrag für "EXE" oder "Programm" oder so, der aber deaktiviert ist. Ka, früher bei Win9x war er da, aber kann auch mittlerweile sein, dass er versteckt ist.
    Kurz und gut, in der Registry steht er.
    Normalerweise werden ausführbare Dateien ja "durch sich selbst" geöffnet. Die Befehlszeile sieht dann so aus: "%*" oder sowas. %* ist der ausführbare Programmname, und alle Parameter dahinter, oder so. Ka, hoffe erinnere es korrekt.
    Und der Trojaner schreibt dann sowas rein wie "MeineDummeExe.exe %*". Wenn diese Exe-Datei dann nichts anderes tut, als all die Parameter auszuführen, hat sich der Trojaner erfolgreich zwischen jeden Start gemogelt.


    Die T-Online-Software 1.3 oder 2.0 machte das früher (sehr assi), um rauszukriegen, wenn der User nen Browser öffnete, um dann zu sagen "hey, willst du dich einwählen?".


    Entweder der Trojaner war kaputt oder gelöscht, oder sonstwas war mit der Registry an dieser Stelle passiert, so dass demnach KEINE Exe-Datei mehr ausgeführt werden konnte.
    Das betrifft keine System-Prozesse, daher konnte Windows booten.


    Die üblichen Tipps: Adware-Scan, Spyware, Antivirus, blablabla. Vielleicht wars nen Rootkit?
     
    #3
    BlackSun, 20 August 2005
  4. Baerchen82
    Baerchen82 (34)
    Verbringt hier viel Zeit
    2.320
    121
    0
    Verheiratet
    Hi White Star..

    Such mal die Registery nach "Torrent-Spy" ab.. dann such nochmal nach einem Programm welches sonst normalerweise Autostartet.. (natürlich name der ausführbaren EXE..) und schau mal im msconfig unter Systemstart nach, ob Du alle aufgeführten Programme zumindest kennst..
     
    #4
    Baerchen82, 20 August 2005
  5. ECMusic
    Gast
    0
    Torrent spy ist ein BitTorrent-Client, also kein virus oder trojaner...
     
    #5
    ECMusic, 20 August 2005
  6. WhiteStar
    WhiteStar (38)
    Toto-Champ 2006 Themenstarter
    781
    103
    15
    Single
    Erstmal Danke bis hierher für die Antworten

    1. Torrent-Spy ist ein Programm, was ich selbst vor ein paar Wochen installiert habe. Es liest aktuelle Seeder/Leecher-Werte von Torrent-Dateien aus. Das Ding ist Freeware und stammt aus sicherer Quelle

    2. So, das Image, was ich heute zur Wiederherstellung benutzt habe, habe ich gestern Nachmittag erstellt. Zum Zeitpunkt der Erstellung lief mein Rechner ohne Probleme. Nachdem ich das Image aufgespielt habe, habe ich den Rechner komplett durchgecheckt mit allem, was ich habe (Ad-Aware, Spybot S&D, Hijack, Kaspersky Anti-Virus. Der Rechner ist so, wie er momentan ist, nach Durchlaufen dieser Programme sauber

    Ich gehe also vorsichtig davon aus, wenn ich mir etwas eingefangen habe, dass dies gestern Abend/Nacht passiert sein muss: Fragt sich nur wie.
     
    #6
    WhiteStar, 20 August 2005
  7. BlackSun
    BlackSun (32)
    Verbringt hier viel Zeit
    102
    101
    0
    Single
    Oder es ist der unwahrscheinliche Zufall eingetreten, dass bei irgendeiner Installation oder durch sonstwas eben jener Exe-Datei-Ausführ-Schlüssel korrumpiert wurde...?


    Sehr gutes Tool für versteckte Autostarts ist "Autoruns" von www.sysinternals.com

    Aber vorsichtig, wer userinit.exe aus dem Autostart rausnimmt, hat sich erfolgreich sein Windows sehr kaputt gemacht!
     
    #7
    BlackSun, 21 August 2005

jetzt kostenlos registrieren und hier antworten