Huhu,

es geht um das System meiner Mutti (Win XP).
Sie hat Dateien vom PC ihres Büros per USB-Stick gesichert und darunter war dann auch dieses Virus, was in ihrem Heim-System irgendwas veränderte.
Beim Übertragen der Dateien vom Stick auf die Festplatte, schlug ihr Viren-Programm (BitDefender) Alarm:

entdeckt:
"Application.Joke.JustaKiss.B"

Datei: küsschen.exe (<-- das ist so eine Art Screensaver, der Knutschflecke auf dem Bildschirm verteilt, siehe McAfee Info )

3 Dateien waren betroffen, die vom Virenprogramm gelöscht wurden.

Seither ist aber an bestimmten System-Dateien was verändert worden. Egal wo man klickt (ob Desktopsymbole oder bestimmte Dateien öffnen), es erscheint immer dieses (oder ein ähnliches) Fenster:
http://www.directupload.net/show_ima...n=hDaac958.jpg
Man kann daher an dem PC nichts machen. Wir haben es irgendwie hinbekommen, dass wir wenigstens IE, OE und ihr Grafikprogramm über Umwege öffnen konnten, daher konnten wir wenigstens nen Screen machen. Alles andere geht nicht. Hijackthis konnte ich herunterladen, aber nicht starten. Ich vermute dass bestimmte Systemdateien beschädigt sind, z.B. rundll.exe und rundll32.exe. Beim Hochfahren poppen auch erstmal jede Menge dieser komischen Fenster auf wie auf dem Bild und die ganzen Programme, die im Schnellstart sind, erscheinen auch nicht mehr im Tray. Ich kenne mich leider mit XP nicht aus. Gibts da ne Möglichkeit im abgesichter Modus zu starten? Und könnte es was bringen einige Systemdateien mit neuen zu ersetzen? Ich weiss nicht mal wieviele betroffen sind. Wir haben die original Windows-CD-Rom eingeworfen, aber auch dann kommt ne Fehlermeldung, dass rundll und noch irgendwas anderes nicht gestartet werden konnte. Wir können im Moment weder das System reparieren noch crashen. Vielleicht hat jemand Tipps.

Zitat:

Zitat von .:Peggy:.

Gibts da ne Möglichkeit im abgesichter Modus zu starten?

Gibt es.
Wichtig ist aber, wenn du Viren entfernen willst, das du auch die "Systemwiederherstellung" ausschaltest.
Guggste >> Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

Zitat:

Ich vermute dass bestimmte Systemdateien beschädigt sind, z.B. rundll.exe und rundll32.exe.

Windows-CD bereithalten und>>
Start , Ausführen: sfc /scannow eingeben & Ok/Enter .

Ich würde dir noch anraten den http://www.hitmanpro.de/ zu benutzen.


M.f.G.

Hi, vielen Dank für die schnelle Antwort!
ich fahre gleich zu meiner Mutti und werde mal schauen was ich mit den Tipps ausrichten kann...

Ich hätte noch eine Bitte: kann mir jemand von seinem XP-System die rundll.exe und/oder rundll32.exe gezippt per Mail senden? Adresse: immun[at]arcor.de
Würde mich sehr freuen!

*schnüff* Das funktioniert alles nicht. Ich komme nicht mal in das Menü der Systemwiederherstellung, um diese zu deaktivieren. Da erscheint dann auch nur wieder so ein Fenster mit Hyroglyphen. (Editorfenster mit dem Titel "rstrui")

Habe noch Start - Ausführen - sfc /scannow gemacht, aber gleiches Resultat ... es öffnet sich ein Editorfenster mit "sfc" als Titel und enthält nur Hyroglyphen.

Es öffnen sich beim Hochfahren auch jede Menge Editorfenster mit folgenden Titeln:
OSA9
hpqthb08
hpqtra08
CLI
reader_sl
ctfmon
bdnagent
bdmcon
hpwnSchd2
NeroCheck
SOUNDMAN
ConnctAs
u.a.
(ich denke mal das sind iregendwelche beschädigten DLLs, die die Programme im Schnellstart benötigen)

Wäre echt nett mir jemand nen paar Dateien aus WINDOWS/system gezippt zusenden könnte. Die könnte ich auf den Stick übertragen und so ins den system Ordner rüberkopieren. Das ist so ziemlich das einzigste was ich hier noch tun kann.

Falls das alles nicht hilft ... wie kriege ich das System vollständig von der Platte, damit ich es neu installieren kann? Eigene Dateien und Mails sind gesichert.

Zitat:

Zitat von .:Peggy:.

Wäre echt nett mir jemand nen paar Dateien aus WINDOWS/system gezippt zusenden könnte.

Das hat wohl wenig Sinn,denn du weist ja nicht welche Systemdateien beschädigt sind.
Du hast doch die Windows-CD.
Kannst du im "Abgesicherten Modus" starten?
Hier hast du eine Reihe von Möglichkeiten um den PC zu starten.

Zitat:

wie kriege ich das System vollständig von der Platte, damit ich es neu installieren kann?

Im BOIS einstellen das der PC vom CD-Rom laufwerk startet.
Windows bietet dann auch eine Reperatur an.
Zum Fehler "rstrui" habe ich hier http://www.windisch-info.de/prob06.htm etwas gefunden.


m.f.g.

Hi,

nee, ging alles nicht. Ich konnte auch nicht die Systemwiederherstellung deaktivieren, weil ich nichtmal ins Menü kam.

Haben dann noch versucht von CD zu booten, sind dann in einer Art DOS gelandet und da gab es nur komische Optionen zur Auswahl, ach keine Ahnung, es ging nur "Enter drücken für Abbrechen" und "exit eingeben für Beenden" O_o

Haben ne Neuinstallation gemacht. Nun ist das Prob das meine Mutti nicht mehr ins Internet kommt. Obwohl ja bei XP angeblich alle Treiber dabei sind, fehlen wohl doch welche. Ich glaube sie sizt immer noch am PC und versucht da was zu konfigurieren...

Da kann ich auch ein Lied von singen. Hab mir einen Backdoor Virus eingefangen, durch den ich als Administrator keine Administratorrechte hatte. Systemwiederherstellung konnte nicht gestartet werden, da der Admin als Gruppenrichtlinie nicht zugreifen durfte und andere können eh nicht drauf zugreifen. Die Gruppenrichtlinien ließen sich auc nicht ändern, weil ein Dienst dafür nicht gestartet werden konnte...

Tja, das Ende der Geschichte war natürlich dann auch eine Neuinstallation. Da ging echt gar nichts mehr.

Zitat:

Zitat von .:Peggy:.

Nun ist das Prob das meine Mutti nicht mehr ins Internet kommt. Obwohl ja bei XP angeblich alle Treiber dabei sind, fehlen wohl doch welche.

Wenn,dann kann es sich ja nur um den Treiber der Netzwerkkarte/des Modems handeln.
Ob diese vorhanden sind kannst du überprüfen.
Rechter Mouseklick auf > Arbeitsplatz >> Hardware>> Gerätemanager.
Netwerkkarte/Modem suchen.Wieder Rechter Mouseklick >> Eigenschaften.
Hier siehst du den Gerätestatus.

Die Provider stellen oft eine Anleitung zur Verfügung>> Siehe Debitel

M.f.G.

Zitat:

Zitat von .:Peggy:.

...Obwohl ja bei XP angeblich alle Treiber dabei sind, fehlen wohl doch welche...

Hallo,

Driverview ist auch ein gutes Tool ,um einen Überblick über die vorhandenen Treiber zu bekommen.

Zitat:

Zitat von immorb

Wenn,dann kann es sich ja nur um den Treiber der Netzwerkkarte/des Modems handeln.

Jo genau, Fehler 769 oder so.

Zitat:

Zitat von immorb

Ob diese vorhanden sind kannst du überprüfen.
Rechter Mouseklick auf > Arbeitsplatz >> Hardware>> Gerätemanager.
Netwerkkarte/Modem suchen.Wieder Rechter Mouseklick >> Eigenschaften.
Hier siehst du den Gerätestatus.

LOL, ich merke schon immorb, wir haben den gleichen Gedankengang. Genau das hab ich dann auch getan. Auf diese Weise findet man den Gerätemanager unter win2k, aber nicht bei XP Home ... Mutti hat ihn dann irgendwo unter der Systemsteuerung gefunden. Da war einmal so ein komischer ProDyne Adapter und noch diese Ethernetkarte aufgelistet. Beide betriebsbereit und beide mit Treibern versorgt ... und beim DSL-Modem brennten wie gewohnt alle 4 Lämpchen. Als Meldung kam dann dass "RAS" nicht gefunden wurde oder aktiv ist (weiss den genauen Wortlaut nicht mehr).

Zitat:

Zitat von immorb

Die Provider stellen oft eine Anleitung zur Verfügung>> Siehe Debitel

Ok, wenn ich sie nachher mal anrufe, gehe ich die Anleitung mit ihr mal durch...

Diesen DriverView hab ich mir mal gebookmarkt, scheint auch für mein Win2k nen tolles Teil zu sein.

Ok, ich danke schonmal bis hierhin und melde mich dann, wenn wir weiter sind.

Zitat:

Zitat von .:Peggy:.

Als Meldung kam dann dass "RAS" nicht gefunden wurde oder aktiv ist (weiss den genauen Wortlaut nicht mehr).

War es vielleicht>>> RasPPPOE

M.f.G.