Crash.html + 4 weitere Dateien -> jetzt kein Internet mehr

Hi,

gestern Abend, ging auf einmal eine Seite, Crash.html auf, welche sich kurz zuvor auf C: erstellt hatte. Mit ihr hatten sich vier weitere Dateien erstellt. Seit diesem Ereigniss funktioniert nun die Internetverbindung überhaupt nicht mehr. Wenn ich versuche über meinen Router ins Internet zu kommen, hakt es immer bei der Authentification, obwohl mein Benutzername richtig und ich mir schon extra ein neues Passwort von meinem Anbieter erstellen lassen hab. Mit diesem neuen Passwort lief es dann auch erstmal ca. ne Minute wieder, ehe dann sich auf meiner LED aufm Router ein dauerflackern einsetze, obwohl ich nicht mehr surfen konnte. Seitdem gehts dann wieder nicht mehr.
Ich hoffe, dass mir jemand helfen kann. Vielleicht hatte ja jemand schon einmal ähnliches?

MfG

 

Hallo Wackelmeister

Wie heißen denn die 4 anderen Dateien?

Gruß
Nevok

 

auch alle Crash, jedoch war die eine ne exe oder com, die andere ne Stapelverarbeitungsdatei, die andere ne Registrierungsdatei. Hab se leider schon gelöscht, weiß es nicht mehr ganz genau.

 

Ich würd erst mal keine Passwörter mehr ins System tippen - erst mal aktuellen Virenscanner von extern drüber laufen lassen...

Gruss, Matthias

 

Das habe ich gerade über gefunden.

http://www.winfuture.de/news,8531.html

Scanne dein System bitte mal mit Hijackthis und lass die Log-Datei automatisch auswerten. Anschließend speicherst du die Auswertung ab und postest lediglich den Link.

Wie du das machst und wo du Hijackthis herunterladen kannst, steht hier:

http://www.pcwelt.de/forum/showthread.php?t=134046

Gruß
Nevok

 

das hab ich mir auch schon gedacht und auch schon gemacht. Virenscanner findet jedoch nichts. Hab grad ma probiert mitm File Recovery Tool zu schauen, was das genau für Dateien waren. Is schon komisch, der hat aber auch alles gefunden, aber die Crash Dateien nicht mehr.

 

das über google hatte ich auch schon gelesen. Konnte damit nur nicht wirklich etwas anfangen, da bei mir ja nicht der Internetexplorer darunter leidet, sondern der Router. Und irgendwie muss sich der Krams ja ersteinmal selbst auf der Platte erstellt haben.

 

hier der Hijackthis Link:

http://www.hijackthis.de/logfiles/83e25bd4fa646e5f558eca60a7e86056.html

Hab bis jetzt erstmal noch nix gefixt.

 

Alles löschen, was als "böse" gekennzeichnet ist.

Dazu solltest du den Rechner aber im abgesicherten Modus starten. Dazu drückst du beim Systemstart mehrmals die F8-Taste.

Im übrigen ist deine HijackThis-Version veraltet. Version 1.99 ist derzeit aktuell.

Gruß
Nevok

 

wollte mich mal seperat um diese Dateien kümmern,:

C:\WINDOWS\System32\manager32c.exe
Unbekannt Laufender Prozess. (manager32c.exe)
Dies ist ein unbekannter Prozess.

C:\WINDOWS\System32\winudp32.exe
Unbekannt Laufender Prozess. (winudp32.exe)
Dies ist ein unbekannter Prozess.

C:\WINDOWS\System32\rarwin.exe
Unbekannt Laufender Prozess. (rarwin.exe)
Dies ist ein unbekannter Prozess.

C:\WINDOWS\System32\Winlogin.exe
Böse Laufender Prozess. (Winlogin.exe)
Added as a result of the RANDEX.E VIRUS!. This is not the valid winlogon.exe as described here Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

C:\Dokumente und Einstellungen\@ Home\Anwendungsdaten\estr.exe
Unbekannt Laufender Prozess. (estr.exe)
Dies ist ein unbekannter Prozess.



jedoch finde ich sie nicht am angegebenen Ort auch nicht, wenn ich versteckte Dateien einblende. Vor allem die Winlogin.exe müsste ja von den oben angegebenen auf jeden Fall manuell gelöscht werden.

 

irgendwie komisch, ich kann im Task Manager sehen, dass Winlogin.exe aktiv ist, finde die Datei jedoch nicht unter den von Hijackthis angegebenen Ort. Wie kann ich die Datei trotzdem finden und dann vor allem löschen?

 

Hast du dein System so eingestellt, daß alle Dateien (auch die versteckten) angezeigt werden?

Den Prozeß "Winlogin.exe" solltest du umgehend beenden und die Datei löschen.

 

klar hab ich auch die versteckten Dateien anzeigen lassen. Hab den Prozess auch beendet, jedoch unter der Adresse C:/windows/system32/winlogin.exe , wie es Hijackthis meint, ist diese Datei leider nicht zu finden. Wie kann ich sie sonst finden und löschen?

 

Wird die Datei "winlogin.exe" denn noch von HijackThis angezeigt?

Falls nicht, dann ist sie wahrscheinlich schon gelöscht worden.

Was mit an dem Log noch aufgefallen ist:

Kann es sein, daß du weder SP1 noch SP2 installiert hast?

Deine IE-Versionsnummer lautet: 6.00.2600.0000
Wenn SP1 installiert ist, lautet sie: 6.00.2800.1106
Wenn SP2 installiert ist, lautet sie: 6.00.2900.2180

Du solltest also schleunigst dein Betriebssystem auf den neuesten Stand bringen.

 

Das ist ja das Problem, nach jedem Neustart ist Winlogin wieder aktiv und Hijackthis zeigt es auch an. hab SP1 installiert, 2 nicht, da hier die Meinungen ja unterschiedlich waren, obs nun mehr Vorteile/Nachteile hat. Hab aber mitlerweile auch schon erfahren, dass wenn ich SP2 installiert gehabt hätte, mir das wahrscheinlich nicht passiert wäre.

 

Miste doch einfach mal die "Startrampen" aus. "Ausführen" > "msconfig" und die verdächtigen Programme deaktivieren. Nach dem nächsten Start die Problemdateien löschen und der Spuk sollte vorbei sein.

Gruss, Matthias

 

Vielleicht hilft dir das weiter:

http://www.sophos.de/virusinfo/analyses/trojspybotc.html

http://www.sophos.de/virusinfo/analyses/w32agobotix.html

oder das (ist aber in englisch)

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A

 

also, die erste Sache, welche wirklich wirkung gezeigt hat, ist diese englische sache da trend micro........ Nur komm ich da noch nicht so ganz mit dem Programm klar........

 

In welcher Hinsicht?

 

man klickt auf scan, dann läuft es ewig und hinterher kann man sich die log anschauen, jedoch werd ich aus der nicht so ganz schlau, ob es etwas gefunden bzw. beseitigt hat.