Printable View
kaspersky does not allow it. i cannot find any hint in procactive protection. uninstall/reinstall spywareblaster did not help. plus: sp3 cannot be installed. this problem can be solved. i found a solution.
avz4 was running. obviously virusinfo_syscheck.zip cannot be found in log-directory. will run it again an upload. thanks
Hallo
[QUOTE=europanorama;520614]kaspersky does not allow it.[/QUOTE]
Und es ist gut so: wer um Himmels Willen braucht noch diesen Quasi-Schutz? Weg damit!
[QUOTE]plus: sp3 cannot be installed. [/QUOTE]Welche FM bekommst Du? Ist Dein Windows legal? Wenn Ja - schalte bzw. deinstalliere Kaspersky bevor. SP3 ist zig Mal wichtiger, als alle Anti-Dings-Bums-Blaster zusammen genommen.
[QUOTE]obviously virusinfo_syscheck.zip cannot be found in log-directory.[/QUOTE]
Hast Du das Standardscript 2 ausgeführt?
[url]http://freenet-homepage.de/rene-gad/AVZ/AVZAnleitung.html[/url]
Im Übrigen sehe ich nichts Böses in Deinen Logs.
1. habe alle instruktionen eingehalten. windows ist legal(vermutlich). superantispyware hat das virusinfo_syscheck.zip-problem gelöst. datei im anhang. es gab viren/trojaner. die sind jetzt in quarantäne. die habe ich eingefangen nachdem ich spywreblaster bereits installiert hatte. checke mal mit MSBA. der vorbesitzer hatte einige viren etc hinterlassen.
2. leider kann sp3 immer noch nicht installiert werden. am schluss wird die installation abgebrochen.
es wird vermutet, dass die spiele rsp ein spiel welche der vorgänger installierte ein microsoft-unkompatibles kernel installiert hat. in einem 1. schritt konnte das startbild entfernt werden. der zweite schritt ist der kernel-austausch. details folgen. ich lasse mal vorher die ganze sicherheitspalette laufen.
3. ich habe leider die original-cd vom vorgänger nicht. und meine zweite winxp-cd ist beim 1. pc blockiert rsp verbraten wegen eines aktivierungsproblems. habe beim 1. pc einen schnittstellen-kurzschluss. pci, sata und onboard-lan sind ausgefallen. reparatur ziemlich sicher durch austausch der elkos. ga-7n400 pro2. ich erwarte bald ein duplikatboard. kann gewisse operationen erst durchführen wenn das installiert ist. das ersatzboard ist asus a7v8x-x. es gab cmos-login-probleme rsp winxp bliebt beim asua-startschirm hängen. vermutlich wegen oben erwähntem spiel(world of warcraft). entfernen des spielstartbildes löste das problem. hätte ich eine freie winxp-cd, hätte eine neuinstallation geholfen.
4. ich deinstalliere mal auch kaspersky.
a)wegen sp3 erhalte ich keine fehlermeldung. die installation ist einfach fehlgeschlagen.
b)beim kernel-problem erhalte ich die q327101-fehlermeldung.
leider sind die instruktionen dort nicht vollständig.
original-ntoskrnl.exe muss vorhanden sein.
wie gesagt, die instruktion des kernel-austausches folgt.
Mit einem vererbten Betriebssystem ist nicht zu spaßen, hier ist grundsätzlich format c:\ angesagt...8)
- Deaktiviere Systemwiederherstellung, Antivirus, Firewall
- [URL="http://virusinfo.info/showthread.php?t=9207"]Führe das Script aus[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('restore');
QuarantineFile('0.exe','');
QuarantineFile('restore.sys','');
DeleteFile('restore.sys');
DeleteFile('C:\windows \system32\drivers\restore.sys');
DeleteFile('0.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','*DisplayFallback');
DeleteService('restore');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('restore');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
Nach dem Reboot [URL="http://virusinfo.info/showthread.php?t=9207"]Führe das Script aus[/URL]
[code]begin
CreateQuarantineArchive('C:\quarantine.zip');
end.
[/code]
- Uploade C:\quarantine.zip über den Link [COLOR="Red"][B]Upload quarantined files[/B][/COLOR] oben links an dieser Seite.
- Mache alle 3 Logs nochmal + [URL="http://virusinfo.info/showthread.php?goto=newpost&t=51878"]Log GMER[/URL].
ok mache ich alles.
1. ist es normal dass ich russiche/kiryllische navigations-buttons habe?
2. ich kann nicht formatieren, weil wegen eines aktivierungsfehlers beim installieren auf einer 2. festplatte die daraufhin verwendete 2. dell-oem-cd auf dem 1. pc verbraten ist. bevor ich nicht klare instruktionen habe wie ich den schlüssel freigeben kann/den zweiten schlüssel durch den ersten austauschen, werde ich eine neuinstallation nicht riskieren. ich habe nur diese aktuell möglichkeit zu surfen. die alternative auf dem halbdefekten board kostet mich täglich 2.5 chf mehr. wegen des schnittstellenproblems kann ich dort nur mit dem usb-funkmodem surfen. die wifi-variante(verbindung zu flybox) geht leider nicht rsp es ist noch komplizierter bei orange-schweiz.
3. hier die instruktion kernel-austausch:
Das Problem liegt an einer modifizierten Version der Datei "Ntoskrnl.exe", welche die Befehlszeilenoption "/KERNEL" in der Datei "Boot.ini" verwendet. Dies passiert zum Beispiel beim Einsatz von Programmen wie BootXP oder LogonUI Boot Randomizer.
Wenn man Probleme mit der Kernel-Datei hat und ein veränderten Bootscreen verwendet sollte diesen durch den Standard-Bootscreen wieder herstellen.
Da sich die Ntoskrnl.exe nicht einfach überschreiben lässt, lautet die Lösung:
Erst einmal muss eine Original-Ntoskrnl.exe vorhanden sein: entweder von der Installations-CD extrahieren oder beim SP die aus dem Ordner "WINDOWS\ServicePackFiles\i386" nehmen.
Die "Ntoskrnl.exe" in ein beliebiges Verzeichnis kopieren.
Dann die Ntoskrnl.exe umbenennen in Ntoskrnl.ex und danach ins Verzeichnis C:\WINDOWS\system32 kopieren.
Windows im abgesicherten Modus [F8] starten und die aktuelle Ntoskrnl.exe in Ntoskrnl.xe, sowie die Ntoskrnl.ex in Ntoskrnl.exe umbenennen.
welche 3 logs, ich sehe nur 2?
die 3 von avz? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis-log
[QUOTE=europanorama;521343]
1. ist es normal dass ich russiche/kiryllische navigations-buttons habe?[/QUOTE]Schalte aufs englische Interface in Deinem Profil um: [url]http://virusinfo.info/usercp.php[/url]
[QUOTE]2. ich kann nicht formatieren, weil wegen eines aktivierungsfehlers beim installieren auf einer 2. festplatte[/QUOTE]Das habe ich schon verstanden. Das ist aber nicht klug, einen PC, den Vorbesitzer dessen Du nicht mal kennst, überhaupt zu betreiben. Rufe Dell an, die finden schon eine Lösung.
[QUOTE=europanorama;521343]
die 3 von avz? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis-log[/QUOTE]Jawohl.
Noch was: bitte erzähle hier die ganze Geschichte nicht. Wenn wir es schaffen, das System von vermutlichen Schädlingen zu befreien, werden wir und ums Weitere kümmern.
Generell gilt: Ersatz der Systemdateien oder andere Wiederherstellungsoptionen sind nur mit einem Original-Windows-CD machbar.
1. es ist english language aktiviert. trotzdem sehe ich viel kiryllisches. wo ist der knopf?
2. jemand meint sogar ich bräuchte zur reparatur die winxp-cd welche der vorbesitzer benutzte.
3. ok, werde mich in zukunft präziser rsp einfacher artikulieren. waren etwas turbulente wochen. in jedem fall bin ich froh euch hier gefunden zu haben.
4. hab mich bis anhin erfolgreich an diese instruktionen gehalten:
[url]http://www.wilderssecurity.com/showthread.php?t=50662[/url]
ich lauf die jetzt mal durch nachdem ich die kernel-datei ausgewechselt habe. systempartition vorher gesichert.
[QUOTE=europanorama;521490]1. es ist english language aktiviert. trotzdem sehe ich viel kiryllisches. wo ist der knopf?[/QUOTE]Hast Du auch das Fähnchen [IMG]http://virusinfo.info/en.gif[/IMG] gedrückt?
[QUOTE]2. jemand meint sogar ich bräuchte zur reparatur die winxp-cd welche der vorbesitzer benutzte.[/QUOTE]Schmarrn. Man braucht eine ganz normale Windows CD, kann auch OEM-Version sein, nicht aber eine Recovery-CD oder CD-Sets, die von einigen Herstellern mitgeliefert wurden. Wenn es sich um einen PC mit OEM-Lizenz handelt, soll es [B]nur nach der Neuinstallation[/B] die Aktivierungscode vom Aufkleber am Gehäuse eingegeben werden.
Allerdings muss eine CD sein, wo die gleiche Win Version (im Fall XP - HOME oder PRO) und das gleiche Service Pack vorhanden ist. Ggf. sollte man so eine CD erstellen (das Tool nLite ist gut dafür).
[QUOTE]4. hab mich bis anhin erfolgreich an diese instruktionen gehalten:
[url]http://www.wilderssecurity.com/showthread.php?t=50662[/url][/QUOTE]Also mit System Restore, Temp-Files - OK, Safe Mode - für Beseitigung der File Infectors - OK (wobei hier ist LiveCD viel besser), gegen Rootkits - nichts. Von den allen empfohlenen Tools (bis auf Winsockfix, die aber nur in bestimmten Fällen eingesetzt werden soll) halte ich gar nichts. Plus dazu: geschrieben wurde das Ganze: June 8th, 2006 8)
Lange Rede -Kurzer Sinn © : alle Logs ans Licht :094:
1. systempartition merhfach gesichert.
2. habe winxp-sp2-cd. soll ich mal zuerst eine reparatur versuchen?
3. oder zuerst kernel austauschen.
4. oder zuerst die 3 rsp 4 logs posten? danke
5. da ich die kb946648 nicht installieren kann versuchte ich es mit diesem tool.
[url]http://www.mshelper.de/commsols.html[/url]
winupdrestore!v28.exe
aber es wird verweigert. keine win32-anwendung.
[QUOTE=Rene-gad;521862]alle Logs ans Licht [/QUOTE] :rtfm:
CreateQurantineArchive oder
CreateQuarantineArchive?
[QUOTE=europanorama;522881]CreateQurantineArchive oder
CreateQuarantineArchive?[/QUOTE]Das 2. :) sorry, bereits verbessert
1. CreateQurantineArchive
das script funktioniert nur mit dem falschen wort!
2. gmer-log gekürzt. max. 488.2kb- es ist unglaublich aber nach 2. kürzung war der log immer noch 0.3kb zu gross!
1. teil-kaspersky gelöscht.
habs mir gedacht dass ein time/date mismatch da ist.
superantispyware hatte vorher-bevor ich mit den logs begann- bereits einiges gefunden. danke
[QUOTE=europanorama;523026]1. CreateQurantineArchive
das script funktioniert nur mit dem falschen wort![/QUOTE][B]Qurantine [/B] ist richtig . Es kann sein, dass Oleg Zaitsev sich mal vertippt hat oder einfach war es ein Buchstabe für den Befehl zu viel...
[QUOTE=europanorama;523026]
wie soll ich jetzt den log gmer-log(txt) uploaden? der ist ellenlang-580kb. zu gross für nen upload. [/QUOTE]Entweder einen Packer anwenden und Archiv erstellen oder FileSharing-Server (z.B. Rapidshare.com) benutzen und hier den DL-Link posten.
1. qurantine.zip uloaded. ich sehe es nirgends. ein 2. mal lässt es sich nich hochladen.
2. sp3-kb936929 durch halbautomatische installation gestartet und am schluss fehlgeschlagen.
logmer, alle avz-logs und quarantine-log sind jetzt da.
danke für die analyse.
[size="1"][color="#666686"][B][I]Äîáàâëåíî ÷åðåç 4 ÷àñà 36 ìèíóò[/I][/B][/color][/size]
wo ist der hochgeladene zip?
[size="1"][color="#666686"][B][I]Äîáàâëåíî ÷åðåç 3 ÷àñà 54 ìèíóòû[/I][/B][/color][/size]
[QUOTE=europanorama;523824]1. qurantine.zip uloaded. ich sehe es nirgends. ein 2. mal lässt es sich nicht hochladen.
wo ist der hochgeladene qurantinezip?[/QUOTE]danke
Wieso treibst Du so einen Unfug mit dem Kürzen und Löschen statt Lesen??? :rtfm:
[QUOTE=Rene-gad;523034]
Entweder einen Packer anwenden und Archiv erstellen oder FileSharing-Server (z.B. Rapidshare.com) benutzen und hier den DL-Link posten.[/QUOTE]
Alle Logs VOLLSTÄNDIG anhängen!
[QUOTE=europanorama;523824]
wo ist der hochgeladene zip?
[/QUOTE]Die Quarantäne ist angekommen, Du darfst sie einfach nicht mehr sehen - so wurde auch gedacht.
Wo sind die Logs - weiß ich nicht.
ich glaube das ist mein letzten posting und ich verabschiede mich von diesem chaotischen unfreundlichen forum. guten besserung!
[QUOTE=europanorama;524488]ich glaube das ist mein letzten posting und ich verabschiede mich von diesem chaotischen unfreundlichen forum. guten besserung![/QUOTE]
Das ist Dein gutes Recht. Ich bin mir aber nicht sicher, dass Du bei IGRENDEINEM Forum eine Lösung findest, da Du vllt. [B]immer [/B]alles Mögliche machst, nur nicht das, was Du gebeten wirst zu machen.
EOD.