Du bist nicht angemeldet.

Seltsamer Eintrag in der win.ini: load=buchstabensalat

DukeXP

Profi

  • »DukeXP« ist der Autor dieses Themas

Beiträge: 1 553

  • Private Nachricht senden

1

Sonntag, 15. Dezember 2002, 00:29

Seltsamer Eintrag in der win.ini: load=buchstabensalat

Hallo Leute,

ein Bekannter von mir hat zwei Windows 98-Computer miteinander vernetzt und druckt auch über's Netzwerk oftmals auf dem Drucker des anderen Computers.

Seit kurzem hat er folgendes Problem:

Beim Windows-Start kommt die Fehlermeldung, dass eine ungültige Einstellung in der win.ini vorhanden ist.
(load=buchstabensalat) ... wenn man diese load-Anweisung komplett löscht oder auch nur die Zeichenfolgen hinter dem = weglöscht, funktioniert das System fehlerfrei - aber nach einiger Zeit ist dieser Eintrag wieder automatisch vorhanden.

Mein Bekannter hat festgestellt, dass immer wenn dieser Load-Eintrag vorhanden ist die Verbindungseinstellungen beim Internet-Explorer von "Immer Standardverbindung wählen" auf "Keine Verbindung wählen" geändert ist - er kommt also erst ins Internet, wenn er diese Einstellung ändert, diese Einstellung geht aber spätestens beim nächsten Verbindungsaufbau wieder verloren.

Seltsam ist auch, dass beide vernetzten Computer kurze Zeit nacheinander diese Symptome zum ersten Mal zeigten.

?( Was ist denn da kaputt? - Vielleicht ein Virus??? Ich hab' auch schon mal Norton System Works (WinDoctor) drüberlaufen lassen - das System funktionierte dann einen Tag gut, aber dann erschien diese komische Meldung beim Start und der Eintrag in der win.ini erneut.

HELP! :(

Euer etwas ratlose DukeXP.
Signatur von »DukeXP« Schützenverein „Einigkeit“ Autenzell-Rettenbach
meisterschuetzen.net - Der Treffpunkt für Sportschützen

Snoop

Profi

Beiträge: 1 187

  • Private Nachricht senden

2

Sonntag, 15. Dezember 2002, 11:57

Ich vermute nen Trojaner ... die load= Anweisung ist zum automatischen Starten von Programmen gedacht (bei load glaub ich im Hintergrund - run= startet ne Anwendung im Vordergrund...). Wenn da etwas anderes als ne Anwendung steht, dann ist da irgendwas im Argen. Es kann natürlich auch nen fehlerhaftes Systemtool sein, was da einfach Müll produziert und reinschreibt... aber es riecht irgendwie nach Virus/Trojaner. Besorg dir mal nen vernünftigen Virenscanner und scann das Teil durch...
Zudem kann man sich mit den Windows Systeminformationen - unter irgendnem Punkt (ich glaub im Menü unter Extras). Nen Tool starten, bei dem man alle Anwendungen die beim Systemstart geladen werden sollen, anzeigen lassen kann. Wenn dort Anwendungen auftauchen, die dir nix sagen, dann entferne das Häckchen davor und starte erneut... viele Trojaner benutzen diesen eher einfachen Mechanismus. So richtig entfernt hat man ihn damit allerdings dann natürlich noch nicht... also nen Scanner wäre da schon wünschenswert.

Wenn der nix findet - es also evtl. gar kein Virus ist ;) - dann müsste das nen seltsames System-Tool sein (was aber irgendwie gegen das Auftreten beim zweiten Netzwerkrechner spricht). Aber da evtl. auch mal in die Liste der installierten Software gucken und die Anwendungen deinstallieren die einem komisch erscheinen...
Signatur von »Snoop« The use of COBOL cripples the mind; its teaching should, therefore, be
regarded as a criminal offence.
-- Edsger W. Dijkstra, SIGPLAN Notices, Volume 17, Number 5 (11.05.1930 - 07.08.2002)

DukeXP

Profi

  • »DukeXP« ist der Autor dieses Themas

Beiträge: 1 553

  • Private Nachricht senden

3

Sonntag, 15. Dezember 2002, 13:54

Yep, sieht sehr nach Trojaner aus ...

Ich hab' mal einen Screenshot von der Meldung beim Systemstart gemacht (diese Datei ist auch in der load-Anweisung angegeben) - du findest ihn hier:
http://www.spirit4web.com/image001.png

Komisch ist hier nur, dass in der load-Anweisung keine richtige Anwendung sondern eine wirre Buchstabenkombination angegeben ist.
Signatur von »DukeXP« Schützenverein „Einigkeit“ Autenzell-Rettenbach
meisterschuetzen.net - Der Treffpunkt für Sportschützen

mrhappiness

Profi

Beiträge: 1 061

  • Private Nachricht senden

4

Montag, 16. Dezember 2002, 20:21

gibts die datei irgendwo auf deiner platte?

zur not einfach mal über dos suchen, kann sein, dass windoof in seiner fehlermeldung mit irgendwelchen zeichen > 127 (ASCII) nicht klarkommt und dir stattdessen sowas anzeigt. über dos geht's so:

Quellcode

 
1

dir /S /A der_tolle_zeichensalat_hier
Signatur von »mrhappiness« Ich denke, also bin ich. Einige sind trotzdem...

Willi

Profi

Beiträge: 564

  • Private Nachricht senden

5

Montag, 16. Dezember 2002, 23:21

Funktioniert Dein Norton Antivirus noch??
Versuche mal ein Update zu machen. Habe den Tipp bekommen, dass es sich hier um einen Virus handeln könnte, der wohl als erstes Antivirenprogramme lahmlegt. Dabei kann deren äußerliche Funktionstüchtigkeit erhalten bleiben. Die letzten Buchstaben des "Zeichensalates" ( VDHCP ) lassen vermuten, dass auch ein bestimmter Server gesucht wird. (DSL-tüchtiger Trojaner????) Auf jeden Fall auch versuchen, in der Registry zu finden....
Wenn der Programmierer allerdings diese "Meldung" von vornherein geplant und generiert hat, dürfte es kaum möglich sein, herauszufinden, wie die dazu gehörige Exe-Datei heisst...
Das kann also im Ernstfall ein zweifaches "Format C:" bedeuten.....
Signatur von »Willi«
;) Wenn Du etwas haben willst, was Du noch nie hattest,
dann mußt Du etwas tun, was Du noch nie getan hast ;)

Was ist eigentlich der Unterschied zwischen einem deutschen Politiker und einem Mafioso?

Mafiosos sind intelligent und halten Ihre Versprechen...

DukeXP

Profi

  • »DukeXP« ist der Autor dieses Themas

Beiträge: 1 553

  • Private Nachricht senden

6

Dienstag, 17. Dezember 2002, 19:41

Ich habe mir den Virenscanner nochmal komplett heruntergeladen (neueste Version) und werde ihn neu installieren.

Spätestens bis Freitag werd' ich dazu kommen - das Ergebnis poste ich hier.
Signatur von »DukeXP« Schützenverein „Einigkeit“ Autenzell-Rettenbach
meisterschuetzen.net - Der Treffpunkt für Sportschützen

Lesezeichen: