woody
Goto Top

WINRUN EXE Problem Fortsetzung

Mein Problem besteht weiterhin kann mir denn keiner helfen?????

Ich habe folgendes Problem mit einer Windows NT 4.0 Workstation, bei jeden
Systemstart kommt die folgende Fehlermeldung 2 xl:

Die Datei "C:\\windows\\winrun.exe (oder eine ihrer Komponenten)" wurde
nicht gefunden. Stellen sie sicher, dass die Pfad- und Dateiangabe stimmen und
alle notwendigen Bibliotheken verfügbar sind.

Anmeldung als Administrator:
Ich habe schon über start/ausführen/msconfig das Problem versucht
zu beheben jedoch ohne Erfolg.
Was kann ich tun ?
Das Betriebsystem kann ich nicht neunstallieren, da wichtige einmalige
Programme vorhanden sind die dann gelöscht wären.

Ich habe erfahren es könnte sich um einen Trojaner handeln, kann ich mir da eigentlich sicher sein das mein Problem mit der WINRUN.EXE mit Trojanern oder anderer Spyware zusammenhängt????
Meldet sich jemand anderes über einen anderen User Account (die alle sehr eingeschränkt sind) an erscheint die Meldung nämlich wie gehabt.
Wenn du jetzt denkst dann erteilt der Administrator den betreffenden Usern einfach mal die Rechte das sie dann entsprechende Antispyware und Antiviren SW installieren können sag ich dir gleich das das nicht möglich ist.
Ich kann mich zwar als Admin anmelden und habe auch dann alle Rechte jedoch darf ich die Einschränkungen aller anderen User Accounts nicht verändern.
Ich weiß kniffliges Problem aber was tun??????????

Content-Key: 11616

Url: https://administrator.de/contentid/11616

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: pc-pure
pc-pure 08.06.2005 um 10:39:58 Uhr
Goto Top
Hast schon versucht in der registry den Starteintrag zu löschen?
Mitglied: astrowooody
astrowooody 08.06.2005 um 10:43:38 Uhr
Goto Top
Ja ich habe schon folgendes getan, jedoch ohne Erfolg:

Trojaner WINRUN.EXE


Virusinformation
Troj/Opt-Pro11B
Übersicht
Profil

Name Troj/Opt-Pro11B
Typ ? Trojaner


Erläuterung
Troj/Opt-Pro11B ist ein Backdoor-Trojaner. Er läuft im Hintergrund und ermöglicht unbefugten Zugriff auf den Computer über das Netzwerk. Beim Ausführen legt sich Troj/Opt-Pro11B als WINRUN.EXE im Windows-Ordner ab. Er erstellt dann folgende Registrierungseinträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ winrun = ?C:\<Windows>\winrun.exe" und
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
winrun = "C:\<Windows>\winrun.exe" so dass er beim Start von Windows aktiviert wird.
Troj/Opt-Pro11B verändert außerdem den folgenden Registrierungseintrag:
HKLM\System\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\ Windows\CurrentVersion\Internet Settings\EnableAutodial
Er legt die Datei WMMIEXE.EXE im Windows-Ordner ab und erstellt den Registrierungseintrag HKLM\Software\CLASSES\exefile\shell\open\command = "wmmiexe.exe "%1" %*" so dass WMMIEXE.EXE aktiviert wird, sobald der Anwender versucht, ein EXE-Programm zu starten. Wenn aktiviert, startet WMMIEXE.EXE den Trojaner (WINRUN.EXE). WMMIEXE.EXE wird als Troj/OptixTool erkannt. Schließlich sendet der Trojaner via ICQ eine Benachrichtigung an den Remote-Anwender.


Wiederherstellung


Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.
Lesen Sie bitte die Hinweise zum Entfernen von Trojanern. Sie müssen außerdem die folgenden Registrierungseinträge, sofern sie vorhanden sind, bearbeiten. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie folgende Einträge unter HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
winrun = "C:\<Windows>\winrun.exe"
und
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
winrun = "C:\<Windows>\winrun.exe" und löschen Sie diese, sofern sie existieren. Suchen Sie den Eintrag unter HKEY_LOCAL_MACHINE:
HKLM\Software\CLASSES\exefile\shell\open\command = "wmmiexe.exe "%1" %*" Löschen Sie "wmmiexe.exe so dass es folgendermaßen lautet: HKLM\Software\CLASSES\exefile\shell\open\command = "%1" %* Löschen Sie nur die Angaben zu dem Trojaner. Löschen nichts anderes. Schließen Sie den Registrierungseditor.


Danke für die schnelle Antwort.

MFG Ralf
Mitglied: pc-pure
pc-pure 08.06.2005 um 10:53:23 Uhr
Goto Top
such mal in der gesamten Registry nach winrun.exe

Wirst einige Einträüge finden, vielleicht sogar einen in einem Folder, welches "startupreg" heisst.

Entferne alle.

Ansonsten besteht keine Gefahr, ist nur eine lästige Meldung, weil die Meldung ja selbst sagt, dass die Datei nicht gefunden wird.


Gruss

Christian Klein
Mitglied: Biber
Biber 08.06.2005 um 10:58:47 Uhr
Goto Top
Ergänzung zu Ralf (der vollkommen recht hat)

1) Nicht nur der relativ seltene Trojaner wie oben beschrieben benutzt den Namen "winrun.exe", sondern auch eine Vatiante des gerade rumschwappenden Mytob.z

s. http://www.nod32.com/scriptless/pedia/cervy/mytobz.htm

2) Das manuelle Löschen KANN etwas frustrierend sein, da das Vorhandensein der Registry-Einträge vom Trojaner ständig überprüft+aktualisiert wird (falls der noch rumgeistert auf der Maschine)

3) Winrun.exe kannst Du defintiv immer und überall löschen (filesytem und alls Run-Registry-Einträge
[Zitat]
Filename: winrun.exe

Name: sysdir

Description: Added by the WINBUR.B WORM!

Recommendation: Definitely not required - typically viruses, spyware, adware and "resource hogs"
[Zitat Ende]

s. http://optionexplorer.com/task_winrun_exe_3329.html

Ich empfehle eine "professionelle" Entfernung mit einem Removal-Tool statt manuelles Rumgeeier.

Gruß

Frank / der Biber aus Bremen


Gruß
Mitglied: astrowooody
astrowooody 08.06.2005 um 12:31:46 Uhr
Goto Top
Ich möchte mich bei allen, die mich bei meinen Problem geholfen haben ein ganz großes Dankeschüön aussprechen.

Mfg Ralf