Rechner fährt beim Surfen runter; schon fast alles probiert!!

#0
11.01.2005, 02:05
...neu hier

Beiträge: 1
#1 Hallo!

Schlag mich seit Tagen mit folgendem Problem rum und weiß jetzt langsam echt nicht mehr weiter... Hoffentlich könnt Ihr mir helfen?!

Hab den Rechner eines Bekannten für's Netz startklar gemacht (Norton Antivirus 2004, Outpost, 0190 Warner), hab mich dann per Modem eingewählt und nach ca. 12 Minuten flieg ich seitdem jedesmal aus'm Netz mit der altbekannten Meldung: "Windows muss neu gestartet werden....NT-Autorität\System....60 Sekunden.... RPC..." -> Sasser? Agobot? Blaster?

Norton Antivirus' Definitionen waren veraltet, die wollte ich dann updaten per Intelligent Updater (also nicht online), die Datei ließ sich aber nicht starten.(-> Virus??) Also Norton runter und Demo von Kaspersky Antivirus Personal Pro drauf. Das ließ sich dann online sogar auf den neuesten Stand bringen. Scan im abgesicherten Modus ging nicht, wurde unterbunden (von XP?), daher nur Scan im normalen Betrieb: Aber nichts gefunden.

Folgende Scans konnte ich im abgesicherten Modus durchführen:

1. Stinger: nichts gefunden

2. eScan:

Mon Jan 10 22:59:13 2005 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp...

3. Hijack This:

Logfile of HijackThis v1.99.0
Scan saved at 23:08:27, on 10.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Dokumente und Einstellungen\Elisabeth\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mediamarkt.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: KLBLMain - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Was mir verdächtig erscheint, ist:

O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Eine der beiden Zeilen (die obere?) ist doch zuviel, oder?!

Klang für mich nach Backdoor.Agobot.KH?! siehe: http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=b&submit=suche&show=Backdoor.Agobot.KH

Das File hosts ist vorhanden aber nicht verändert; keine Einträge.

Aber, wie gesagt, bisher wurde nichts gefunden.... Woran kann's liegen?
Was ich noch nicht gemacht hab, ist von SP1 auf SP2 upgraden, da ich da eigentlich vorher gern ein Backup machen würde - aber ohne Virus.

Hab ich jetzt so'n Viech drauf? Oder kann's sein, dass sich aufgrund der Sicherheitslücke von XP SP1 immer irgendjemand/was inhackt, wenn ich ich online bin und dann den Rechner runterfährt? Dagegen spricht aber dass es immer so nach 12 Minuten passiert und ich Norton nicht aktualisieren konnte.

Wie soll ich weiter vorgehen?

Würd' mich echt freuen, wenn Ihr mir 'nen Tip geben könntet!!

Danke und viele Grüße

Matthias
Seitenanfang Seitenende
12.01.2005, 09:28
Member

Beiträge: 1132
#2 Hallo mathpet,

da Dir bisher noch niemand geantwortet hat, hier ein paar Vorschläge zur "Ersten Hilfe".

1. Zu soundman.exe lies Dir das hier einmal durch: http://www.sophos.de/virusinfo/analyses/w32agobotjs.html

2. Lasse einmal die soundman.exe bei Jotti's Malware Scan online testen:
http://virusscan.jotti.dhs.org/

3. Zu dem "shutdown" gibt es hier im Board jede Menge Beiträge. Benutze einfach einmal die Suchfunktion. Tipp: wenn der shutdown-Hinweis erscheint, dann versuche einfach einmal Start ==> Ausführen ==> "shutdown -a" (ohne Anführungszeichen!) ==> enter einzugeben. Vielleicht verhindert dies das Herunterfahren des Rechners.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: