Unbekannte Ursache für aufgezwungenes Runterfahren des PCs

#1 Guten Tag (naja mittlerweile ist ja bei mir Nacht)

Vorgeschichte:Ich hatte bis gerade eben ne LAN am Start, als auf einmal mein PC eine Meldung brachte, dass der PC von SYSTEM runtergefahren wird, weil services.exe durch irgendetwas geschlossen wurde (ich glaub, es war sowas wie "code 180" oder so). Dann war die erstmal zuende -.- .
Das ist mir mit dieser System-Installation noch nie passiert (und die existiert schon seit März 2004, ich hatte nur einmal eine beschädigte Registry backupen müssen).

Ich konnte die Ursache dafür leider nicht herausfinden, jedoch ist die gleiche Fehlermeldung eben nochmal aufgekommen.
Ich wollte ein Windowsupdate machen, da es mir schonmal vorkam, dass bei einem solchen Update ein böser wurm entdeckt wurde.... aber das Update scheiterte, weil es erstmal Servicepack 4 installieren wollte (was ich natürlich schon drauf habe). Und diese Installation brach dann automatisch ab, weil eine datei bereits verwendet wurde.

Infos zu meinem PC:
Windows 2k Pro(mit eigentlich SP 4)
Spybot
Adaware6
Antivirenprog: Kaspersky Anti-Virus Personal
Browser: Firefox
Firewall => Keine, da Router

Hijack This Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 02:30:20, on 15.08.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Serv-U\ServUDaemon.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\Mixer.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\hijackthis_199-1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\newdotnet6_38.dll,NewDotNetStartup -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [Threaded] ntsyst32.exe
O4 - HKLM\..\Run: [Services] service.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [Threaded] ntsyst32.exe
O4 - HKLM\..\RunServices: [Services] service.exe
O4 - HKLM\..\RunServices: [Windows Anti-Virus Built 32] AntiVirus32.exe
O4 - HKLM\..\RunServices: [ixplores] ixplores.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINNT\system32\E_S4.tmp"
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123973909325
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Mahakala_eSmogBuster - Unknown owner - perl eSmogBuster.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - C:\Programme\Serv-U\ServUDaemon.exe

Kommentar zum Log:
ixplores.exe => Isn Wurm, aber der liegt deaktiviert (also alle Rechte entzogen) noch im System32-Ordner rum. Is mir irgendwie ans Herz gewachsen ^^ (nach dem vielem Terz, den ich durch diesen Wurm hatte, weil ich viele Programme nicht benutzen konnte, als der noch aktiv war)
AntiVirus32.exe => liegt ebenfalls deaktiviert rum
p2pnetwork.exe => find ich nicht. Ich glaub mein Anti-Virenprog hat das bereits gelöscht. Die anderen Anhängsel dieser Datei (is ja nen Wurm) hab ich heute eigenhändig entfernt.

Ich habe sowohl Spybot, wie auch Adaware und Kaspersky rüberlaufen lassen und sogar noch einen Stinger, aber ich finde einfach keine Ursache für die Fehler. Ich möchte wirklich sehr ungerne mein System formatieren, würde mich aber über guten Rat freuen.
Ich habe den Log oben in das Auswerten-Fenster eingefügt und gerade auf auswerten geklickt, weiß aber nicht, was ich unternehmen soll.
Ich hab mich bisher immer mit angesammeltem Halbwissen durchschlagen und meinen PC "sauber" halten können.

Ich danke schonmal im Vorraus für alle, die sich die Mühe machen und sich das hier durchlesen.

MfG, Tobias
[/u]

#2 Erst einmal Willkommen on Board!
Einen Wurm am Herz?? Habe ich noch nie gehört!! Bist wohl ein bisschen irre oder? Oder Pervers???
Nun ja <Poste mal dein Hijack nach hier hin.>
http://www.hijackthis.de/ Außerdem>
http://board.protecus.de/t13019.htm?s=9c519945a87455f05bd2dd3787eec0a5
http://board.protecus.de/t12578.htm?s=9c519945a87455f05bd2dd3787eec0a5
Wenn dann noch Unklarheiten bestehen noch mal hier hin.
MfG Merlinx

#3 @Don_Bigguz

Deine Kiste ist völlig verseucht! Von wegen "deaktiviert"!

Zitat

O4 - HKLM\..\RunServices: [Threaded] ntsyst32.exe
O4 - HKLM\..\RunServices: [Services] service.exe
O4 - HKLM\..\RunServices: [Windows Anti-Virus Built 32] AntiVirus32.exe
O4 - HKLM\..\RunServices: [ixplores] ixplores.exe

Die Backdoors treiben sich noch lustig auf Deinem Rechner herum.

Dein Kaspersky scheint auch was abbekommen zu haben, denn normalerweise erkennt er diese Viren.

IMHO kommt da nur ein Neuaufsetzen des Systems infrage.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#4 @Heron:
Diese 4 Programme sind deaktiviert ;-)
Ich habe ihnen die Rechte entzogen, ausgeführt, gelesen oder gelöscht zu werden. Diese 4 Registry-Einträge sind daher nur Schönheitsfehler.
Aber die hab ich grad behoben und hab dann neugestartet. Seitdem sind die nichtmehr vorhanden.
Ich schau jetzt mal, was ich sonst noch (über den Auswerten-Button oben) neues böses entfernen kann.

Danke @Merlinx für die Links und für den Willkommensgruß.

Übrigens, wenn ich etwas finde, was mir nicht geheuer ist
(1. Systemordner nach datum anordnen und da sind dateien ohne "Version"
2. Laufende Prozesse mit mir unbekannten Namen
3. Es tauchen Sachen im Autostart auf, die ich nicht zuordnen kann)
, dann benutze ich meistens google, um Informationen über diese Dateien rauszufinden und wie man sie behebt. Meist kommt man nämlich mit den ersten 10 Einträgen auf Anti-Virus-Seiten ^^

Btw hat das Deaktivieren für mich persönlich den Vorteil, dass wenn ein Wurm nichtmehr ausgeführt oder überschrieben werden kann, dass der PC dann sozusagen dagegen geimpft ist (zumindest bei den oben gezeigten und allen, die ich bisher hatte).

MfG, Tobias


[EDIT]
Hier der aktuelle Hijack This Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 11:38:31, on 15.08.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Serv-U\ServUDaemon.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
D:\Downloads\hijackthis_199-1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINNT\system32\E_S4.tmp"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123973909325
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Mahakala_eSmogBuster - Unknown owner - perl eSmogBuster.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - C:\Programme\Serv-U\ServUDaemon.exe

Wenn ihr da nochwas findet, bitte melden. Ich danke nochmals allen für die Aufmerksamkeit. Ich kam gestern nacht das erste mal mit Hijack This in Verbindung (über dieses Forum) und muss sagen, dass es einfach geil is ^^

#5 Don_Bigguz

du bist ja ein komischer Vogel....beschwerst dich:

Zitat

weil services.exe durch irgendetwas geschlossen zum Neustart zwingt

und behauptest dann, alle Backdoors auf deinem System seien deaktiviert und unter KOntrolle

•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"-->Remove
und loesche die newdotnet6_38.dll
(eventuell musst du die dll von links nach rechts bringen)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\newdotnet6_38.dll,NewDotNetStartup -s

O4 - HKLM\..\Run: [Threaded] ntsyst32.exe
O4 - HKLM\..\Run: [Services] service.exe
O4 - HKLM\..\RunServices: [Threaded] ntsyst32.exe
O4 - HKLM\..\RunServices: [Services] service.exe
O4 - HKLM\..\RunServices: [Windows Anti-Virus Built 32] AntiVirus32.exe
O4 - HKLM\..\RunServices: [ixplores] ixplores.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe

O23 - Service: Mahakala_eSmogBuster - Unknown owner - perl eSmogBuster.exe (file missing)

PC neustarten

deinstallieren:
NewDotNet

Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen

einzeln in das schwarze DOS-Fenster reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 40 Tage raus.
Dann schliesse DOS und führe die gleiche Anweisungen aus für:


cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Danke für die Antwort :-)

Die hier =>

Zitat

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\newdotnet6_38.dll,NewDotNetStartup -s

O4 - HKLM\..\Run: [Threaded] ntsyst32.exe
O4 - HKLM\..\Run: [Services] service.exe
O4 - HKLM\..\RunServices: [Threaded] ntsyst32.exe
O4 - HKLM\..\RunServices: [Services] service.exe
O4 - HKLM\..\RunServices: [Windows Anti-Virus Built 32] AntiVirus32.exe
O4 - HKLM\..\RunServices: [ixplores] ixplores.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe

konnte ich nichtmehr mit hijack this entfernen, weil ich das schon von Hand mit regedit gemacht habe.
Die anderen Punkte hab ich mit Hijack This gefixt.

Das Newdotnet hab ich mit der eigenen Uninstall.exe deinstalliert. Danach war das komischerweise wirklich weg.... ^^

Hier folgt die Dateiauflistung:

Verzeichnis von C:\WINNT\system32

15.08.2005 12:21 4.452 nvapps.xml
15.08.2005 12:18 288 DVCState-{00000000-00000000-00000007-00001102-00000002-100A1102}.dat
15.08.2005 12:18 288 DVCStateBkp-{00000000-00000000-00000007-00001102-00000002-100A1102}.dat
15.08.2005 12:18 1.080 settings.sfm
15.08.2005 12:18 1.080 settingsbkup.sfm
15.08.2005 12:18 29.004 BMXBkpCtrlState-{00000000-00000000-00000007-00001102-00000002-100A1102}.rfx
15.08.2005 12:18 29.004 BMXCtrlState-{00000000-00000000-00000007-00001102-00000002-100A1102}.rfx
15.08.2005 12:18 17.456 BMXStateBkp-{00000000-00000000-00000007-00001102-00000002-100A1102}.rfx
15.08.2005 12:18 17.456 BMXState-{00000000-00000000-00000007-00001102-00000002-100A1102}.rfx
14.08.2005 11:42 62.464 bszip.dll
13.08.2005 19:34 16.384 Perflib_Perfdata_5e0.dat
16.07.2005 15:55 16.384 Perflib_Perfdata_158.dat
03.07.2005 11:29 112.584 FNTCACHE.DAT

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\DOKUME~1\Tobias\LOKALE~1\Temp

15.08.2005 12:23 16.384 ~DFDB.tmp
15.08.2005 12:12 16.384 ~DFF225.tmp
15.08.2005 11:46 512 ~DF2E0A.tmp
15.08.2005 11:46 16.384 ~DF2DFB.tmp
15.08.2005 11:44 16.384 ~DFA35D.tmp
15.08.2005 11:44 22.068 SIntfNT.dll
15.08.2005 11:44 17.320 SIntf32.dll
15.08.2005 11:44 12.305 SIntf16.dll
15.08.2005 11:44 40.448 CmdLineExt03.dll
15.08.2005 02:00 81.920 ~DFEF16.tmp
15.08.2005 00:29 16.384 ~DFA01E.tmp
15.08.2005 00:27 16.384 ~DFD10E.tmp
14.08.2005 23:59 16.384 ~DF92C1.tmp
14.08.2005 22:28 512 ~DFA3FE.tmp
14.08.2005 22:28 16.384 ~DFA3EF.tmp
14.08.2005 22:28 512 ~DFA38F.tmp
14.08.2005 22:28 16.384 ~DFA381.tmp
14.08.2005 22:28 512 ~DFA35F.tmp
14.08.2005 22:28 16.384 ~DFA351.tmp
14.08.2005 22:28 512 ~DFA2C3.tmp
14.08.2005 22:28 16.384 ~DFA2B4.tmp
14.08.2005 19:31 512 ~DF1DC2.tmp
14.08.2005 19:31 16.384 ~DF1DAF.tmp
14.08.2005 19:31 512 ~DF1D66.tmp
14.08.2005 19:31 16.384 ~DF1D57.tmp
14.08.2005 19:31 512 ~DF1D36.tmp
14.08.2005 19:31 16.384 ~DF1D28.tmp
14.08.2005 19:31 512 ~DF1C9E.tmp
14.08.2005 19:31 16.384 ~DF1C76.tmp
14.08.2005 19:25 195 _SciFi__stargate_atlantis_s02e05_ws_dsr_xvid_crimson_avi_NEW___.xdcc
14.08.2005 19:24 176 stargate_atlantis_s02e05_ws_dsr_xvid_crimson_avi.xdcc
14.08.2005 18:46 512 ~DF1ABA.tmp
14.08.2005 18:46 16.384 ~DF1AAB.tmp
14.08.2005 18:46 512 ~DF1A49.tmp
14.08.2005 18:46 16.384 ~DF1A3B.tmp
14.08.2005 18:46 512 ~DF1A16.tmp
14.08.2005 18:46 16.384 ~DF1A07.tmp
14.08.2005 18:46 512 ~DF1975.tmp
14.08.2005 18:46 16.384 ~DF1965.tmp
14.08.2005 11:56 49.152 ~DFEB97.tmp
14.08.2005 11:55 512 ~DF8A44.tmp
14.08.2005 11:55 16.384 ~DF8A2E.tmp
14.08.2005 11:51 512 ~DFBA63.tmp
14.08.2005 11:51 16.384 ~DFB9C2.tmp
14.08.2005 11:51 16.384 ~DFA6E7.tmp
14.08.2005 00:57 0 uis28.tmp
13.08.2005 21:48 16.384 ~DF126B.tmp
13.08.2005 21:48 16.384 ~DFFFD.tmp

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\WINNT

15.08.2005 12:18 32.594 SchedLgU.Txt
15.08.2005 01:53 177.250 Windows Update.log
15.08.2005 01:53 1.539 WindowsUpdate.log
15.08.2005 01:48 2.099 svcpack.log
15.08.2005 01:42 1.058.159 setupapi.log
15.08.2005 00:39 19.480 ntbtlog.txt
14.08.2005 11:45 3.388.457 {00000000-00000000-00000007-00001102-00000002-100A1102}.CDF
14.08.2005 11:45 3.388.457 {00000000-00000000-00000007-00001102-00000002-100A1102}.BAK
14.08.2005 01:28 1.125 winamp.ini
07.08.2005 02:34 1.189.756 ShellIconCache

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\

15.08.2005 12:38 0 sys.txt
15.08.2005 12:35 11.021 system.txt
15.08.2005 12:33 2.844 systemtemp.txt
15.08.2005 12:29 114.343 system32.txt
15.08.2005 12:19 1.006.632.960 pagefile.sys
13.08.2005 15:56 6.691 CLDMA.LOG



Ich danke schonmal für die Hilfe

MfG, Tobias

#7 CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Bszip.dll is a Backdoor W32.Picrate.B@mm.

W32/Alcra-A legt die Dateien temp.zip, p2pnetwork.exe und bszip.dll im Windows-Systemordner ab. Die Datei temp.zip ist eine gezippte Kopie des Wurms. Bszip.dll ist ein virenfreies Dateikomprimierungsprogramm. Sophos Anti-Virus erkennt p2pnetwork.exe als W32/Rbot-ACZ.

loeschen:
C:\WINNT\system32\Bszip.dll
C:\WINNT\system32\p2pnetwork.exe
C:\WINNT\system32\temp.zip

FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/FindIt.zip

Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt.


Sophos (30 Tage free)-->scanne im abgesicherten modus + berichte
http://virus-protect.org/antivirenshareware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Vorweg: bszip.dll liegt ebenfalls mit entzogenen Rechten bei mir rum.
p2pnetwork.exe und temp.zip gibts schon seit gestern morgen nichtmehr. Die hatte mein Anti-Virenprog schon geschreddert.

Den Rest werde ich jetzt befolgen

Bericht =>
CCleaner ausgeführt
zu FindIt => Datei ausgeführt und dann kam folgende Fehlermeldung
---------------------------
16-Bit-MS-DOS-Teilsystem
---------------------------
C:\WINNT\system32\cmd.exe
C:\WINNT\SYSTEM32\AUTOEXEC.NT. Die Systemdatei ist nicht geeignet, um Anwendungen für MS-DOS oder Microsoft Windows auszuführen. Klicken Sie auf "Schließen", um die Anwendung zu beenden.
---------------------------
Schließen Ignorieren
---------------------------
autoexec.nt find ich überhaupt garnicht...
(Es befindet sich aber ein Exemplar unter C:\WINNT\repair. Wenn ich das darüberkopieren soll, bitte sagen).

Daher gibt es folgende output.txt:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\WINNT\System32

15.08.2005 01:53 <DIR> ..
15.08.2005 01:53 <DIR> .
14.05.2005 12:16 <DIR> dllcache
03.03.2005 20:33 56 87036FDE7C.sys
09.10.2004 16:20 56 86D91993A4.sys
2 Datei(en) 112 Bytes
3 Verzeichnis(se), 1.912.180.736 Bytes frei

------- Hidden Files in System32 Directory -------

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\WINNT\System32

15.08.2005 01:53 <DIR> ..
15.08.2005 01:53 <DIR> .
14.05.2005 12:16 <DIR> dllcache
03.03.2005 20:33 56 87036FDE7C.sys
09.10.2004 16:20 56 86D91993A4.sys
19.05.2004 17:46 4.212 zllictbl.dat
27.03.2004 16:07 23.040 systern32.exe
20.03.2004 00:48 271 desktop.ini
5 Datei(en) 27.635 Bytes
3 Verzeichnis(se), 1.912.180.736 Bytes frei

---------- Files Named "Guard" -------------

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\WINNT\System32


--------- Temp Files in System32 Directory --------

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: DC04-6F3F

Verzeichnis von C:\WINNT\System32

01.03.2005 07:44 65 E_S4.tmp
27.10.2004 00:38 1.335.296 nsr6C.tmp
2 Datei(en) 1.335.361 Bytes
0 Verzeichnis(se), 1.912.180.736 Bytes frei

---------------- User Agent ------------


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


---------------- Xfind Results -----------------

Mit einem Trick hab ich es doch geschaft, SP4 zu installieren. Jetzt werd ich alle verfügbaren Sicherheitsupdates machen und danach das Anti-Virusprogramm installieren und im Abgesicherten Modus ausführen.

Übrigens => Statuscode 128 lautet die Fehlermeldung, womit der PC runtergefahren wird

Aktueller Status: Installiere und scanne

#9 die backsoors haben das System zerstoert, wahrscheinlich, bevor du sie (wie du sagst, unschaedlich "gemacht hast.
Ich kenne diese Fehlermeldungen nicht nur als Softwareproblem, sondern auch nach Backdoor-und virenbefall.
Ich habe nicht viel Hoffnung, dass du es noch hinbiegen kannst...ohne zu formatieren

Fehlermeldung beim Ausführen eines MS-DOS- oder 16-Bit-Windows-Programms
Ursache

Thema für Microsoft Windows XP behandelt. (Win2000 hab ich nichts gefunden)
Dieses Problem kann auftreten, wenn eine der folgenden Dateien fehlt, beschädigt ist oder sich nicht im Ordner "%SystemRoot%\System32" befindet:
• Autoexec.nt
• Command.com
• Config.nt
http://support.microsoft.com/default.aspx?scid=kb;DE;305521
http://www.wintotal.de/Tipps/Eintrag.php?TID=1005

Download:/FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINNT\System32\systern32.exe
C:\WINNT\System32\87036FDE7C.sys
C:\WINNT\System32\86D91993A4.sys

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

-------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Also ich bin gerade doch noch beim Installieren der Updates...
Autoexec.nt fehlte wirklich. Diese Datei hab ich aus dem repair Ordner wieder ins System32-Verzeichnis kopiert

FindT =>

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

(mehr nicht, also hat er wohl nix gefunden)

Also die erste File konnte ich nicht hochladen, aber ich weiß, dass das nen Wurm is, bzw. war. Der liegt schon.... lange deaktiviert rum.

Die anderen beiden sind wohl keine =>

This is a report processed by VirusTotal on 08/15/2005 at 16:08:07 (CET) after scanning the file "87036FDE7C.sys" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 08.15.2005 no virus found
Avast 4.6.695.0 08.15.2005 no virus found
AVG 718 08.14.2005 no virus found
Avira 6.31.1.0 08.15.2005 no virus found
BitDefender 7.0 08.15.2005 no virus found
CAT-QuickHeal 7.03 08.15.2005 no virus found
ClamAV devel-20050725 08.15.2005 no virus found
DrWeb 4.32b 08.15.2005 no virus found
eTrust-Iris 7.1.194.0 08.14.2005 no virus found
eTrust-Vet 11.9.1.0 08.15.2005 no virus found
Fortinet 2.36.0.0 08.15.2005 no virus found
F-Prot 3.16c 08.15.2005 no virus found
Ikarus 0.2.59.0 08.12.2005 no virus found
Kaspersky 4.0.2.24 08.15.2005 no virus found
McAfee 4557 08.12.2005 no virus found
NOD32v2 1.1193 08.12.2005 no virus found
Norman 5.70.10 08.14.2005 no virus found
Panda 8.02.00 08.15.2005 no virus found
Sophos 3.96.0 08.15.2005 no virus found
Sybari 7.5.1314 08.15.2005 no virus found
Symantec 8.0 08.15.2005 no virus found
TheHacker 5.8.2.087 08.14.2005 no virus found
VBA32 3.10.4 08.15.2005 no virus found


This is a report processed by VirusTotal on 08/15/2005 at 16:10:58 (CET) after scanning the file "86D91993A4.sys" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 08.15.2005 no virus found
Avast 4.6.695.0 08.15.2005 no virus found
AVG 718 08.14.2005 no virus found
Avira 6.31.1.0 08.15.2005 no virus found
BitDefender 7.0 08.15.2005 no virus found
CAT-QuickHeal 7.03 08.15.2005 no virus found
ClamAV devel-20050725 08.15.2005 no virus found
DrWeb 4.32b 08.15.2005 no virus found
eTrust-Iris 7.1.194.0 08.14.2005 no virus found
eTrust-Vet 11.9.1.0 08.15.2005 no virus found
Fortinet 2.36.0.0 08.15.2005 no virus found
F-Prot 3.16c 08.15.2005 no virus found
Ikarus 0.2.59.0 08.12.2005 no virus found
Kaspersky 4.0.2.24 08.15.2005 no virus found
McAfee 4557 08.12.2005 no virus found
NOD32v2 1.1193 08.12.2005 no virus found
Norman 5.70.10 08.14.2005 no virus found
Panda 8.02.00 08.15.2005 no virus found
Sophos 3.96.0 08.15.2005 no virus found
Sybari 7.5.1314 08.15.2005 no virus found
Symantec 8.0 08.15.2005 no virus found
TheHacker 5.8.2.087 08.14.2005 no virus found
VBA32 3.10.4 08.15.2005 no virus found

#11 na dann bastel mal fleissig rum Mal sehen, was der Virenscan zu einer exe von 2004 meint
__________
MfG Sabina

rund um die PC-Sicherheit

#12 systern32.exe is leider zu groß zum hochschicken (über 2 MB), aber Antivir hatte darin mal nen Wurm erkannt. Aber seitdem ich die Datei, wie gesagt, deaktiviert habe, kann die ja auch kein Viren-Scanner mehr lesen

Wenn du sonst keinen Rat mehr weißt, was kaputt oder falsch sein könnte, dann hoffe ich, dass mit den Systemupdates und des kopierens der einen Datei aus dem repair-Ordner mein System wieder stabil läuft ;-)
(schliesslich is ja jetzt, z.b. mit newdotnet, ein Laster von meinem PC genommen wurden ;-))

Nichtsdestotrotz habe ich heute mal wieder einiges gelernt (ich kannte keines der von dir vorgeschlagenen Programme), wodurch ich mir in Zukunft vielleicht besser helfen kann. Irgendwie bin ich wirklich froh, dass mein System schon so lange läuft, ohne dass ich ans Formatieren denken musste. Das liegt womöglich auch an Windows 2k. Denn mein Windows XP-Home (was von Haus aus bei dem PC bei war) lässt sich schon seit knapp 2 Jahren nichtmehr installieren (so wie kein anderen XP, auch nicht mit aktuellen Dateien aus dem Internet). Das scheitert an der Hardwareüberprüfung beim starten des Setups...

Danke für die Mühe

MfG, Tobias

#13 Um die Diensteverwaltung explizit aufzurufen, Start -- Ausführen den Befehl ein: services.msc

dann ueberpruefe mal, ob der Dienst fuer die WindowsUpdates aktiviert ist.
das ist er bestimmt....da du ja den Download beginnen kannst.
Es gibt Viren, die auch in der Registry Werte verstellen, damit die Updates nicht geladen werden koennen...oder Fehlermeldungen kommen.
Welche Schluessel das sind, weiss ich leider auch nicht.
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Also es wurden alle möglichen Updates gemacht und der Dienst ist dabei auch gestartet worden.
Bisher ist mein System jetzt nichtmehr abgeschmiert (kann an autoexec.nt gelegen haben)

Wieder was gelernt ^^ (services.msc kannte ich noch nicht. ich habs immer über die Verwaltung gemacht ;-))

Dienste habe ich alle angeguckt und keinen gestarteten bösen (oder zumindest komische) gefunden.