PC bootet sich nach paar Minuten selber

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.08.2006, 11:10
Member

Beiträge: 12
#1 HILFE !
Mein PC (WinXP) bootet sich oftmals schon nach wenigen Minuten selber !
D.h es erscheint eine NT - Autoritätsmeldung mit einem Countdown von 59 Sekunden.
Und dann steht da immer noch was von einem Pfad wie C:\Windows\System32\service.exe
Speichern Sie alle Ihre Daten. Das System wird automatisch heruntergefahren.
Und dann wird das System heruntergefahren.

Was mir auch schon aufgefallen ist, ist, dass letztlich meine Kabel - Internet-Verbindung (übers TV - Kabel) recht langsam geworden ist.

Meine AntiVir - Software und auch Adaware finden aber nichts !

Ist evt. irgendwo ein Dienst bei meinem PC falsch konfiguriert oder woran könnte das liegen ?

Ich surfe übrigens mittels dem Mozilla Firefox - Browser. Und hier ist mir schon aufgefallen, dass wenn ich den Browser schliesse, so kommt eine Meldung bei der ich alle Cookies, Verlaufe etc. löschen lassen kann. Das mach ich dann jeweils. Aber danach lässt sich der Browser nicht mehr starten und manchmal hängt dann gleich der ganze Rechner. (lässt sich also nur noch abwürgen und neustarten)

Danke schon mal herzlich für die Ratschläge und Tips !
Dieser Beitrag wurde am 05.08.2006 um 11:20 Uhr von Seluaner editiert.
Seitenanfang Seitenende
05.08.2006, 11:19
Moderator

Beiträge: 7802
#2 Du weisst doch, wie das geht:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 11:26
Member

Themenstarter

Beiträge: 12
#3 Sorry !
Hier noch mein Hijack - Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:24:08, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Filesharing\SW_LIBRARY\Hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141319657828
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Danke für Eure Hilfe !!!!

So !
Habe nun noch (gemäss obenstehender Anleitung von Sabina) den CleanUp genau wie beschrieben durchgeführt. und auch Combofix genau wie beschrieben durchgeführt.

Hier also der Scanreport von meinem ComboFix:

Start Time= 05.08.2006 11:39:45.82

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-05 11:29:20 ( .D... ) "C:\Programme\CleanUp!"
2006-08-04 10:32:04 ( .D... ) "C:\Programme\AntiVir PersonalEdition Premium"
2006-08-01 16:23:16 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-01 09:36:18 ( .D... ) "C:\Dokumente und Einstellungen\Pascal\Anwendungsdaten\Talkback"
2006-07-31 20:11:46 ( .D... ) "C:\Programme\Trend Micro"
2006-07-27 22:35:02 1064 ( A.... ) "C:\WINDOWS\system32\thk1e325.sys"
2006-07-27 22:35:02 1064 ( A.... ) "C:\WINDOWS\system32\thk1e325.sys"
2006-07-27 11:44:36 23552 ( A.... ) "C:\jwoft.exe"
2006-06-06 18:28:44 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-06-05 21:07:50 ( .D... ) "C:\Dokumente und Einstellungen\Pascal\Anwendungsdaten\Photocolor"

Rootkit driver pe386 is present. A rootkit scan is required


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-04 10:32 57'384 C:\WINDOWS\system32\avsda.dll
2006-07-31 21:34 221'184 C:\WINDOWS\system32\wmpns.dll
2006-07-27 11:44 23'552 C:\jwoft.exe
2006-07-27 11:44 1'064 C:\WINDOWS\system32\thk1e325.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"CloneCDTray"="\"C:\\Programme\\CloneCD\\CloneCDTray.exe\" /s"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"CamMonitor"="C:\\Programme\\Hewlett-Packard\\Digital Imaging\\\\Unload\\hpqcmon.exe"
"Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Premium\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Logi_MwX"
"hkey"="HKLM"
"command"="Logi_MwX.Exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"inimapping"="0"




Contents of the 'Scheduled Tasks' folder

Completion time: 05.08.2006 11:40:13.04
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

Jetzt gehe ich noch die Logfiles mittels datfind.bat erstellen !

Und hier jetzt also noch die LOGFILES:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 240A-8F11

Verzeichnis von C:\WINDOWS\system32

05.08.2006 11:57 312'962 ikhcore.log
02.08.2006 23:46 2'422 wpa.dbl
31.07.2006 20:11 2'154 tmmute.ini
30.07.2006 21:16 383'254 perfh009.dat
30.07.2006 21:16 53'608 perfc009.dat
30.07.2006 21:16 394'500 perfh007.dat
30.07.2006 21:16 64'598 perfc007.dat
30.07.2006 21:16 904'198 PerfStringBackup.INI
28.07.2006 17:01 100 LuResult.txt
28.07.2006 00:58 1'064 thk1e325.ini
27.07.2006 22:35 1'064 thk1e325.sys
10.06.2006 21:14 260'640 FNTCACHE.DAT
06.06.2006 18:28 57'384 avsda.dll
20.05.2006 12:08 7'006 jupdate-1.5.0_06-b05.log
14.04.2006 11:19 25'489 $winnt$.inf
14.04.2006 11:14 16'832 amcompat.tlb
14.04.2006 11:14 23'392 nscompat.tlb
14.04.2006 11:14 488 WindowsLogon.manifest
14.04.2006 11:14 488 logonui.exe.manifest
14.04.2006 11:13 749 cdplayer.exe.manifest
14.04.2006 11:13 749 nwc.cpl.manifest
14.04.2006 11:13 749 wuaucpl.cpl.manifest
14.04.2006 11:13 749 sapi.cpl.manifest
14.04.2006 11:13 749 ncpa.cpl.manifest
14.04.2006 11:12 23'504 emptyregdb.dat
06.04.2006 21:48 5'143'456 MRT.exe
30.03.2006 03:16 18'944 xpsp3res.dll
17.03.2006 02:38 28'672 verclsid.exe
14.02.2006 10:20 550'120 LegitCheckControl.dll
10.11.2005 13:03 127'078 javaws.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 240A-8F11

Verzeichnis von C:\DOKUME~1\Pascal\LOKALE~1\Temp

05.08.2006 11:59 16'384 Perflib_Perfdata_94c.dat
05.08.2006 11:36 16'384 Perflib_Perfdata_914.dat
2 Datei(en) 32'768 Bytes
0 Verzeichnis(se), 73'296'465'920 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 240A-8F11

Verzeichnis von C:\WINDOWS

05.08.2006 12:03 441'096 WindowsUpdate.log
05.08.2006 12:01 51 iTouch.ini
05.08.2006 11:58 50 wiaservc.log
05.08.2006 11:58 159 wiadebug.log
05.08.2006 11:57 0 0.log
05.08.2006 11:57 2'048 bootstat.dat
05.08.2006 11:41 89'380 setupact.log
05.08.2006 11:33 32'558 SchedLgU.Txt
04.08.2006 10:26 116 NeroDigital.ini
04.08.2006 09:21 474'454 setupapi.log
01.08.2006 21:37 603 win.ini
01.08.2006 21:37 603 win.tmp
01.08.2006 21:37 227 system.tmp
01.08.2006 21:37 227 system.ini
01.08.2006 10:20 493 wininit.ini
01.08.2006 09:36 5'272 mozver.dat
31.07.2006 21:34 2'652 OEWABLog.txt
31.07.2006 21:34 94'594 wmsetup.log
30.07.2006 21:16 754'713 iis6.log
30.07.2006 21:16 180'066 comsetup.log
30.07.2006 21:16 112'133 ntdtcsetup.log
30.07.2006 21:16 230'851 tsoc.log
30.07.2006 21:16 4'566 imsins.log
30.07.2006 21:16 22'181 tabletoc.log
30.07.2006 21:16 26'727 ocmsn.log
30.07.2006 21:16 34'611 MedCtrOC.log
30.07.2006 21:16 282'174 ocgen.log
30.07.2006 21:16 24'379 msgsocm.log
30.07.2006 21:16 441'613 FaxSetup.log
30.07.2006 21:16 80'277 netfxocm.log
30.07.2006 21:15 183'982 msmqinst.log
28.07.2006 17:35 56 TLCAPPS.INI
28.07.2006 16:58 1'374 imsins.BAK
28.07.2006 16:58 18'215 KB893803v2.log
06.07.2006 12:13 1'072'513'024 MEMORY.DMP
29.06.2006 21:14 137 WS_FTP.INI
10.06.2006 21:23 8'192 Thumbs.db
09.06.2006 20:50 144'232 db_AOL-Arena_Modell.jpg
05.06.2006 12:00 151 PhotoSnapViewer.INI
23.05.2006 21:47 7'238 ModemLog_Motorola USB Modem.txt
17.05.2006 20:36 3'189 track.INI
16.04.2006 20:43 400 ODBC.INI
14.04.2006 20:16 0 nsreg.dat
14.04.2006 13:57 2'908 COM+.log
14.04.2006 11:39 378 wmsetup10.log
14.04.2006 11:22 833'843 setuplog.txt
14.04.2006 11:14 316'640 WMSysPr9.prx
14.04.2006 11:14 4'161 ODBCINST.INI
14.04.2006 11:13 749 WindowsShell.Manifest
14.04.2006 11:13 2'065 sessmgr.setup.log
14.04.2006 11:12 253 DtcInstall.log
14.04.2006 11:12 400 cmsetacl.log
14.04.2006 11:06 110 setuperr.log
14.04.2006 11:05 4'110 regopt.log
14.04.2006 10:51 12'244 WINNT32.LOG
14.04.2006 10:50 842 UPGRADE.TXT
14.04.2006 10:50 37'007 wsdu.log
14.04.2006 10:49 178 DHCPUPG.LOG
13.04.2006 23:44 756'810 setupapi.old
13.04.2006 17:30 2'736 spupdsvc.log
13.04.2006 16:53 29'376 KB908531.log
13.04.2006 16:53 30'242 updspapi.log
13.04.2006 16:53 28'614 KB911562.log
13.04.2006 16:53 31'261 KB912812.log
13.04.2006 16:52 26'767 KB911565.log
13.04.2006 16:52 23'230 KB911567.log
30.03.2006 20:57 680 3dtrack.INI
16.03.2006 23:25 120 PbkUser.INI
04.03.2006 14:38 14'987 KB911564.log
04.03.2006 14:35 10'452 KB913446.log
02.03.2006 19:46 63 vbaddin.ini
02.03.2006 19:17 8'335 WGA.log
18.02.2006 12:08 7'753 KB911927.log
30.01.2006 14:09 156'471 UNNeroVision.cfg
12.01.2006 20:53 3'273 SceneLib24.ini
12.01.2006 19:41 10'097 KB908519.log
06.01.2006 20:03 10'986 KB912919.log
01.01.2006 17:23 13'364 DirectX.log
14.12.2005 18:55 10'945 KB910437.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 240A-8F11

Verzeichnis von C:\

05.08.2006 12:07 0 sys.txt
05.08.2006 12:06 9'456 system.txt
05.08.2006 12:06 368 systemtemp.txt
05.08.2006 12:04 98'747 system32.txt
05.08.2006 11:57 1'072'484'352 hiberfil.sys
05.08.2006 11:57 1'610'612'736 pagefile.sys
01.08.2006 21:37 210 boot.ini
27.07.2006 11:44 23'552 jwoft.exe
14.03.2006 18:32 0 DBS.TXT
07.03.2006 21:52 21'477 Anlage_Nordrampe_Umbau_2.tra
03.11.2005 01:11 4'683 data
05.08.2005 21:59 2'211 dvdlog.txt
24.07.2005 19:41 960 graph.txt
26.03.2005 18:50 113 DownloadLog.txt
25.12.2004 13:57 27'262'976 VIRTPART.DAT
11.12.2004 20:16 3'962 direct.txt
04.12.2004 18:16 0 MSDOS.SYS
04.12.2004 18:16 0 IO.SYS
04.12.2004 18:16 0 CONFIG.SYS
04.12.2004 18:16 0 AUTOEXEC.BAT
03.08.2004 22:59 251'184 ntldr
03.08.2004 22:38 47'564 NTDETECT.COM
18.08.2001 14:00 4'952 bootfont.bin
23 Datei(en) 2'710'829'503 Bytes
0 Verzeichnis(se), 73'296'449'536 Bytes frei


So, hoffe dass ich nun alle erforderlichen Logfiles und Schritte erstellt hab, damit mir nun jemand bei der Behebung meiner Probleme helfen kann !
Danke schon mal herzlich im Voraus für die Hilfe !!!
Dieser Beitrag wurde am 05.08.2006 um 12:07 Uhr von Seluaner editiert.
Seitenanfang Seitenende
05.08.2006, 12:08
Moderator

Beiträge: 7802
#4 Oh ja, boeses Rootkit auf deinem Rechner:

"Rootkit driver pe386 is present. A rootkit scan is required"


Lade Blacklight und kopiere es in einen Extra Ordner http://www.f-secure.com/exclude/blacklight/index.shtml

starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mitr dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei. Den inhalt der Datei bitte hier posten.

Da das Rootkit aktiv ist, kann ich dir auch sagen, warum deine Internetverbindung so lahm ist. Dieses Rootkit braucht die ganze Bandbreite! Derzeit versendet dein Rechner massenhaft Spam ueber deine Leitung! Also solltest du garnicht, oder so weenig wie moeglich ins Internet gehen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 12:16
Member

Themenstarter

Beiträge: 12
#5 Hi !
Es hat mir keine TXT - Datei erstellt, sondern eine Datei namens:

fsbl_........log:

08/05/06 12:12:08 [Info]: BlackLight Engine 1.0.42 initialized
08/05/06 12:12:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/05/06 12:12:08 [Note]: 7019 4
08/05/06 12:12:08 [Note]: 7005 0
08/05/06 12:12:12 [Note]: 7006 0
08/05/06 12:12:12 [Note]: 7011 796
08/05/06 12:12:12 [Note]: 7026 0
08/05/06 12:12:12 [Note]: 7026 0
08/05/06 12:12:16 [Note]: FSRAW library version 1.7.1019
08/05/06 12:14:51 [Note]: 7007 0


Ist es das was Du brauchst ?
Seitenanfang Seitenende
05.08.2006, 12:26
Moderator

Beiträge: 7802
#6 Sh*t, das ist eine neuere Version, die Blacklight und gmer nicht finden. ;)

Dann mal die ganz harte Variante. Bitte *alle*(!) programme schliessen, Blacklight starten niomm den "Vertrag" an und dann *nicht* scan druecken, sondern den Netzstecker ziehen! Darum ist es wichtig alle Programme vorher zu beenden!

Nutzung des Tipps auf eigene Gefahr! Es geht auch anders, aber das ist ein ganzes ende komplizierter, wenn auch sicherer......

Solltset du dich fuer die Netzsteckervariante entscheiden, poste ein neu erstelltes combofix log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 12:31
Member

Themenstarter

Beiträge: 12
#7 Also....
werde mich mal für die Netzsteckervariante entscheiden und dann ein neues Combofix.log einstellen.
Bin also gespannt, was da geschieht.

Wie währe aber die harmlosere, sichere Variante ?


.....

So... habe nun also genau wie von Dir beschrieben nicht SCAN gedrückt, sondern den Netzstecker gezogen und nach 30 Sekunden wieder eingesteckt und PC hochgefahren.

Hier nun das aktuelle Combofix.log:

Start Time= 05.08.2006 12:35:41.93

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-05 11:29:20 ( .D... ) "C:\Programme\CleanUp!"
2006-08-04 10:32:04 ( .D... ) "C:\Programme\AntiVir PersonalEdition Premium"
2006-08-01 16:23:16 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-01 09:36:18 ( .D... ) "C:\Dokumente und Einstellungen\Pascal\Anwendungsdaten\Talkback"
2006-07-31 20:11:46 ( .D... ) "C:\Programme\Trend Micro"
2006-07-27 22:35:02 1064 ( A.... ) "C:\WINDOWS\system32\thk1e325.sys"
2006-07-27 22:35:02 1064 ( A.... ) "C:\WINDOWS\system32\thk1e325.sys"
2006-07-27 11:44:36 23552 ( A.... ) "C:\jwoft.exe"
2006-06-06 18:28:44 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-06-05 21:07:50 ( .D... ) "C:\Dokumente und Einstellungen\Pascal\Anwendungsdaten\Photocolor"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-04 10:32 57'384 C:\WINDOWS\system32\avsda.dll
2006-07-31 21:34 221'184 C:\WINDOWS\system32\wmpns.dll
2006-07-27 11:44 23'552 C:\jwoft.exe
2006-07-27 11:44 1'064 C:\WINDOWS\system32\thk1e325.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"CloneCDTray"="\"C:\\Programme\\CloneCD\\CloneCDTray.exe\" /s"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"CamMonitor"="C:\\Programme\\Hewlett-Packard\\Digital Imaging\\\\Unload\\hpqcmon.exe"
"Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Premium\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Logi_MwX"
"hkey"="HKLM"
"command"="Logi_MwX.Exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"inimapping"="0"




Contents of the 'Scheduled Tasks' folder

Completion time: 05.08.2006 12:36:11.54
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-08-05.123541.txt
Dieser Beitrag wurde am 05.08.2006 um 12:36 Uhr von Seluaner editiert.
Seitenanfang Seitenende
05.08.2006, 12:48
Moderator

Beiträge: 7802
#8 Ja, die aktion hat das Rootkit gekillt: "QuickScan did not find any signs of infected files" Internet sollte schon schneller sein...

Du solltest noch folgendes bei Jotti oder VT pruefen:

C:\jwoft.exe
C:\WINDOWS\system32\thk1e325.sys


Starte Hijackthis und gehe auf "open misc tools section" und dann auf "open ADS Spy". "Enthake" dort obigen Haken bei Quickscan, druecke scan und danach speichere das log und poste es hier.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 13:08
Member

Themenstarter

Beiträge: 12
#9 Das Resultat eines Scans bei Jotti:

Datei
C:\jwoft.exe

Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Die zweite Datei

C:\WINDOWS\system32\thk1e325.sys

Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

habe nun den Hijackthis genau wie von Dir beschrieben gestartet. Aber da erzeugt es mir kein Log, welches ich speichern kann !
Oder mach ich was falsch ?
Seitenanfang Seitenende
05.08.2006, 13:12
Moderator

Beiträge: 7802
#10 Nein, das hast du richtig gemacht. Wenn keine NTFS Streams da sind, kann man auch kein Log erstellen.

Schicke beide Dateien bitte an virus@protecus.de und mache einen Kontrollscan im abgesicherten Modus mit Drweb Cureit. http://www.drweb-online.com/de/cure_it.asp?rpid=
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 13:18
Member

Themenstarter

Beiträge: 12
#11 habe mal beide Dateien Komentarlos an virus@protecus.de gesendet.
(oder hätte ich was dazuschreiben müssen) ?

Und wie genau geht das mit dem Kontrollscan ?
Ich meine... muss ich mir da Drweb Cureit runterladen, installieren und dann meinen PC irgendwie in den abgesicherten Modus starten ?
Seitenanfang Seitenende
05.08.2006, 13:20
Moderator

Beiträge: 7802
#12 Ja, herunterladen, den Rechner im abgesicherten Modus starten und dann die Datei, die du heruntergeladen hast starten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 13:35
Member

Themenstarter

Beiträge: 12
#13 Habe mal Drweb Cureit einfach gestartet ohne dass Windows XP im abgesicherten Modus lief.
Da wurde nichts gefunden !
(wie starte ich denn meinen Rechner im abgesicherten Modus ??)

Und wenn ich jetzt wirklich dank Dir die Probleme gelöst habe, wie bleibe ich nun vor weiteren solchen lästigen Dingern immun ?

Ich habe auf meinem System ja Spyware Doctor, AntiVir und Adaware installiert.
zudem surfe ich mittels einem TV-Kabel-Modem (Motorola) welches an einem Linksys - Router (Firewall) hängt.

Ist evt. mein Firewall zuwenig sicher ? - muss ich den irgendwie anders konfigurieren ?
Seitenanfang Seitenende
05.08.2006, 13:42
Moderator

Beiträge: 7802
#14 Abgesiocherter Modus ist gut, aber nicht zwingend notwendig.

Ansonsten lese dir das mal ein wenig durch: http://board.protecus.de/t13020.htm

Grundsaetzlich zu den TIpps und Links aus obigen Link, man kann immer erwischt werden. Mit verstand ins Internet und man kann sich eine Menge an Programmen sparen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.08.2006, 13:51
Member

Themenstarter

Beiträge: 12
#15 Es hat geklappt !
Danke herzlich für Deine Hilfe !!!!
Seitenanfang Seitenende