Home » Viren, Trojaner & Malware Forum » Rechner fährt selbständig runter! » Themenansicht

Rechner fährt selbständig runter!
#0
25.02.2007, 12:40
Ascapha
...neu hier

Beiträge: 10
#1 Grüße Euch!

Ich hoffe Ihr könnt mir bei meinem Problem helfen.

Seit ca. einem halben Jahr fährt mein Rechner selbständig runter, allerdings nur bei Spielen, Bsp. Oblivion.

Nach Deaktivierung des automatischen Neustarts, bekomme ich zwar einen Bluescreen aber einen leeren.

Zuerst dachte ich an ein Hitzeproblem und reinigte meine Lüfter von Staub, experimentierte mit Zusatzlüftern, etc. Obwohl diverse Programme immer eine normale Temperatur angaben.

Dann habe ich Virenscanner durchlaufen lassen, Ad-Aware, Regseeker.

Hat leider alles nichts gebracht, das Ding haut trotzdem ab.

Ich habe eben ein Hijack-Protokoll erstellt, kann das selber allerdings nicht wirklich auswerten.

Ich habe einen Athlon 64 3400+ 2,4 GHz, 2GB RAM Onboard LAN und Sound auf Jetway S755MAX
mit einer ATI Radeon 9600 XT 256 MB
und einer Fritz! DSL-Karte

Und hier noch das Hijack- Protokol:

Logfile of HijackThis v1.99.1
Scan saved at 12:16:37, on 25.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Win-Protokoll\wpservice.exe
C:\Programme\Win-Protokoll\ntmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Programme\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Programme\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dmzha.exe] C:\WINDOWS\system32\dmzha.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB0F9EAE-F367-45CC-A22E-B09899EC477B}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0AB70B3-CF19-4445-B347-BF4D58BA608F}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{E35658F3-8CCD-4308-9E58-5AC6041FDFDC}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3942044-0340-4858-92B1-2B3ED27E142F}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WPService - Unknown owner - C:\Programme\Win-Protokoll\wpservice.exe

Ich hoffe Ihr könnt mir helfen und Danke im Vorraus

Gruß, Ascapha
Seitenanfang Seitenende
25.02.2007, 13:22
joschi
Moderator
Avatar joschi

Beiträge: 6466
#2 ?=> O4 - HKLM\..\Run: [dmzha.exe] C:\WINDOWS\system32\dmzha.exe
?=> C:\Programme\Win-Protokoll\ntmgr.exe
?=> C:\Programme\Win-Protokoll\wpservice.exe

Das System ist möglicherweise nicht ganz sauber; verschiebe das mal ins Virenforum.
Kanns die Dateien mal bei virustotal.com scannen !?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.02.2007, 22:34
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#3 Hab ich. Seltsamerweise ist die Erste Datei unauffindbar, die beiden anderen sind sauber. Habe ein neues Log erstellt aber auch nach Neustart sit die erste Datei weg.

Logfile of HijackThis v1.99.1
Scan saved at 22:27:47, on 25.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Win-Protokoll\wpservice.exe
C:\Programme\Win-Protokoll\ntmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\hijackthis\HijackThis.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Programme\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Programme\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dmfph.exe] C:\WINDOWS\system32\dmfph.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB0F9EAE-F367-45CC-A22E-B09899EC477B}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0AB70B3-CF19-4445-B347-BF4D58BA608F}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{E35658F3-8CCD-4308-9E58-5AC6041FDFDC}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3942044-0340-4858-92B1-2B3ED27E142F}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WPService - Unknown owner - C:\Programme\Win-Protokoll\wpservice.exe
Seitenanfang Seitenende
25.02.2007, 22:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Ascapha

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O1 - Hosts: localhost 127.0.0.1

O4 - HKLM\..\Run: [dmfph.exe] C:\WINDOWS\system32\dmfph.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB0F9EAE-F367-45CC-A22E-B09899EC477B}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0AB70B3-CF19-4445-B347-BF4D58BA608F}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{E35658F3-8CCD-4308-9E58-5AC6041FDFDC}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3942044-0340-4858-92B1-2B3ED27E142F}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\..\{92A72858-F18F-4EEA-BC8C-7149996B52E2}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
««
anwenden - poste den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html

bevor du den report postest:

««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc
TCP/IP-NetBIOS-Hilfsprogramm - Deaktivieren

»»
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.02.2007, 17:45
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#5 Ok, alles erledigt, nur der Punkt:

Zitat

««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken
[/b]

sorgt dafür das mein Einwahlprogramm nach 2 Sekunden ausschaltet. Mußte es rückgängig machen.

Die Protokolle:

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\CurrentVersion\Run\ ="dmetp"
HKLM\SOFTWARE\~\Winlogon\ "System"="cseya.exe"

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\version\Run\ "dmetp"
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "xedocne" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "repiwoh" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "23plhps" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "mgcppp" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "tesvaf" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "nlcalik" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "}12F78F8EA866-E5EB-B874-8E8E-568B2500{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "}45E1B88F05AB-F2EA-B244-EF4D-A1400490{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "ptemd" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "xedocne" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "gib_ogol" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "repiwoh" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "llun" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "23plhps" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "mgcppp" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "tesvaf" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "nlcalik" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm" Deleted
HKLM\~\currentversion\run "dmetp.exe" Deleted
C:\WINDOWS\System32\dmetp.exe Deleted
C:\WINDOWS\System32\csbuz.exe Deleted
....
»»»»» Misc files.
C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\kc.tmp Deleted
C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\uns.tmp Deleted
C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\wo.tmp Deleted
C:\WINDOWS\RDT.INI Deleted
C:\WINDOWS\System32\close.bmp Deleted
C:\WINDOWS\System32\dating.bmp Deleted
C:\WINDOWS\System32\favset.exe Deleted
C:\WINDOWS\System32\gambling.bmp Deleted
C:\WINDOWS\System32\howiper.exe Deleted
C:\WINDOWS\System32\idesk.conf Deleted
C:\WINDOWS\System32\insurance.bmp Deleted
C:\WINDOWS\System32\kilacln.exe Deleted
C:\WINDOWS\System32\pharmacy.bmp Deleted
C:\WINDOWS\System32\spyware.bmp Deleted
C:\WINDOWS\System32\xxx.bmp Deleted
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

C:\WINDOWS\system32\csdob.exe 51724 26.09.2006


Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.Jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"AWatch"="C:\\Programme\\FRITZ!DSL\\Awatch.exe"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"LifeCam"="\"C:\\Programme\\Microsoft LifeCam\\LifeExp.exe\""
"VX3000"="C:\\WINDOWS\\vVX3000.exe"
"SoundMan"="SOUNDMAN.EXE"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


Logfile of HijackThis v1.99.1
Scan saved at 17:27:08, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Win-Protokoll\wpservice.exe
C:\Programme\Win-Protokoll\ntmgr.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Programme\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Programme\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WPService - Unknown owner - C:\Programme\Win-Protokoll\wpservice.exe

Ich hab' noch nicht getestet, ob das Problem evtl. schon behoben ist, hatte leider keine Zeit für Spiele aber auf jeden fall schonmal vielen Dank für die bisherige Hilfe.
Seitenanfang Seitenende
26.02.2007, 23:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Ascapha

das sieht schon mal gut aus, dank fixwareout ;)
scanne mit ewido und poste hier den report - dann vergiss nicht alles, was gefunden wurde, loeschen zu lassen
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2007, 17:07
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#7 So! Auch erledigt.


ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Downloader.Agent.uj
Path: C:\WINDOWS\system32\csdob.exe
Risk: High

Name: TrackingCookie.2o7
Path: :mozilla.8:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.29:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.30:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.31:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.33:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.37:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Bfast
Path: :mozilla.43:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Bfast
Path: :mozilla.44:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.45:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.46:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.47:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.50:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: :mozilla.60:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: :mozilla.61:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.83:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.84:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.85:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.86:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.87:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.88:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.89:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.96:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.97:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.98:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.99:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: :mozilla.105:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: :mozilla.121:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: :mozilla.124:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Esomniture
Path: :mozilla.143:C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\s550s0gd.default\cookies.txt
Risk: Medium

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP352\A0145949.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP352\A0145957.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP352\A0145958.exe
Risk: High

Name: Hijacker.Small.kg
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP352\A0145961.exe
Risk: High

Name: Trojan.Hoster
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP352\A0145962.exe
Risk: High

Name: Adware.KillAndClean
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP352\A0145963.exe
Risk: Medium

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP316\A0066949.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP317\A0074957.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP327\A0085334.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{63A20BFD-A775-4772-ADEC-C12FD255608A}\RP329\A0085518.exe
Risk: High

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Recycled\Dd114.rar/IncrediMail Xe Premium 4.00 Build 1874\Incredimail13xx-14xxgoldpatch.exe
Risk: Low
Seitenanfang Seitenende
01.03.2007, 18:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
ewido:
alles loeschen lassen: "remove infections" klicken

»»
noch mal mit fixwareout scannen

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
/dann wieder aktivieren

es muesste wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2007, 21:56
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#9 Ja, Super! Erstmal vielen Dank!

Ich werd' dann sehen ob mein Problem jetzt weg ist und schreib' dann nochmal 'ne Bestätigung.

Der Report von Fixwareout noch, für alle Fälle:
Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.Jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"AWatch"="C:\\Programme\\FRITZ!DSL\\Awatch.exe"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"LifeCam"="\"C:\\Programme\\Microsoft LifeCam\\LifeExp.exe\""
"VX3000"="C:\\WINDOWS\\vVX3000.exe"
"SoundMan"="SOUNDMAN.EXE"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
Seitenanfang Seitenende
02.03.2007, 09:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.03.2007, 14:56
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#11 Ups! Jetzt hab' ich schon gelöscht, hatte 3 Cookies erwischt.


Scanning Report
Friday, March 02, 2007 13:42:03 - 13:56:50

Computer name: MICHEL1
Scanning type: Scan target for viruses, rootkits, spyware
Target: C:\
Result: 0 malware found
Statistics
Scanned:

* Files: 30414
* System: 4945
* Not scanned: 4

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\HIBERFIL.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD4493.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\DTSCSI.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

* F-Secure Libra: 2.4.2, 2007-03-02
* F-Secure AVP: 7.0.171, 2007-03-02
* F-Secure Orion: 1.2.37, 2007-03-02
* F-Secure Blacklight: 1.0.53, 0000-00-00
* F-Secure Draco: 1.0.35, 0260-02-44
* F-Secure Pegasus: 1.19.0, 2007-02-01

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics
Seitenanfang Seitenende
02.03.2007, 17:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 es ist wieder alles i.o. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.03.2007, 18:01
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#13 Angesichts der Unmengen an Trojanern und anderem Gezeugs, die gelöscht wurden, bin ich zwar dankbar aber mein eigentliches Problem besteht leider weiterhin. Immer noch nichtssagender Bluescreen, diesmal bei WoW.
Seitenanfang Seitenende
03.03.2007, 16:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 rechtsklick auf Arbeitsplatz -> Eigenschaften -> Erweitert -> "Starten und Wiederherstellen" -> Taste "Einstellungen" -> Häkchen vor "Automatisch Neustart durchführen" wegnehmen. Wenn er dann wieder abgestürtzt ist, gehe ins Systemprotrokoll (wenn möglich) -> Start -> Ausführen -> eventvwr.msc

Schau nach Fehlern unter System und Anwendung

--------

dann solltest du auch diese nummer notieren, die beim Bluescreen erscheint....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2007, 22:44
Ascapha
...neu hier

Themenstarter

Beiträge: 10
#15 Häkchen weg, leider weiß ich nicht wie man bei einem Bluescreen in's Systemprotokoll kommt!?

Unter eventvwr.msc finde ich nur Fehler bei Anwendungen von 2006.

Und leider zeigt er mir im Bluescreen keine Nummer, er ist komplett blank. Naja, manchmal sind ein paar komische Symbole drauf, das sieht mir aber sehr nach Fehler in der Darstellung aus.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 12