MSN + GAIM stürtzen seit gestern nur noch ab

#1 Hallo

die Suchfunktion hat leider nicht zum Erfolg geführt, auhc google hat mir nicht wirklich geholfen.
lange Zeit lief alles super auf meinem laptop. aber seit gerstern, funktioniert msn nicht mehr, besser gesagt, wenn ich es starte , ist es ein paar sekunden online, dann kommt der super fehlerbericht senden von windows und msn schliesst sich. Erneutes starten führt nicht zum erfolg. Aktionen, die ich bisher durchgeführt habe: deinstallieren von Windows Live Messenger, neueste version (?) geladen. Auch dort tritt der Fehler wieder auf. Msn ist jetzt deinstalliert. Über hijackthis alle msn-einträge gelöscht.

Habe dann msn über GAIM vom USB-STick/ laptop gestartet...dort geht es ein bischen besser. aber auch dort stürtzt er ab, wenn jemand oder ich versuche ne nachricht zu schreiben.
Ich habe in der letzten woche nur die Windows updates gezogen (ob es damit zusammenhängt)

Icq und yahoo funktionieren einwandfrei. Seit gestern stürtzt auch firefox häufiger ab.

Ich kann ausserdem combofix nicht durchlaufen lassen. Folgender screen bleibt über 35 minuten so ( schicke ich als antwortpost, man kann hier wohl ncih zwei anlagen posten). Steht auf jeden fall dort, dass das system den angegeben pfad nich finden kann. darunter dann almost done........
Unter C:\ finde ich nur ComboFix.txt.bat........aber keine .txt.

ich habe in der eireignisanzeige > anwendungen + sytem (unter verwaltung> computerverwaltung) jedes mal einträge, wenn msn abstürtzt. aber auch warungen sind dabei. einen ausschnitt von gestern bis heute füge ich als anlage hinzu ( anwend-sytem.txt)


**** wenigstens hijackthis funktioniert. hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:06, on 2007-06-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\IDispChg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\ComboFix\catchme.cfexe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\mmc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Nils\Desktop\HJT\HJT.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [ICQ Lite] REM "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Status] REM C:\Programme\Anycom\EASY ISDN\Status.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [REGSHAVE] REM C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] REM "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] REM "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AutoStart-Manager 2006] "C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BitTorrent] REM "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


***Antivir, spybot und ad-aware haben nichts gefunden. Auch der Onlinescanner von pandasoftware hat gestern nichts gefunden. Ich hoffe ihr könnt mir weiterhelfen. Und wenn ihr noch Infos benötigt, immer raus damit.


LG

pluzz
[/img]

#2 Hi,

vielleicht hilft das weiter:
http://board.protecus.de/t29918.htm

Bitte Arnold ansprechen, der kennt sich mit MSN aus...

Chris

#3 diesen thread habe ich über die suche auch gefunden, nur hilft er mir nicht weiter. wenn ich combofix.exe starte kommt nicht wie in der anleitung http://virus-protect.org/artikel/tools/combofix.html, dass ich Y drücken muss. Ich doppelklicke combofix.exe...es er scheint ein dos-fenster , wo oben erst combofix steht....dann nur ein punkt...dann auto scan.... hab mal n screenshot vom ersten fenster gemacht.

bei autoscan gehts ja wie o.g nicht weiter....gerade eben hat sich aber ein zweites dos-fenster aufgemacht. Dieses nennt sich C./ComboFix/catchme.cfexe. Im gegensatz zu den combofix-fenstern hat dieses keine blaue sondern eine schwarze schrift. dort steht auch etwas von rootkit.....

beim durchlaufen von combofix waren alle progs geschlossen und datenträgerbereinigung ist vorher durchgelaufen

#4 Hi,

wie gesagt, Arnold ist der MSN-Spezi;

Zur Vorbereitung das hier abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles *haben wir ja schon ;o)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Gruß,
Chris

#5 Ok dann machen wir mal weiter erstmal ^^

-- temporäre datein sind gelöscht


Hier die einzelnen Verzeichnisse aus datfind.bat:


Verzeichnis von C:\WINDOWS\system32

2007-06-20 23:12 30,590 pavas.ico
2007-06-20 23:12 1,406 Help.ico
2007-06-20 23:12 2,550 Uninstall.ico
2007-06-20 13:08 2,206 wpa.dbl
2007-06-15 00:25 962,742 PerfStringBackup.INI
2007-06-15 00:25 62,678 perfc009.dat
2007-06-15 00:25 401,398 perfh009.dat
2007-06-15 00:25 416,044 perfh007.dat
2007-06-15 00:25 75,392 perfc007.dat
2007-06-13 20:57 4,254 jupdate-1.6.0_01-b06.log
2007-06-13 11:52 90,296 FNTCACHE.DAT
2007-06-13 11:48 122,142 TZLog.log
2007-06-05 23:38 15,747,032 MRT.exe
2007-05-16 17:11 683,520 inetcomm.dll
2007-05-04 14:27 3,079,680 mshtml.dll
2007-04-25 16:22 144,896 schannel.dll
2007-04-18 18:13 2,854,400 msi.dll
2007-04-18 14:31 664,576 wininet.dll
2007-04-18 14:31 617,472 urlmon.dll
2007-04-18 14:31 146,432 msrating.dll
2007-04-18 14:31 39,424 pngfilt.dll
2007-04-18 14:31 474,624 shlwapi.dll
2007-04-18 14:31 449,024 mshtmled.dll
2007-04-18 14:31 532,480 mstime.dll
2007-04-18 14:31 1,494,528 shdocvw.dll
2007-04-18 14:31 152,064 cdfview.dll
2007-04-18 14:31 1,023,488 browseui.dll
2007-04-18 14:31 251,392 iepeers.dll
2007-04-18 14:31 96,768 inseng.dll
2007-04-18 14:31 357,888 dxtmsft.dll
2007-04-18 14:31 55,808 extmgr.dll
2007-04-18 14:31 205,312 dxtrans.dll
2007-04-18 14:31 16,384 jsproxy.dll
2007-04-18 14:31 1,056,256 danim.dll
2007-04-18 12:27 123,392 xpsp3res.dll
2007-04-16 17:53 1,058,304 kernel32.dll
2007-04-04 12:38 45,056 scrvid.dll
2007-04-02 14:21 428,032 swreg.exe
2007-03-17 15:44 293,376 winsrv.dll
2007-03-15 18:17 310,784 WgaTray.exe
2007-03-15 18:17 183,808 WgaLogon.dll
2007-03-14 02:04 139,264 javaws.exe
2007-03-14 02:04 69,632 javacpl.cpl
2007-03-14 00:31 135,168 javaw.exe
2007-03-14 00:31 135,168 java.exe
2007-03-08 17:36 281,600 gdi32.dll
2007-03-08 17:36 579,072 user32.dll
2007-03-08 17:36 40,960 mf3216.dll
2007-03-08 17:32 1,843,712 win32k.sys
2007-03-08 13:44 0 SBFC.dat
2007-03-08 13:44 0 SBRC.dat
2007-02-28 18:02 2,059,904 ntkrnlpa.exe


Verzeichnis von C:\DOKUME~1\Nils\LOKALE~1\Temp

2007-06-21 17:27 101,925 datfind.txt
2007-06-21 16:50 16,384 ~DFB300.tmp
2007-06-21 16:50 426 IMT86A.xml
2007-06-21 16:50 2,002 IMT869.xml
2007-06-21 16:50 798,234 IMT86B.xml
2007-06-21 14:26 798,234 IMT865.xml
2007-06-21 14:26 426 IMT864.xml
2007-06-21 14:26 2,002 IMT863.xml
2007-06-21 14:25 22,551 zkiprdsz.txt
9 Datei(en) 1,742,184 Bytes
0 Verzeichnis(se), 1,521,057,792 Bytes frei


Verzeichnis von C:\WINDOWS

2007-06-21 14:42 1,640,946 WindowsUpdate.log
2007-06-20 23:55 877,896 setupapi.log
2007-06-20 23:11 0 0.log
2007-06-20 23:11 159 wiadebug.log
2007-06-20 23:10 2,048 bootstat.dat
2007-06-20 23:10 32,618 SchedLgU.Txt
2007-06-20 23:10 50 wiaservc.log
2007-06-20 22:07 177,879 setupact.log
2007-06-20 18:10 55,232 DPINST.LOG
2007-06-13 11:51 2,910 COM+.log
2007-06-13 11:51 30,175 tabletoc.log
2007-06-13 11:51 28,524 KB935839.log
2007-06-13 11:51 29,608 msgsocm.log
2007-06-13 11:51 184,742 msmqinst.log
2007-06-13 11:51 207,102 comsetup.log
2007-06-13 11:51 272,540 tsoc.log
2007-06-13 11:51 41,012 MedCtrOC.log
2007-06-13 11:51 103,509 netfxocm.log
2007-06-13 11:51 123,830 ntdtcsetup.log
2007-06-13 11:51 667,785 iis6.log
2007-06-13 11:51 285,920 ocgen.log
2007-06-13 11:51 32,691 ocmsn.log
2007-06-13 11:51 586,538 FaxSetup.log
2007-06-13 11:51 1,374 imsins.log
2007-06-13 11:50 28,161 KB935840.log
2007-06-13 11:50 1,374 imsins.BAK
2007-06-13 11:50 28,497 KB929123.log
2007-06-13 11:50 32,129 KB933566.log
2007-06-13 11:50 35,691 updspapi.log
2007-06-13 11:49 17,991 KB927891.log
2007-06-13 11:49 22,284 KB930916.log
2007-06-13 11:49 22,226 KB932168.log
2007-06-13 11:49 2,460 ie7_main.log
2007-06-13 11:49 20,363 KB931261.log
2007-06-13 11:49 20,670 KB930178.log
2007-06-13 11:49 21,832 KB931784.log
2007-06-13 11:48 20,583 KB925902.log
2007-06-13 11:48 28,951 KB931836.log
2007-06-13 11:48 18,456 KB926436.log
2007-06-13 11:48 18,670 KB918118.log
2007-06-13 11:48 19,037 KB927779.log
2007-06-13 11:48 13,680 KB924667.log
2007-06-13 11:48 16,051 KB927802.log
2007-06-13 11:48 15,525 KB928843.log
2007-06-13 11:47 15,605 KB928255.log
2007-06-13 11:47 14,479 KB929969.log
2007-06-05 05:24 87,552 catchme.exe
2007-05-30 01:42 1,286 mozver.dat
2007-05-29 13:55 751 win.ini
2007-05-13 18:07 43,447 wmsetup.log
2007-05-13 18:07 316,640 WMSysPr9.prx
2007-04-29 14:52 1,958 ModemLog_Anycom EASY ISDN - Modem.txt
2007-04-29 14:52 2,020 ModemLog_TOSHIBA Software Modem.txt
2007-03-28 23:36 0 nsreg.dat
2007-03-21 12:49 19,726,207 discwriter.log
2007-03-21 12:35 0 OrangeBurn.log



P.S.: Ich denke nicht unbedingt, dass ein MSN Fehler vorliegt....eher dass mein sytem vllt korrupt ist...gerade weil combofix so ganz andere sachen anzeigt,als in der anleitung beschrieben

#6 Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} –
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

download jre-6-windows-i586.exe
Srcolle runter nach ---->Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6-windows-i586.exe”

Nochmal ComboFix
Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Kopiere den Inhalt des Berichts C:/Combofix/combofix.txt in dein folgender Bericht
__________
MfG Argus

#7 So ich habe jetzt die Einträge bei hijackthis gelöscht, Java habe ich vor 2 wochen geupdatet und alles aus Software gelöscht. Egal, sicherheitshalber habe ich deinstalliert und wie o.g neu installiert.
Als Standardbrowser nutze ich Firefox 2.0.0.4

Aber ComboFix läuft immer noch nicht zu ende. habe gerade 24 minuten gewartet und es kommt nach AutoScan immer nur das Fenster (wie in der Grafik zu sehen setht dort "Das Sytem kann den angebenen Pfad nicht finden". siehe anlage)


Gerade eben ist beim abschreiben des textes (vorher waren alle progs geschlossen, habe nichts angerührt) wieder dieser schwarze bildschirm gekommen mit dem rootkit-text (siehe grafik combo2.jpg oben).

ComboFix läuft nicht zu ende durch und es wird auch keine text-datei in C erstellt.
Soll ich es noch länger durchlaufen lassen ?