| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Blackscreen mit ICQ LiteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.06.2006, 11:41
| #1 |
| |  Blackscreen mit ICQ Lite Hi folks, ich bin relativ neu hier und lange überlegt, ob ich mit meinem Problem hier richtig bin. Ich habe ein sehr merkwürdiges Problem mit dem Messenger ICQ-Lite, das sich wie folgt äußert: sobald ich das Programm öffne, habe ich einen kurzen Blackscreen und der Rechner friert ein. Dieses Verhalten kann ich 100%ig dem ICQ Client zuordnen. Sporadisch ist das Problem auch im Web beim surfen auf einigen Seiten aufgetreten, wo ich es aber nicht konkret zordnen kann. Ich habe das System deshalb neu aufgesetzt, was die Sache jedoch nicht behoben hat. Der Rechner läuft an sich optimal. Extrem schnell, schneller Bootvorgang, alle Spiele laufen perfekt und schnell und meine Anti-Malware Programme zeigen nicht den Hauch eines Befundes. Wirklich nichts, aber auch gar nichts, was mich ratlos macht, denn ICQ kann ich defacto nicht mehr benutzen, obwohl ich dringend brauche. Zur Sicherung meines Systems verwende ich: Kaspersky Personal Pro (v5) Trojan Hunter v4.5 die parallel laufen, dazu untersuche ich den PC wöchentlich mit AdAware und Spybot. Betriebssystem ist XP Pro @ Service Pack 2, alle wichtigen Sicherheitsupdates sind installiert. Ein Scan mit eScan erübrigt sich in meinen Augen, da ich die erweiterten Optionen von Kasperky nutze. Hier habe ich auch schon einige Einstellungen im Bereich des Programms versucht. Laut Info in den Kaspersky Foren verursacht der Stealth-Modus Probleme mit allen Messengern (ICQ, MSN). Der Blackscreen taucht aber auch auf, wenn der Netzwerkschutz deaktiviert bzw. Kasperky ganz aus ist. Weil ich naturgemäß paranoid veranlagt bin, habe ich dann noch Rootkit Revealer über das System laufen lassen, der in den Systemfiles auf einer meiner sekundären Platten einen ganzen Haufen versteckte Dateien gefunden hat. Alle unter: E:\System Volume Information\_restore{85D6C4E6-4337-4861-AF1B-F238CB440D32}\RP49\ Nach meinem jetzigen Stand also alles Teil der Systemwiederherstellung. Das ist aber bisher auch der einzige Ansatzpunkt, den ich habe. Die Files darin waren alle durchnummeriert: Start: A0039791 Ende: A0044036 darunter Anwendungen und .dlls, die ich bei der Suche mit Google dann auch einigen Trojanern zuorden konnte. Zumindest auf infizierten Systemen aus diesen Berichten setzten sich die Schädlinge auch in diesem Bereich (immer in A00XXXX.exe Dateien) fest. Ich habe deshalb die Systemwiederherstellung deaktiviert und den ganzen Ordner nach einer Anleitung von Windows Tweaks gelöscht. Vor allem, weil sich dort definitiv Dateien befunden haben, die Daten von vor der Formatierung (vor drei Tagen) getragen haben. Genau genommen verstehe ich nicht, wie sich dort überhaupt Daten von 2005 befinden konnten, da ich das System vor gut fünf Monaten einmal generalüberholt habe: alle Daten gesichert und die Platten mir Maxblast komplett neu formatiert. Theoretisch können Einträge wie dieser: E:\System Volume Information\_restore{85D6C4E6-4337-4861-AF1B-F238CB440D32}\RP49\A0039915.exe 26.03.2005 08:22 78.78 MB Visible in Windows API, but not in MFT or directory index. überhaupt nicht drinnen stehen. Woher hat das System diese Info, wenn ich es erst vor drei Tagen aufgesetzt habe? Hier zugegeben ohne die zusätzlichen Platten D: und E: mit zu formatieren, weil dort wichtige Projekte und Daten liegen, für die ich sicher 20 DVDs benötigen würde. Und nur falls nun jemand nach Filesharing-Clients fragen möchte:ich betreue eine Website zu einer Computerspielserie und die Menge an Daten ergibt sich aus meinem Archiv aus dieser Arbeit (Modifikationen, Level, Tools, etc.) Da sammelt sich in vier Jahren einiges an  Soweit zu meinem kleinen Monolog. Weiter gebracht haben mich alle diese Aktionen nicht. Start ICQ -> Blackscreen und Freeze. Ich dachte, ich beschreibe die Sache lieber ausführlicher, weil ich schon ein paar Tage auf der Fehlersuche bin. Ob ein HJT-Log noch Sinn macht, weiß ich nicht, ich poste es aber dennoch einmal:Logfile of HijackThis v1.99.1 Scan saved at 12:16:20, on 18.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Windows folder: C:\WINDOWS System folder: C:\WINDOWS\SYSTEM32 Hosts file: C:\WINDOWS\System32\drivers\etc\hosts Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.5\THGuard.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\HijackThis\HijackThis.exe /startupscan O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4BFFEF89-21FD-4008-8DBC-44F1A9CC7BF9}: NameServer = 192.168.1.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
| Themen zu Blackscreen mit ICQ Lite |
| adobe, bho, blackscreen, bootvorgang, dringend, drivers, einstellungen, excel, explorer, frage, google, hijack, hijackthis, infizierte, internet, internet explorer, neu aufgesetzt, nvidia, outlook express, problem, programm, programme, rootkit, rundll, scan, seiten, software, system, trojaner, träge, tuneup utilities, windows xp, windows\system32\drivers |
Baum-Darstellung