Moin

dein Problem sitzt auch hier

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Servicepack 2 ist schon seit einigen Jahren Pflicht.

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Lass diese Dateien :
C:\WINDOWS\system32\scsoft.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\System32\a.exe
C:\WINDOWS\System32\srrstr32.dll
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du solltest dich auch schon mal mit dieser Anleitung vertraut machen --> Neuaufsetzen des Systems und anschliessende Absicherung!
aber poste bitte erstmal die Ergebnisse.

MFG

Zitat:

Zitat von nochdigger

Lass diese Dateien :
C:\WINDOWS\system32\scsoft.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\System32\a.exe
C:\WINDOWS\System32\srrstr32.dll
hier Virustotal
oder hier Jotti
überprüfen.

Dieser Kandidat wollte auch beim großen Finale dabei sein:
C:\WINDOWS\System32\qmedia.exe

Gruß

Marc

so ich hab jetzt das system noch mal neu aufgesetzt nach der anleitung von :Neuaufsetzen des Systems und anschliessende Absicherung!
hab firefox drauf gemacht der ist aber auch schon wieder ein paar mal abgestürtzt und der (live) msn messenger auch. ich hänge mal noch die neue hijackthislog file unten dran ich hoffe die sieht jetzt besser aus !



Logfile of HijackThis v1.99.1
Scan saved at 05:19:27, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\PhunkSOuL\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {97343485-39DE-49E1-85C6-8B3E986FCF0E} - C:\WINDOWS\system32\termsrvd.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{826F96FA-BAF1-4794-9B44-6A050E4CCEA7}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Moin

Neuinstalliert und schon eine Schaddatei auf dem Rechner entweder solltest du dein Surfverhalten überdenken oder eine deiner Sicherungen, wenn vorhanden, ist nicht sauber.

Mach bitte alle versteckten Dateien und Ordner sichtbar, starte dann HijackThis und fixe (Eintrag anhaken und - fix checked - klicken) diesen Eintrag :

O2 - BHO: (no name) - {97343485-39DE-49E1-85C6-8B3E986FCF0E} - C:\WINDOWS\system32\termsrvd.dll

wechsel nun in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :
C:\WINDOWS\system32\termsrvd.dll

leere den Papierkorb und starte dein System neu in den normalen Modus und berichte.

MFG

"Mach bitte alle versteckten Dateien und Ordner sichtbar, starte dann HijackThis und fixe (Eintrag anhaken und - fix checked - klicken) diesen Eintrag :

O2 - BHO: (no name) - {97343485-39DE-49E1-85C6-8B3E986FCF0E} - C:\WINDOWS\system32\termsrvd.dll

wechsel nun in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :
C:\WINDOWS\system32\termsrvd.dll"


hab ich alles gemacht das letzte :

wechsel nun in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :
C:\WINDOWS\system32\termsrvd.dll"

ich konnte die datei termsrvd.dll nicht finden nur eine datei mit dem namen termsrv.dll die hab ich aber nicht gelöscht wollte hier lieber nach fragen.

hast du dich ver tippt oder warum kann ich die datei nicht bei mir finden ?!?

Moin

Zitat:

hast du dich ver tippt oder warum kann ich die datei nicht bei mir finden ?!?

nö, die Datei steht auch so in deinem Log und ich bin der Überzeugung das es sich hierbei um den selben Freund handelt wie hier --> http://www.trojaner-board.de/36805-h...tml#post256824

Hast alle Dateien und Ordner sichtbar gemacht (evtl. ist die Datei schon gelöscht worden)?

Kontrolliere per HJT ob der Eintrag noch da ist.

MFG

hmm... nein der fährt eigentlich recht schnell hoch.
aber der msn messenger stürzt in unregelmäsigen abständen imma ab und der firefox auch woran könnte es den liegen ?!?
ich sende mal noch ne loglifile.


Logfile of HijackThis v1.99.1
Scan saved at 14:39:50, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\PhunkSOuL\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{826F96FA-BAF1-4794-9B44-6A050E4CCEA7}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe