Dropper PurScan.B

tina11112 · 06.09.2004, 04:26

hallo,

ich habe jetzt die ganzen viren gelöscht.

nun hab ich folgendes problem

jedesmal geht ein fenster auf (bis zu 100 mal auf einmal), in dem steht:

runtime error
program: C:\program~1\common~1\tsa\ts1.exe
abnormal program termination

kann mir bitte jemand sagen, was das ist??

liebe grüße
tina

MountainKing · 06.09.2004, 10:18

Es gibt eine neuere Version hijackthis, besorge die dir bitte und poste eine neues Log:

http://www.hijackthis.de/hijackthis_198.zip

ts1.exe sagt mir leider gar nichts, hast du denn eine Ahnung, ob das zu einem von dir installierten Programm gehört? Dieses TSA, zu dem es gehört, scheint mir aber ebenfalls ein Schädling zu sein, fixe den dazugehörigen Eintrag mal:

O4 - HKLM\..\Run: [Tsa] C:\PROGRA~1\COMMON~1\tsa\tsm.exe

bzw. den der sich auf C:\program~1\common~1\tsa\ts1.exe bezieht in deinem aktuellen Logfile.

tina11112 · 06.09.2004, 17:47

hallo,
hier mein log:

Logfile of HijackThis v1.98.2
Scan saved at 18:40:44, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
D:\quicktime\qttask.exe
D:\antivir\AVGNT.EXE
D:\TINA\TROJANCHECK\Trojancheck 6\tcguard.exe
C:\PROGRA~1\COMMON~1\tsa\tsm.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
D:\antivir\AVGUARD.EXE
D:\antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\COMMON~1\tsa\ts.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Martina\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O1 - Hosts: 127.98.9.1 .b9
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\YAHOO\Messenger\ycomp.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\YAHOO\Messenger\ycomp.dll (file missing)
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TINA\TROJANCHECK\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [SmcService] D:\sygate\smc.exe -startgui
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\TINA\msn\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\TINA\msn\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

scheint was ganz und gar nicht in ordnung zu sein.
außerdem hab ich die ganze zeit die mist-werbung-popups.

naja, mal sehen, was du dazu sagst

gruß
tina

MountainKing · 06.09.2004, 18:04

Um Himmelswillen, wo kommen denn die ganzen Einträge her. Hast du das denn bereits mit HJT versucht zu fixen?

Dein System ist leider nicht gepatched und daher anfällig für eine große Anzahl von Schädlingen, die auf Sicherheitslücken von Windows aufsetzen. Du musst UNBEDINT www.windowsupdate.com besuchen und alle Patches installieren. Alternativ gibt es das Service Pack 2 auf den Cd´s nahezu aller aktuellen PC-Zeitschriften, du kannst dir auch das besorgen und installieren. Wie auch immer, solange das nicht geschieht, bringt das Fixen wahrscheinlich sehr wenig. Aktiviere zunächst mal auf jeden Fall die XP-Firewall für deine Onlineverbindung: Start/Einstellungen/Netzwerkverbindungen/ dann Rechtsklick auf die Verbindung/Erweitert und dann aktivieren.

Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Dann fixe in HJT:

C:\PROGRA~1\COMMON~1\tsa\tsm.exe

ALLE Einträge dieser ts.exe: C:\PROGRA~1\COMMON~1\tsa\ts.exe

O1 - Hosts: 127.98.9.1 .b9
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Hijackthis hat auch eine Backup-Funktion, falls etwas nicht mehr gehen sollte.
Aber wie gesagt, du MUSST updaten, sonst ist das alles für die Katz. Vielleicht wäre es sowieso besser, du machst dein System von Grund auf neu, es scheint da doch eine Menge im Argen zu sein.

tina11112 · 06.09.2004, 18:38

bin gerade dabei, alle updates runterzuladen. aber das dauert ewig.

Dropper PurScan.B

Log-Analyse und Auswertung: Dropper PurScan.B