Trojaner-Board - Pc schaltet sich während des scans ab

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pc schaltet sich während des scans ab (https://www.trojaner-board.de/40649-pc-schaltet-waehrend-scans-ab.html)

Pc schaltet sich während des scans ab

erst mal ein hallo an euch:) und ein bittäää helfen.
irgendwer oder was ist auf meinem pc, der den spywaredoctor nicht updaten und den kapersky nicht löschen lässt. egal ob ich im internet war, oder nicht werden immer 4 gefährliche objekte gefunden. die laufenden prozesse werden immer mehr und es sind immer mindestens 12 MB datenverkehr im taskmanager zu erkennen, obwohl ich nicht online bin. ich habe das gefühl, dass wenn man dem *etwas* zu nahe kommt er den pc zum abschalten veranlässt. *er* lässt mich keine recovery cd erstellen, die ich für ein neuaufsetzen benötigen würde, weil der pc permanent abstürzt.oft kommt die meldung device detector hat ein problem festgestellt und nvida twin *irgendwas* kann nicht beendet werden. pc und internet sind ziemlich lahm.

so ein logfile hab ich grad noch geschafft,...nicht vergessen ich bin DAUs mum:)
---
Logfile of HijackThis v1.99.1
Scan saved at 19:30:11, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\NovaStor\NovaBACKUP\NbkCtrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=Q305&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=Q305&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [NovaBackup 7 Tray Control] "C:\Programme\NovaStor\NovaBACKUP\NbkCtrl.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Prog

Cooler Nick! :D Noch toller wär er übrigens, wenn du statt des Akzents tatsächlich den Apostroph benutzt hättest. ;) Er befindet sich neben dem ä, direkt über der #. ;)
/moralapostel :blabla:

Zum Thema:
Ich kann auf Anhieb nichts erkennen (was wohl bedeutet, dass du nen gutgeschriebenen Trojaner an Bord hast), daher ist es notwendig, dass du uns sagst, welche 4 gefährlichen Dateien erkannt werden.

Wie sehen die Abstürze aus? Geht der Rechner einfach aus? Oder startet er neu?
Wenn er neustartet, kannst du unter:
Start -> Einstellungen -> Systemsteuerung -> System -> Erweitert -> Starten und Wiederherstellen -> Einstellungen den Haken bei "Automatisch Neustart durchführen" entfernen und bekommst so die Möglichkeit eine (hoffentlich erscheinende) Fehlermeldung zu begutachten. Die Meldung rausschreiben und hier posten oder bei google nach Informationen dazu suchen.

EDIT: Es könnte natürlich auch ein Problem zwischen und spywaredoctor und kaspersky bestehen. Deinstalliere eins von beiden und schau mal ob die Probleme besser werden.. :)

lg myrtille

so , da bin ich wieder und weil ich nach hausfrauenart, sämtliche datein und sonstiges, die bös klingen gelöscht hab:( ,....damit ich wenigstens irgendetwas geht und siehe da ich komm wenigstens wieder zu euch;) die 4 kasperky viren zeigt kaspersky nicht mehr an, spydoctor findet auch nichts aber ich
hab e-gescannt .....auf den ersten blick:schrei: ...ich liebe meinen sohn;)

die abstürze gibts nach meiner löschaktion keine mehr, aber der pc lahmt noch trotzdem noch
was soll ich als nächstes machen?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mwsoemon Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\WINDOWS\system32\sw
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\fun web products !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\funwebproducts !!!
Offending Key found: HKCU\Software\mywebsearch !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Buena Vista Games\Himmel und Huhn\GENESIS.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\MUSICMATCH\MUSICMATCH Update\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 83504
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 118
Dauer des Scans bisher: 00:56:25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:07:22,17
Batchende: 19:07:54,90

Hallo,

versuche es mal mit Panda Activscan. Scheint so, das der Trojaner (trojan-downloader.bat.ftp.ab)damit beseitigt werden kann. Poste anschließend ein neues HJT-Logfile

Kostenloses Online-Virenschutzprogramm. ActiveScan. Panda Software.

Allerdings solltest du dir lieber neu aufzusetzen, bei einem kompromittierten System.

Gruss :crazy:

kurze zwischendurchfrage:
der panda sucht zwar noch und findet natürlich...muss ich den jetzt auch noch kaufen?...sorry freeware gefunden...

und neuaufsetzen wäre schön...ich habe leider so einen vorinstallierten H*-PC-Traum, wo keine recovery cd dabei war und cd erstellen lässt mein pc nicht mehr zu im moment:o

und das ganze panda wieder von vorne: IEXPLORE.EXE hat ein Problem festgestellt und muss beendet werden.

geht leider auch nicht, kann panda nicht installieren, da sich bei der kasperky deinstallation *windows zum schutz meines pc`s* beendet wird....: ich werd jetzt langsam wucki:headbang: :headbang:

Problem caused by antivirus software

Although we have not determined the specific cause of this problem, we know the problem was caused by antivirus software.

Recommendation

--------------------------------------------------------------------------------

To try to solve this problem, follow these steps. Each of the steps might solve your problem. If following a step doesn't fix your problem, then go on to the next step.

Update your antivirus software

Missing antivirus software updates could be the cause of your computer's problem. To make sure your antivirus is up to date, follow these steps:

Click Start, point to All Programs, find your antivirus program in the list, and then open it.
Look for the update status of your antivirus program. If the antivirus program is out of date, you will need to update it. See the antivirus program's Help for more information.

Note: If you don't see an antivirus program listed in All Programs, look for your antivirus program's icon in the notification area (next to the computer's clock). Many antivirus programs display an icon in the notification area that you can right-click to update the program or determine its status.

If you are unable to update your antivirus program, you might need to purchase a subscription from the antivirus software manufacturer. Once you have purchased a subscription, most antivirus software will update itself when you are connected to the Internet.
Check for multiple antivirus programs running on your computer

Running two antivirus software programs on your computer at the same time is not recommended because the two programs can interfere with each other. Even if you don't think your computer could be running two antivirus programs, antivirus software can sometimes come bundled with your computer and it might be running without your knowledge. To check if two antivirus programs are running, follow these steps:

Click Start, click Control Panel, click Performance and Maintenance, and then click Administrative Tools.
Double-click Services.
Look at the list of services under the Name column. If you find two antivirus programs, right-click each service associated with one of the programs, and then click Stop. Note that there may be multiple services running for one antivirus program.
Contact the antivirus manufacturer

If you've completed the previous steps, we recommend you contact the antivirus manufacturer directly for additional support.

To see a list of Microsoft and third-party solutions for spyware, adware, and antivirus software, go to the following website online.

Security software: Downloads and trials