Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ganzes Windows im kaputt? (https://www.trojaner-board.de/45623-ganzes-windows-kaputt.html)

Berloiner 09.11.2007 11:40
Ganzes Windows im kaputt?
 
Hi Leute, ich hoffe ich bin hier richtig mit meinem Problem. Wenn nicht sagt mir doch bitte wohin ich mich wenden kann...

Also folgendes: Hab vor einer Woche meinen Computer gestartet und mir wurde angezeigt dass explorer.exe einen Fehler hat und geschlossen werden muss. Ok, dachte ich und hab den Fehler weggeklickt. Ich konnte danach aber noch normal weiterarbeiten. Dann hab ich mal meinen PC neu gestartet und der Fehler tritt jetzt jedesmal auf wenn ich ein Programm oder sonstiges öffnen will. Hinzu kommt auch noch dass jetzt etwas angezeigt wird von "Datenausführungsverhinderung Name: Windows Explorer"
Ich kann mir leider überhaupt nicht vorstellen woran dass liegt. Ich hab Spybot Search & Destroy durchlaufen lassen sowie Ad-Aware, wo auch nur Ad-Aware was gefunden hat.

Hier meine Systemdaten:

Motherboard:
CPU Typ AMD Athlon XP, 1246 MHz (12.5 x 100)
Motherboard Name QDI KinetiZ 7B/E (1 ISA, 5 PCI, 1 AGP, 1 AMR, 3 DIMM)
Motherboard Chipsatz VIA VT8363(A) Apollo KT133(A)
Arbeitsspeicher 768 MB (PC100 SDRAM)
BIOS Typ Award Modular (03/07/03)
Anschlüsse (COM und LPT) Kommunikationsanschluss (COM1)
Anschlüsse (COM und LPT) Kommunikationsanschluss (COM2)
Anschlüsse (COM und LPT) Druckeranschluss (LPT1)

Anzeige:
Grafikkarte RADEON 7200 SERIES (64 MB)
3D-Beschleuniger ATI Rage 6 (R100)
Monitor Plug und Play-Monitor [NoDB] (9071)

Multimedia:
Soundkarte ESS Technology ES1938/ES1941/ES1946 Solo-1(E) AudioDrive
Soundkarte VIA AC'97 Audio Controller

Datenträger:
IDE Controller VIA Bus-Master-IDE-Controller
Floppy-Laufwerk Diskettenlaufwerk
Festplatte FUJITSU MPC3043AT (4 GB, 5400 RPM, Ultra-ATA/33)
Festplatte WDC WD136AA (12 GB, IDE)
Optisches Laufwerk DVDRW DRW-2S81 (DVD+RW:8x/4x, DVD-RW:8x/4x, DVD-ROM:12x, CD:40x/24x/40x DVD+RW/DVD-RW)
Optisches Laufwerk HL-DT-ST CD-RW GCE-8520B (52x/24x/52x CD-RW)
S.M.A.R.T. Festplatten-Status OK

Partitionen:
C: (NTFS) 2047 MB (9 MB frei)
D: (FAT32) 2054 MB (104 MB frei)
G: (FAT32) 12953 MB (3957 MB frei)
Speicherkapazität 17054 MB (4070 MB frei)

Eingabegeräte:
Tastatur Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Maus PS/2-kompatible Maus

Netzwerk:
Netzwerkkarte Realtek RTL8029(AS)-PCI-Ethernetadapter (192.168.0.101)

Peripheriegeräte:
USB1 Controller VIA VT83C572 PCI-USB Controller
USB1 Controller VIA VT83C572 PCI-USB Controller

Hier mein HiJackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:21, on 09.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
G:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
G:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "G:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - G:\Poker\PokerStarsUpdate.exe
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.dll (file missing)
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194523387798
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4626 bytes

Hoffe ihr könnt mir hier helfen, wenn ich hier falsch gepostet habe sagt mir bitte wohin ich mich wenden kann. Ich danke euch schon mal im vorraus,

MFG Berloiner

Cleriker 09.11.2007 12:31
Hallo und :) Herzlich Willkommen im Trojaner-Board :)

Am Logfile kann man erst mal noch nichts erkennen, aber
ich habe da so einige Vermutungen. Mach bitte erst mal
folgendes:

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
Zitat:
mstinit.exe (bitte suchen)
mstask.exe (bitte suchen)
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

1) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird Gmer beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

Wenn wir ein Schädlingsbefall ausschließen können, schauen
wir in andere Richtungen.

mfg Cleriker

Berloiner 09.11.2007 12:55
Also:

mstinit.exe:
File size: 12288 bytes
MD5: 45b4d622b863dd65b7cc35fe3a8621e2
SHA1: d21a80eb44f4ec8fdd82eee219ad18e7dd4d3

Ergebnis: 0/32 (0%)

mstask.exe:
Habe ich nich gefunden, lediglich eine .dll datei

Jetzt mache ich den eScan, Ergebnis kommt gleich!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19