Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Freeze, Bluescreen und Symbole in der Systemsteuerung (https://www.trojaner-board.de/52040-freeze-bluescreen-symbole-systemsteuerung.html)

corcy 02.05.2008 21:12
Freeze, Bluescreen und Symbole in der Systemsteuerung
 
Guten Abend

Bin hier mehr oder weniger zufällig über Google auf euer Board gestoßen.
Mein Problem ist folgendes:

Betriebssystem: Windows XP SP2 (Originalversion)

Es vergeht kein Tag an dem ich nicht 2 oder 3 mal die Reset-Taste verwenden muss, da sich mein Notebook einfach aufhängt.
Hatte in den letzten Tagen eine Menge Virenmeldungen, allerdings alles erfolgreich gelöscht (laut Kaspersky IS 7.0).

Ich kenn mich eigentlich sehr gut mit meinem Blecht****** aus, kommt es doch schon wieder vor, dass der Bootvorgang hin und wieder einen Bluescreen ausgibt, oder mehrere (ca. 8-10) Minuten braucht um hochzufahren.

Möchte auch noch sagen, dass ich mir einmal Tweak-XP geholt habe und seitdem in der Systemsteuerung ein Symbol habe, das ich nicht wegbekomme. Selbiges für "FlyakiteOSX" (bereits beide Programme deinstalliert).

Habe jetzt ein Hijack-Log gemacht und möchte euch bitten dieses auszuwerten.

Danke schon mal im Vorraus.

------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:44, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = webpg-04:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avp - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5598 bytes

------------------------------------------------------------------


corcy

Mellosun 02.05.2008 21:21
Hallo und Guten Abend,

wie waren die Virenmeldungen von Kaspersky? (Genau Pfadangabe und Virenname) Sollte im log von Kaspersky zu finden sein!

Tweak-XP ist, wie all solche programme, mit Vorsicht zu genießen!
Traten die probleme erst nach der Install auf oder schon vorher?

Führe mal bitte dies hier aus: Malwarebytes

Poste den bericht!

corcy 02.05.2008 21:41
Danke erstmal für die schnelle Meldung.

Malwarebytes läuft zur Zeit.

Die Pfade die Kaspersky bisher gefunden (seit neuaufsetzen vor ca. 2-3 Monaten) hat sind folgende:

detected: riskware Invader Running process: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\MSIA.tmp

deleted: adware not-a-virus:AdWare.Win32.Relevant.a File: C:\DOKUME~1\****\LOKALE~1\Temp\b9ff5.msi//RKInstaller.exe

not found: adware not-a-virus:AdWare.Win32.Relevant.a File: C:\Dokumente und Einstellungen\****\Anwendungsdaten\FileSubmit\96044\install\A307A2F\96044.msi//RKInstaller.exe

deleted: Trojan program Backdoor.Win32.Bifrose.cgg File: C:\WINDOWS\retain.exe

deleted: Trojan program Backdoor.Win32.Bifrose.cgg File: C:\WINDOWS\MISSINGS.EXE

not found: Trojan program Trojan-Spy.BAT.Agent.a File: C:\DOKUME~1\****\LOKALE~1\Temp\bt0400.bat

deleted: virus Email-Worm.Win32.NetSky.q File: C:\DOKUME~1\****\LOKALE~1\Temp\7irckcy1.exe

deleted: virus Email-Worm.Win32.NetSky.q File: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kwbbwg44.default\Cache\57DE77BAd01

deleted: virus Email-Worm.Win32.NetSky.q File: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kwbbwg44.default\Cache\22D9E109d01

deleted: Trojan program Backdoor.Win32.Bifrose.cgg File: C:\System Volume Information\_restore{35DC4E37-6E5D-437C-B87C-9326D77F9F3A}\RP32\A0019250.exe

not found: Trojan program Rootkit.Win32.Fu File: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kwbbwg44.default\Cache\0862EEDCd01/FU_Rootkit/EXE/fu.exe

not found: Trojan program Rootkit.Win32.Agent.l File: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kwbbwg44.default\Cache\0862EEDCd01/FU_Rootkit/EXE/msdirectx.sys

not found: Trojan program Rootkit.Win32.Fu File: C:\rootkit\FU_Rootkit\EXE\fu.exe

not found: Trojan program Rootkit.Win32.Agent.l File: C:\rootkit\FU_Rootkit\EXE\msdirectx.sys

deleted: Trojan program Rootkit.Win32.Agent.l File: c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\kwbbwg44.default\cache\0862eedcd01

deleted: Trojan program Rootkit.Win32.Fu File: C:\System Volume Information\_restore{35DC4E37-6E5D-437C-B87C-9326D77F9F3A}\RP38\A0026616.exe



zu Tweak XP: wurde fehlerhaft installiert, habe dann die Dateien aus dem Ordner gelöscht. Probleme traten erst danach auf, aber viel später.

MfG

Mellosun 02.05.2008 21:53
Soviele Meldung wie du in 2-3 Monaten hatte ich in meiner gesamten PC laufbahn net.....egal!

Lasse Malwarebytes durchlaufen.....

Möglich, das wir noch tiefer schauen müssen, aber erst den Bericht bitte!

corcy 03.05.2008 13:08
Ich melde mich nach verzweifelten Versuchen, mein Notebook neu zu starten oder neu aufzusetzen zurück:

Malwarebytes lief bis zu ca. 110000 Dateien und alles frierte ein. -> Resettaste
Allerdings bekam ich dann beim Neustart die Fehlermeldung: "Fehler beim Lesen des Datenträgers. Drücken Sie Strg + Alt + Entf"

Der Versuch des Neuaufsetzens brachte folgendes Ergebnis (nicht genauer Wortlaut): "Fehlerhafte Sektoren (dann Zahlen). Kontaktieren Sie Acer Int. oder Symantec"

Mein Problem besteht jetzt wohl darin, dass ich irgendwie meine Daten von der defekten Platte holen muss. Die Anschlüsse im Stand-PC sind dafür zu groß. Wie kann ich jetzt meine Daten trotz kaputter Platte sichern?

MfG.

corcy 03.05.2008 18:07
Zitat:
Zitat von corcy (Beitrag 336291)
Der Versuch des Neuaufsetzens brachte folgendes Ergebnis (nicht genauer Wortlaut): "Fehlerhafte Sektoren (dann Zahlen). Kontaktieren Sie Acer Int. oder Symantec"

Mein Problem besteht jetzt wohl darin, dass ich irgendwie meine Daten von der defekten Platte holen muss. Die Anschlüsse im Stand-PC sind dafür zu groß. Wie kann ich jetzt meine Daten trotz kaputter Platte sichern?
Habe jetzt die Wiederherstellungskonsole gestartet, FIXMBR und FIXBOOT ausgehört.
Jetzt läuft zur Zeit CHKSDK /R
Hatte vor dem letzten mal aufsetzen dieses Problem. Mir wurden etwa geschätzte 150 fehlerhafte Sektoren ausgeschlossen.

Neue Festplatte ist bestellt und hoffe sie passt (2,5")


Ich möchte mich hier für den guten und schnellen Support bedanken, denke was jetzt läuft ist nicht mehr für das Trojaner-Board relevant.

Freundliche Grüße
corcy


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131