Trojaner-Board - Dauernd Abstürze und Aufhänger

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Dauernd Abstürze und Aufhänger (https://www.trojaner-board.de/88957-dauernd-abstuerze-aufhaenger.html)

Dauernd Abstürze und Aufhänger

Hallo,
Ich habe folgende Probleme mit meinem Pc.
Er stürtzt andauernd ab und startet neu oder der Bildschirm bleibt schwarz, es ist egal was ich tue, ob ich überhaupt etwas mache oder nur daneben sitze oder ob ich ihn echt beanspruche. Habe auch nichts Verändert in letzter zeit. Hatte schonmal so Probleme mit ihm allerdings ging es dann wieder. Und er hängt sich an dauernd auf, sprich das Bild bleibt hängen und die farben werden extrem hell. Hab jetzt HiJackThis laufen lassen aber ich verstehe davon nichts da ich mich nicht damit auskenne. Wäre lieb wenn ihr mir helfen könntet.
Lg Yaminah:heilig:

HiJackThis-Log:

Hallo und :hallo:

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.21256)

Mit Updates haste es wohl nicht so? Warum kein SP3 und kein IE8? :confused:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne,
danke erstmal das du mir helfen möchtest.
Zu den Updates ist es so, ich benutze IE nicht sondern Opera und das windows update habe ich schon ein paar mal versucht aber mein Pc stürzt mittendrin ab oder hängt sich auf.
So werde die beiden Scans jetzt mal machen und die Logs hier gleich posten
LG yaminah

So da bin ich wieder. Ich muss sagen meine Nerven sind am Ende =)
Beim ersten Scan ist der Pc sage und schreibe 9 mal abgestürzt und das immer wenn schon knapp ne Stunde vorbei war. So hier die Ergebnisse:

Achso ist das normal das die beiden OTL Logs gleich sind?
Wird immer schlimmer mit den Abstürzen :-(:killpc:

Hast Du die Funde mit Malwarebytes auch entfernt?

Zitat:

Zitat von yaminah (Beitrag 550228)

Achso ist das normal das die beiden OTL Logs gleich sind?

Nein. Wieso benennst Du die um? :balla:
Die beiden Logs werden als OTL.txt und Extras.txt abgespeichert, was soll das mit OTL1 und und OTL2?

Dauernd Abstürze und Aufhänger

Es hat sich keine Datei mit dem Namen Extra abgespeichert sondern es waren am Ende 3x(!) OTL.txt geöffnet. Hatte mich auch gewundert.

Problem endtdeckt hatte bei Extra Registrierung nicht die Safe List lasse ihn sofort nochmal scannen =) Sorry :rolleyes:

So hier die Richtigen =) :

Zitat:

Wer hat Dir den Rechner, so wie er jetzt ist, installiert? Derjenige muss eine mikrige 8 MB Partitition erzeugt haben. Was soll sowas? :balla:
Was hast Du auf C: gespeichert?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKCU..\Run: [activenvwr32]  File not found

O32 - AutoRun File - [2009.01.16 14:15:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT ]

O32 - AutoRun File - [2009.10.10 19:41:40 | 000,000,105 | ---- | M] () - C:\autorun.inf.vir -- [ FAT ]

O33 - MountPoints2\{0b333c60-ee44-11de-afc2-001167564612}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{0b333c60-ee44-11de-afc2-001167564612}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{19541a00-4859-11df-b2de-001167564612}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{19541a00-4859-11df-b2de-001167564612}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{4ae5b43e-37a0-11de-ac37-00173fcdf596}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{4ae5b43e-37a0-11de-ac37-00173fcdf596}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{b3d564f0-a881-11de-ae2b-00173fcdf596}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{b3d564f0-a881-11de-ae2b-00173fcdf596}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{c6a3a970-bb3c-11de-ae73-00173fcdf596}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{c6a3a970-bb3c-11de-ae73-00173fcdf596}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found

[2010.07.07 08:54:42 | 000,000,000 | -HSD | C] -- D:\found.004

@Alternate Data Stream - 105 bytes -> D:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:9E3E060F

@Alternate Data Stream - 102 bytes -> D:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:CB0AACC9

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Das war vornem jahr ein "Möchtegern".....hmm ich weiß nicht was auf der C ist ich weiß nur ganz früher waren dort die Sachen vom Betriebssystem gespeichert. (weiß nicht ist warhscheinlich falsch formuliert aber das war das Hauptlaufwerk gewesen =) )
So hier der Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code:

ComboFix 10-08-05.01 - Rosa&Memo 05.08.2010  21:41:41.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.255.105 [GMT 2:00]

ausgeführt von:: d:\dokumente und einstellungen\Rosa&Memo\Desktop\cofi.exe
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\programme\SGPSA

d:\programme\SGPSA\BHO.dll

d:\programme\SGPSA\SearchAssistant.dll

d:\recycled\Recycled
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))

.
 

2010-08-05 18:08 . 2010-08-05 18:08        --------        d-----w-        D:\_OTL

2010-08-04 22:06 . 2010-07-05 12:30        3687344        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Simply Super Software\Trojan Remover\feb1.exe

2010-08-04 22:02 . 2010-07-05 12:30        3687344        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Simply Super Software\Trojan Remover\vmy11F.exe

2010-08-04 21:59 . 2006-06-19 11:01        69632        ----a-w-        d:\winxp\system32\ztvcabinet.dll

2010-08-04 21:59 . 2006-05-25 13:52        162304        ----a-w-        d:\winxp\system32\ztvunrar36.dll

2010-08-04 21:59 . 2005-08-25 23:50        77312        ----a-w-        d:\winxp\system32\ztvunace26.dll

2010-08-04 21:59 . 2002-03-05 23:00        75264        ----a-w-        d:\winxp\system32\unacev2.dll

2010-08-04 21:59 . 2003-02-02 18:06        153088        ----a-w-        d:\winxp\system32\UNRAR3.dll

2010-08-04 21:59 . 2010-08-04 21:59        --------        d-----w-        d:\programme\Trojan Remover

2010-08-04 21:59 . 2010-08-04 21:59        --------        d-----w-        d:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Simply Super Software

2010-08-04 21:59 . 2010-08-04 21:59        --------        d-----w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Simply Super Software

2010-07-31 19:18 . 2010-07-31 19:18        --------        d-----w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Malwarebytes

2010-07-31 19:17 . 2010-04-29 10:19        38224        ----a-w-        d:\winxp\system32\drivers\mbamswissarmy.sys

2010-07-31 19:17 . 2010-07-31 19:17        --------        d-----w-        d:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes

2010-07-31 19:17 . 2010-07-31 19:17        --------        d-----w-        d:\programme\Malwarebytes' Anti-Malware

2010-07-31 19:17 . 2010-04-29 10:19        20952        ----a-w-        d:\winxp\system32\drivers\mbam.sys

2010-07-14 08:12 . 2010-06-14 14:30        743936        ------w-        d:\winxp\system32\dllcache\helpsvc.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-04 22:07 . 2010-03-25 07:56        --------        d---a-w-        d:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\TEMP

2010-07-31 20:35 . 2009-12-05 15:42        --------        d-----w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Samsung

2010-07-31 20:35 . 2009-02-09 10:44        --------        d--h--w-        d:\programme\InstallShield Installation Information

2010-07-31 20:33 . 2010-03-27 02:05        --------        d-----w-        d:\programme\Cheat Engine

2010-07-23 18:52 . 2001-08-23 11:00        48354        ----a-w-        d:\winxp\system32\perfc007.dat

2010-07-23 18:52 . 2001-08-23 11:00        316924        ----a-w-        d:\winxp\system32\perfh007.dat

2010-07-16 21:40 . 2009-05-03 10:21        38912        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-07-05 11:46 . 2010-03-24 08:05        --------        d-----w-        d:\programme\Opera

2010-06-18 06:41 . 2010-06-18 06:41        61440        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1ebe70bc-n\decora-sse.dll

2010-06-18 06:41 . 2010-06-18 06:41        503808        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-31bb06a1-n\msvcp71.dll

2010-06-18 06:41 . 2010-06-18 06:41        499712        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-31bb06a1-n\jmc.dll

2010-06-18 06:41 . 2010-06-18 06:41        348160        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-31bb06a1-n\msvcr71.dll

2010-06-18 06:41 . 2010-06-18 06:41        12800        ----a-w-        d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1ebe70bc-n\decora-d3d.dll

2010-06-18 06:39 . 2010-06-18 06:40        411368        ----a-w-        d:\winxp\system32\deployJava1.dll

2010-06-14 14:30 . 2009-05-03 02:43        743936        ----a-w-        d:\winxp\pchealth\helpctr\binaries\helpsvc.exe

2010-06-03 02:41 . 2010-06-03 02:41        3600384        ----a-w-        d:\winxp\system32\GPhotos.scr

.
 

------- Sigcheck -------
 

[7] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . d:\winxp\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\sfcfiles.dll

[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . d:\winxp\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"snpstd3"="d:\winxp\vsnpstd3.exe" [2006-09-18 843776]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\winxp\system32\CTFMON.EXE" [2004-08-03 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2010-05-04 124928]
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^BlueSoleil.lnk]

path=d:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\BlueSoleil.lnk

backup=d:\winxp\pss\BlueSoleil.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06        976832        ----a-w-        d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-10-03 02:08        35696        ----a-w-        d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2009-07-26 15:44        3883840        ----a-w-        d:\programme\Windows Live\Messenger\msnmsgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"d:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"d:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"d:\\Programme\\Opera\\opera.exe"=
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Connection Wizard,ShellNext = iexplore

IE: Add to Google Photos Screensa&ver - d:\winxp\system32\GPhotos.scr/200

IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-08-05 21:48

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2010-08-05  21:52:14

ComboFix-quarantined-files.txt  2010-08-05 19:51
 

Vor Suchlauf: 10 Verzeichnis(se), 10.954.444.800 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 10.926.305.280 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 

- - End Of File - - D206AAA8AB5C0D34F3B3D7040E0A2E83

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hier die Ergebnisse: