Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   PC Abstürze (https://www.trojaner-board.de/26422-pc-abstuerze.html)

[mo] 02.02.2006 19:05
PC Abstürze
 
hallo,
ich bin zufällig auf euer forum gestossen, weil mein PC seit kurzem ein Problem hat: Er stürtzt willkürlich ab, d.h. der bildschirm wird schwarz, der pc ist komplett down und rebootet dann... ich bin mir nicht sicher, aber ich hab das gefühl, dass das auf bestimmte aktionen von mir passiert (z.b. hab ich antivir das neueste update runtergeladen und als ich dann im setup fenster auf "alle entpacke und antivir installieren" geklickt hab, hat er erst alles schön regelkonform entpackt, und ist dann abgestürtzt)
mittlerweile bin ich echt verzweifelt, weil jetzt auch noch z.b. explorer.exe abstürtzt oder firefox.exe
ich hoffe, ihr könnt mir helfen
mfg mo

BataAlexander 02.02.2006 19:07
Hallo,

erstelle bitte ein Hijack This Logfile und poste es hier.
In meiner Signatur findest Du einen Link, wie das geht.

Gruß

Schrulli

[mo] 02.02.2006 19:13
Logfile of HijackThis v1.99.1
Scan saved at 19:10:20, on 02.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\Skype\Skype.exe
C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

BataAlexander 02.02.2006 19:24
Hallo,

fixe bitte folgende Einträge:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Lade mal die folgende Datei bei Jotti hoch und prüfe ob da Befall ist:

C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe

Falls ja löschen und das auch.

O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe

Dannach poste noch mal ein Log

Gruß

Schrulli

[mo] 02.02.2006 19:34
also, jotti sagt, objectdock.exe is in ordnung ;)

Logfile of HijackThis v1.99.1
Scan saved at 19:33:14, on 02.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\******\Skype\Skype.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\******\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\******\HijackThis\HijackThis.exe
C:\Programme\AVPersonal\INETUPD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\******\Eigene Dateien\******\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\******\Eigene Dateien\******\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

ich hab die beiden einträge gefixt...

BataAlexander 02.02.2006 19:45
Hallo,

das Log sieht imho gut aus, bestehen die Probleme die Du anfangs angeführt hast denn immer noch?
Kannst Du Antivir jetzt installieren?

Gruß

Schrulli

[mo] 02.02.2006 20:16
äh, ich hab grad antivier deinstalliert, und sophos antivir installiert, das ging ohne probleme. das mit den abstürzen kannich momentan nciht beurteilen (bis jetzt hat sich alles gut verhalten)

vielen dank schonmal, für die schnelle hilfe

[mo] 02.02.2006 20:25
achja, nochwas, passt vielleicht nichtso, is auch nichso wichtig, aber ich hab auf meinem desktop irgendwei einen leeren ordner, den ich nicht löschen kann... Meldung: "EMPIRE EARTH (ordnername) kann nicht gelöscht werden. Überprüfen sie pfad und dateiangaben."

was kann ich tun? :dummguck:

Cidre 02.02.2006 20:28
Hallo,

versuche es mal mit Killbox oder mit dem Total Commander.

[mo] 02.02.2006 20:32
werd ich machen, ich hab grad entdeckt, es gibt mehrere solche dateien, und die virensuche von sophos wurde vorzeitig beendet, wegen eines "Fehlers"
diese dateien hab ich entdeckt, dass der virenscanner sie nicht durchsuchen kann. man hat komplett keinen zugriff und sie haben komische namen (z.b. ¿ vk; oder @¹Æ╝ý─. )
:confused: :confused: soll ich da auch killbox oder total comander versuchen?

Cidre 02.02.2006 20:36
Du scannst aber schon im abgesicherten Modus?
Wenn Ja, dann poste anschließend mal den Report (Log Datei) von Sophos.

[mo] 02.02.2006 20:42
uh, äh im mom nicht, ich hab jetzt mal so eine datei versucht mit killbox zu löschen, aber da kommt die meldung "this file doesn't seem to exist" bei jotti kann ichs auch nicht überprüfen lassen, da kommt nämlich die meldung "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
es gibt einige von diesen dateien... vor allem im temp verzeichnis...
dann scann ich jetzt mal im abgesicherten modus

[mo] 02.02.2006 21:18
boar :koch: :koch:
jetzt hab ich angefangen im abgesicherten modus zu scannen, jetzt is das teil wieder ausgegangen
@ Schrulli: lag wahrscheinlich doch nicth an den einträgen in dem hjt file.
was ich auch noch entdeckt hab, es gibt einige pdf dateien, die passwortgeschützt sind, an denen der virenscanner scheitert (nicht abstürtzt, aber ne fehlermeldung bringt) dumm nur, das weder ich noch sonst irgendwer aus meiner familie das passwort kennt, oder die dateien erstellt hat.
irgendwie taugt mir das gar net :nixda: ;)

Cidre 02.02.2006 21:37
Deaktiviere den automatischen Neustart [1] und dann erhältst du beim nächsten Absturz auch einen Bluescreen. Poste den Inhalt des Bluescreens bzw. google nach der Fehlermeldung. ;)

Andernfalls könntest du es mit eScan im abgesicherten Modus versuchen und uns die Virus Log Informaton zur Verfügung stellen.

[1] Systemsteuerung -> System -> Erweitert -> Einstellungen bei "Starten und Wiederherstellen" -> Haken entfernen bei "Automatisch einen Neustart durchführen".

[mo] 02.02.2006 22:04
ich hab jetzt einen kompletten viranscann ohne abgesicherten modus durchgeführt, kein ergebnis. bis auf die sechs pdf dateien, die verschlüsselt sind.
leider hab ich keine ahnugn, wodurch die systemabstürze hervorgerufen werden. jetzt muss ich halt waten :schmoll:
vielleicht sollte ich einfach dei festplatte komplett formatieren, dan wär auch das problem mit den komischen "phantom"-dateien gelöst...
achja, wegen dem scann: kann ich nicht einfach das von sophos posten? oder ist an dem escan irgendwas besonderes? :dummguck:
vielen dank für die mühe
mo


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:39 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130