|
Hi, um auszuschließen, dass die Probleme von deinem Befall herrühren, würde ich dich bitte erstmal folgendes durchzuführen: Rufe Hijackthis auf und fixe folgende Einträge: Zitat:
Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Poste auch ob sich das verhalten deines Rechners verändert hat. Die Fehlermeldung ist vollständig,oder? Da fehlt keine Zeile, die die Datei nennt, die den Absturz verursacht? lg myrtille |
Ich hab alles, was auf dem blauen Bildschirm gestanden hat genau abgeschrieben, nichts hat gefehlt und danach kam auch nichts mehr. |
Schade.;) Habe ich mir allerdings schon gedacht. ;) Die Tools dürften einen solchen Fehler nicht hervorrufen, insbesondere Smitfraudfix behandelte kaum/keine Treiber. Die gelöschten Dateien sind auch im Log einsehbar, da ist nichts dabei, was zu Windows gehören würde. Das einzige, was verändert wurde, ist eben der vorhin erwähnte Registryschlüssel, der aber wohl von Windows neuerstellt wurde. Allerdings scheint es bereits bei der Installation des Trojaners bei dir Unregelmäßigkeiten gegeben zu haben. Die Symptome die du beschreibst sind ungewöhnlich. Ich schau mal, dass ich da weitere Informationen erhalte. lg myrtille |
So, hab das jetzt alles so gemacht. Der Computer geht immernoch nicht normal hochzustarten und hat über 8 Minuten gebraucht, um runterzufahren. Außerdem verändert sich die Fehlermeldung im blauen Bildschirm bei den technischen Informationen, zwei Infos sind immer anders, das dritte und vierte Päckchen nach dem STOP ist nach jedem Neustartversuch verändert... Nach dem Löschen der Datein mit Avenger hab ich noch mal die Dateien im Windows-Ordner verglichen, ob welche dazugekommen sind. Plötzlich waren auf einmal wieder neue dll und sonstige neu produzierte Dateien mit dem Datum vom 21. April um 13 Uhr 28 drin (das ist übrigens genau der Zeitpunkt, als der Trojaner kam). Hier der Report von Avenger: ___________________________________ Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\dpevflbg.dll" deleted successfully. File "C:\WINDOWS\wdpoefan.dll" deleted successfully. File "C:\WINDOWS\vadokmxt.dll" deleted successfully. Error: file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" not found! Deletion of file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
:heulen: Also die beschriebenen Symptome an meinem Rechner sind aber wirklich erst nach der Sache mit dem Trojaner gekommen. Vorher hat mein Computer immer sehr zuverlässig funktioniert, ist NIE abgestürzt und ist auch IMMER zuverlässig hochgefahren. Auch alle Programme haben immer funktioniert und der Rechner hat auch immer noch Festplatten oder andere USB-Geräte erkannt, die andere Rechner nicht erkannt haben. Vorher ist mir wirklich nichts aufgefallen. Aber was soll ich denn jetzt machen? Hab ne Menge Konfigurationen auf dem Rechner, so daß eine komplette Neuinstallation von Windows fast ne Katastrophe für mich wäre und auch ein extremer Zeitaufwand, den ich kaum bewältigen könnte. Wäre es denn eine Lösung, Windows von der CD einfach drüberzuinstallieren? :heulen: Vielen Dank für die Mühe und Tips Viele Feiertagsgrüße! |
Hi, ich hab den ursprünglichen Beitrag wohl zu spät editiert, es fehlten 2 Dateien, die ich noch nachgereicht hab. Zu deinem BSOD hat sich bisher nicht viel ergeben. Eventuell hat es etwas mit dem RAM zu tun. (Da wäre das simultane Auftreten mit dem Fix Zufall. Sollte aber mal sichergestellt werden, dass es nicht die Ursache ist. Überprüfen kannst du den Zustand deiner RAM Riegel zb mit Memtest86) Oder es könnte auch an deinen Grafikkartentreibern liegen. Da sollte dann ein neuinstallieren der Treiber das Problem beheben. Generell ist der BSOD ein Softwareproblem und sollte daher ohne eine Neuinstallation behebbar sein. Da allerdings keine Infos zum Verursacher des Absturz geliefert werden, kann ich nicht mit Sicherheit sagen, dass wir den Urhaber finden. Ich bin aber weiterhin an der Sache dran, wenn ich etwas erfahre, dann geb ich Bescheid. lg myrtille EDIT: Du kannst versuchen Windows von der BootCD zu reparieren. Aber ich würde vorher dennoch deine Daten speichern. Man ist nie vor irgendwelchen "Zwischenfällen" sicher. Poste bitte ein neues Hijackthislog |
Stichwort Grafikkartentreiber... dazu ist mir gerade eingefallen, daß ich letzten Herbst ein Computerspiel (mit aufwendiger Grafik) spielen wollte, das lief aber nur circa 5 Minuten, dann hat der Bildschirm auf einmal alle Farben verloren und hat nur noch dicke Felder in pink, giftgrün und blau mit weißem Hintergrund angezeigt. Alle Icons und Fenster wurden riesig groß, der Bildschirm hat sich in zwei Hälten geteilt, jeweils links und rechts auseinandergesprungen (gespalten) und ich hab den Startbutton nicht mehr gefunden, so daß ich dann den Computer ausschalten mußte. Die Musik lief noch wunderbar weiter, ich konnte nur nichts mehr sehen.... aber nach dem Neustart war alles wieder okay und danach hab ich auch keine Games mehr gezockt, so daß ich das Problem vergessen habe. Paßt das zu dem Problem? Müßte ich dann von der Treiber-CD den Grafikkartentreiber wieder neu installieren, oder ne neue Grafikkarte kaufen? Und mir vielleicht noch zusätzlich einen neuen RAM kaufen? Vielen Dank für die Mühe schönen Pfingstgruß!!! |
Sollte es sich um einen technischen Defekt im RAM handeln müsstest du wohl einen neuen Riegel kaufen. Ich halte das allerdings nicht für eine sehr wahrscheinliche Lösung und möchte eigentlich nur sichergehen, dass wir hier keinen Geist jagen. Ein Test mit memtest sollte schnell zeigen ob das RAM defekt ist oder nicht. Auch eine neue Grafikkarte solltest du nicht brauchen, es sollte reichen die Treiber neuzuinstallieren. Anstatt die von der CD zu nehmen, würde ich jedoch erstmal schauen ob der Grafikkartenproduzent nicht eine neuere Version des Treibers anbietet. Wenn ja, würde ich diese installieren.;) Gute Nacht & schöne Pfingsten ;) lg myrtille |
Hallo, da bin ich wieder hab jetzt die beiden restlichen Dateien noch mit Avenger gelöscht. Der Zustand ist nach wie vor unverändert. Normal starten geht garnicht und Herunterfahren dauert mindestens 6 Minuten. Hier sind ist der Bericht von Avenger: __________________________________________ Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\dpevflbg.dll" not found! Deletion of file "C:\WINDOWS\dpevflbg.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\wdpoefan.dll" not found! Deletion of file "C:\WINDOWS\wdpoefan.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\vadokmxt.dll" not found! Deletion of file "C:\WINDOWS\vadokmxt.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" not found! Deletion of file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\olgdqarf.exe" deleted successfully. File "C:\WINDOWS\wxvgsdbq.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:22, on 12.5.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = MEDION International R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Welcome to ALDI R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - MEDIONshop.de (file missing) (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6572 bytes |
beim mal wieder nicht hochfahren kam auf einmal eine andere Fehlermeldung. Zwischen dem ersten und dem zweiten Kapitel der schon geposteten Meldung auf dem blauen Bildschirm erschien jetzt: PAGE_FAULT_IN_NONPAGED_AREA und unten dann bei den technischen Informationen: *** STOP: 0x00000050 (0xE28AFFF8, 0x00000000, 0x80550979, 0x00000001) Vielleicht hilft das ja erstmal weiter... noch nen guten Start in die neue kürzere Woche wünsche ich... Viele Grüße |
Hi, das deutet auch auf ein Dienst/Treiber oder RAM-Problem hin. Hast du deine RAM mal getestet? Deine (Grafikkarten)Treiber neuinstalliert? Normalerweise erstellt Widows unter C:\windows\minidump *.dmp - Dateien, in denen weitere Informationen zum Crash enthalten sind. Könntest du wohl die *.dmp Datei von der PAGE_FAULT_IN_NONPAGED_AREA-Meldung und ein paar der anderen Meldungen zippen und hier als Anhang hochladen? Dann schau ich mir die mal auf weitere Hinweise an. lg myrtille |
hi Minidump muß ich noch machen, habe erstmal den RAM gescannt, Meldung: "Pass complete, no errors, press Esc to exit" Dann hab ich mir einen aktuellen Grafikkartentreiber im Internet runtergeladen und ihn auf dem beschädigten Rechner installiert. Erst fehlte "DirectX 8" ich hab dann DirectX 9 installiert und den Treiber erneut installiert. Dann kam aber folgende Fehlermeldung: "Severe ... Setup did not find a driver compatible with your current hardware or operating system. Setup will now exit." Hoffe du kommst damit weiter... Viele Grüße und herzlichen Dank |
Wie kann ich denn die gezippten Dump Dateien hier als Anhang hochladen??? |
Hi, Sorry, ich hab geschlafen. Zip-Anhänge sind hier nicht erlaubt. Lade die Datei bitte bei file-upload hoch und schick mir den Link per PM oder poste ihn hier. Ich bin diese Woche allerdings sehr eingespannt und kann dir nicht versprechen, dass ich die Dateien morgen sichten werde. Am Wochenende sollte es jedoch hoffentlich klappen. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board