Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab !
 

Hilfe !

Habe seit Ende April,Anfang Mai einen hartnäckigen Trojaner, der alle gängigen Spyware-Viren-Scanner abschießt durch Systemabsturz. Nach dem Neustart des PCs (Windows XP, AMD Athlon 3000, 160GByte HDD, etc.) kommt jedesmal das bekannte Fenster "Das System wurde nach einem schweren Fehler wieder ausgeführt, ...Problembericht an MS senden, etc."
Außerdem wird das Programm Outlook abgeschossen.

Nach einem gescheiterten Scanversuch mit einem Antimalware-Programm wird der Trojaner böse und fährt mehrer Systemabstürze hintereinander. Lässt man danach den Rechner über eine Stunde ausgeschaltet, so hat er sich wieder beruhigt. Auch das Virenscanner-Programm AntiVir läuft und lässt sich updaten. Offensichtlich will der Trojaner die Installation weiterer Malware verhindern aber den Benutzer nicht so sehr ärgern, dass er den Rechner vom Internet trennt oder gar die Festplatte formatiert. Übrigens habe DSL und eien Netgear Router/DSL-Modem.

Und nun das Unheimliche: Auch nach dem Booten von einer BartPE CD stürzen Spybot Search & Destroy und McAffee-Stinger ab, obwohl sie als Plugins von der CD gestartet wurden.

Wie ist das möglich ?

Hier das Hijackthis Log-File

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Wenn ich das so ohne den Namen des 'Trojaners' lese, sieht das mir eher nach einem Hardwaredefekt oder nach einem fehlerhaften Treiber aus.
mfg

Hallo,

Vielen Dank für die Antwort,

Aber das ist mit Sicherheit kein HW-Defekt, denn die Abstürze lassen sich reproduzierbar nur durch das Starten von Anti-Spyware und Anti-Virus Programmen und durch Outlook hervorrufen !
Alle anderen Programme laufen einwandfrei.

Übrigens: Im Problembericht steht:

C:\Dokume~1\Loginname\Lokale~1\Temp\Wert577.dir00\Mini060108-03.dmp
Sieht man darunter im Internet nach ergibt sich der Hinweis: Alle Files in C:\Minidump löschen und oben genannte Directories löschen, danach C:\ defragmentieren. Nach Booten im abgesicherten Modus lief der McAffee-Stinger bis zu einem File Nero.exe in C:\Dokumente und Einstellungen....Laut Internet steckt hier mit großer Wahrscheinlichkeit Malware drin. Nero wurde von diesem PC deinstalliert. Danach blieb er in einer Endlosschleife stecken.
Der Luke-Filewalker lief durch und fand nichts.

Da sämtlich bisher versuchten Scanner abgeschossen wurden, kann ich leider keinen genauen Namen des Trojaners angeben. Übrigens Anfang Mai kam mit einem Sicherheitspatch von MS auch ein Patch zum Beseitigen bösartiger SW, auch diese Installation wurde Abgeschossen

Der Trojaner hat mit Sicherheit auch einen Key-Logger. Das Eintippen von Namen von Firmen ( z.B. Sygate ) oder Programmen ( z.B. Stinger ) bzgl. Anti-Spyware, Anti-Virus führt zum Absturz !

Gruß,

Christian124

Hi,

nur wie kommt er dann auf deine BartPE-CD? Oder hast Du die erst auf dem bereits befallenen System erstellt? Dann wäre es kein Wunder. Dann müsstest Du dir irgendwo einen sauberen Computer suchen und dort eine neue erstellen.

Gruß, Karl

wieviele AV-Programme/Scanner hast du denn am laufen? Könnte es sein dass es mehrere sind und die sich gegenseitig beißen?

naja so ein paar Sachen hören sich doch merkwürdig an??? Kannst du das nochmal überprüfen?

Danke für die vielen Antworten,

Habe selbstverständlich die BartPE CDs auf einem zweiten nichtbefallenen Rechner erzeugt. Diesen Rechner habe ich mit Luke-Filewalker, Spybot Search& Destroy, MacAffee Stinger und SuperAntiSpyware gescannt. Außerdem läuft lokal die Zone-Alarm Firewall.

Nur mit diesem nichtbefallenen Rechner kann ich Internet-Aktivitäten bzgl. des Befalls des anderen Rechners durchführen, da sonst durch den Key-Logger des Trojaners Stich-Wörter wie Anti, Virus, Spyware etc. zu Systemabstürzen führen würden.

Bzgl. BartPE: Kann es sein, dass McAffee-Stinger und Spybot SD auch nach Booten von BartPE Files auf der C: benutzen, die der Trojaner vorher bereits beschädigt hat ?

Habe auf dem befallenen Rechner Luke-File-Walker, MacAfee-Stinger, Spybot SD, Cyberdefender Early Spy, Bitdefender, Lavasoft-Noadaware laufen lassen und danach jeweils wieder deinstalliert. Alle Programme wurden abgeschossen. Z.Zt. läuft der AntiVir Guard, damit nur ein Antiviren-Programm aktiv ist.

Christian124

was passiert im abgesicherten Mosus (F8)?

Der Trojaner schießt die gleichen Programme ab wie im normalen Modus. Auch der Keylogger ist aktiv, so lässt sich die Sygate-Firewall nicht installieren.

Übrigens: Regedit und Hijackthis funktionieren. Danach ist der Trojaner ebenfalls eine Stunde lang böse ! Auch die Systemwiederherstellung lässt sich deaktivieren.

Dadurch dass ich in Hijackthis alle Einträge mit Hinweisen auf bereits deinstallierte Programpakete gefixt habe, habe ich den Trojaner auch in den Zustand bekommen, in dem die Antispyware- Antivirusprogramme stehen blieben, aber keine Systemabstürze mehr stattfanden.

Nach dem nächsten normalen Systemstart war der Trojaner wieder aktiv.

Gruß,

Christian124

stell bitte ein editiertes http://www.trojaner-board.de/22771-a...tml#post171958 HJT-Log ein.

aber wenn du Dir sicher bist einen keylogger/ trojaner eingefangen zu haben ist das hier die beste wahl http://www.trojaner-board.de/51262-a...sicherung.html

Hier das editierte Hijackthis Log-File

Scan saved at 21:22:19, on 07.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HJT\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://cwshredder.net/cwshredder/cwsredir.php?target=tmas
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6656 bytes

O23 ....Norman...erscheint mir verdächtig, Norman gehört auch zu den deinstallierten Programmpaketen.

Den Rechner neu aufzusetzen möchte ich ja gerade vermeiden. Zwar wird er von 3 Benutzern benutzt ( 3 Accounts, der Trojaner ist bei allen Benutzern aktiv ), aber Daten wir Kontonr., Kreditkartennr. etc. sind nicht auf dem PC. Die Arbeit, alles neu zu installieren wäre wahrscheinlich viele Wochen. Gelänge es die Systemabstürze zu beseitigen, würde ich den Trojaner tolerieren.

deinstallier erstmal ...!

• sämtliche toolbars
• Google desktop manager
• 0190 warner
• Norman
• Scansoft

für den norman kannst du den uninstaller http://download.norman.no/public/Delnvc5.exe nehmen.

anschliessend nochmal ein Hijackthis-log nicht im safe mode

Hallo !

Norman habe ich versucht mit Norton-Cleansweep zu deinstallieren, das wurde abgeschossen ! Werde aber das oben erwähnte Tool benutzen. Schaun wir einmal, ob der Trojaner dieses Programm kennt ?

Die Toolbars werde ich versuchen zu deinstallieren.

Den 190-Warner kann ich nicht deinstallieren, dann funktioniert der Internetzugang überhaupt nicht mehr. Das Problem ist alt, ich hatte es schon for langer Zeit auf einem anderen Rechner. Erst nach Neuinstallation des Betriebssystems war das Problem weg.

Scansoft ist die SW des angeschlossenen Brother Drucker-Scanners, dann funktioniert eben der Scanner nicht mehr. Lässt sich im Prinzip von der CD nachinstallieren.

Gruß,

Christian124

Nochmal Hallo,

Wird ein bischen dauern. Z.Zt. wird auf dem anderen Rechner ein iPod geladen. Der Trojaner ist z.Zt. friedlich.

In der Zwischenzeit noch einmal die Frage: Wie ist es theoretisch überhaupt möglich, dass Anti-Spyware und Antivirenprogramme (die vorher schon einmal auf dem infizierten Rechner gelaufen waren) von BartPE nicht laufen. Verwenden diese Programme, auch wenn sie als Plugins auf der CD installiert sind etwa Files auf der C:\ ,die der Trojaner vorher beschädigt hat ? Wenn ja, welche ?

Habe deshalb versucht auf dem gesunden Rechner eine BartPE CD mit SuperAntiSpyware zu brennen. SAS war auf dem kranken PC noch nie installiert. Aber dieses Programm läuft wegen des Saskutil-Problems nicht. Im Internet kann man lesen, dass der Hersteller von SAS an der Behebung des Problems arbeitet.

Ca 1 bis 2 Wochen vor dem Trojanerbefall habe ich den PC mit Luke-Filewalker und mit Cyberdefender EarlySpy gescannt und kein Problem gefunden. Es handelt sich also hier nicht um einen PC, der in allen Ecken verseucht ist.

Leider ist durch einen Bedienungsfehler meinerseits beim Update vor einigen Monaten die lokale Zonelabs Firewall zerstört worden (das bekannte TrueVector-Dienst Problem). Jetzt verhindert der Trojaner die Installation der Sygate-Firewall.

Christian124

böser / friedlicher trojaner ???

Du tust Dir wahrscheinlich einen großen Gefallen wenn Du Dein system neu aufsetzt und ordentlich/normal absicherst. Hier gilt nicht: Viel hilft viel

falls Du das auf gar keinen Fall möchtest solltest Du:

erstmal alle nicht unbedingt benötigten (oder auch einfach wieder zu installierenden Programme) über die Systemsteuerung deinstallieren.
Google evtl. nach uninstallern für zonelabs etc.

Anschliessend mit ccleaner Dein System aufräumen und die Registrierung nach Fehlern untersuchen lassen.

Was mich noch interessieren würd, ob Dein Antivir neben den updates auch noch seine AV funktionalität hat. Teste es bitte mal mit dem eicar Testvirus.

Die Festplatte möchte ich nicht nur wegen der vielen Arbeit jetzt noch nicht formatieren, sondern auch weil es im allgemeinen Interesse ist diesen neuartigen besonders bösartigen Trojaner zu identifizieren, um evtl. Andere zu warnen oder einen Entfernungsweg zu dokumentieren !


Das System war korrekt abgesichert:

LAN mit Netgear DSL-Router/Modem, enthält bereits eine Firewall

Zusätzlich Lokale Firewall Zonelabs
AntiVir-Virenscanner

Zusätzlich wurde der Rechner häufig mit LukeFileWalker und Cyberdefender EarlySpy gescannt und mit McAffee-Stinger, manuell gestartet, damit keine 2 Virenscanner gleichzeitig laufen.

alles regelmäßig upgedated

Auch mit CCleaner wurde häufig gesäubert und die Festplatte defragmentiert. Reine Datenfiles wurden auf einer 2. HDD mit 50GByte gesichert.

Eine Kopie der C:\ mit DriveImage geht z.Zt. leider nicht mehr, da der Trojaner den USB-Anschluss gegen den Betrieb einer externen USB-HDD sperrt. Ich könnte versuchen eine andere Festplatte einzubauen und DriveImage von der BartPE laufen zu lassen.

So wie ich meinen Trojaner kenne, läuft der AntiVir sehr wahrscheinlich einwandfrei. Normalerweise verhält sich das Programm normal und kann upgedated werden, auch die Virusdefinitionsfiles. Ist der Trojaner böse, so stoppt er den AntiVir. Das merkt man daran, dass der Updater läuft aber nichts mehr updated und geht man mit der Maus auf das Symbol, so geht es weg.

Lässt man nach dem Ausschalten den Rechner über 1 Stunde in Ruhe, so läuft alles wieder !

Christian124

Hallo !

Nun die Ergebnisse:

Das Norman-Entfernungstool findet nichts: Hier steckt wahrscheinlich in getarnten Files Malware drin ?

Die Toolbars habe ich deinstalliert. Habe die Deinstallation mit dem RegCleanr überprüft und zugehörige Einträge entfernt.

CCleaner und Festplattendefragmentierung sind vor wenigen Tagen trotz Trojaner gelaufen.

Christian124

hast du mal einen Online-scanner versucht?

weitere Möglichkeiten:

• gmer
• Rootkit Unhooker
• Avira Rootkit Detection

Habe TrendMicro HouseCall 65 laufen lassen. Hat nach kurzer Zeit einige gering gefährliche Cookies gefunden. Beim Versuch diese zu löschen (bei TrendMicro HouseCall geht das während des Scans) wurde der PC abgeschossen.

Ich meine, bei Wörtern wie Avira oder Rootkit wird der Rechner nach der Eingabe in Google abgeschossen, kann das aber noch einmal versuchen.

hier sind die links:

http://forum.sysinternals.com/upload...ku37300509.rar


http://dl.antivir.de/down/windows/antivir_rootkit.zip

ich hoffe der schlaue Trojaner bekommt nicht raus wer dir auf deine Anfragen antwortet... sorry :Boogie: konnt's mir net verkneifen

Nein,

Das kann er z.Zt. nicht, er ist z.Zt. aus, weil er nach den letzten Attacken mit Sicherheit wieder böse ist, werde gleich die SW aus den Links ausprobieren, ist schon auf dem USB-Memory-Stick.

Werde den kranken Rechner im Abgesicherten Modus starten und die SW in entsprechende Directories kopieren und von dort ausprobieren.

Übrigens, kann ein Rootkit bewirken, dass Spybot Search & Destroy und McAffee-Stinger auch von BartPE CD abstürzen ?

Christian124

Hallo !

Hier die Ergebnisse:

Der gmer läuft durch und liefert folgendes Ergebnis:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-08 22:46:31
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.14 ----


Die anderen beiden Programme RKU und Avira Rootkit Detection laufen nicht (habe nur im abgesicherten Moduus probiert, kein Systemabsturz).

Avira Rootkit Detection lässt sich installieren, läuft aber nicht.

Gruß,

Christian124

dann versuchs im normalen modus.

bei gmer hast du aber nur den automatischen schnellscan ausgeführt oder?

den Button scan hast du nicht betätigt!?

Doch, beim gmer habe ich den Button Scan benutzt, alle Häckchen rechts oben waren gesetzt, er hat die ganze C:\ gescannt.

wie sieht denn das Hijackthis log aktuell aus?

RKU läuft auch im normalen Mode nicht.

Der Avira Rootkit Detection lässt sich zwar installieren, das Programm läuft auch an, aber nach drücken des Scan Button sagt er sofort "no rootkit detected" oder so etwas ähnliches, ohne gescannt zu haben.

Hier das Highjackthis-File

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:34, on 08.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HJT\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://cwshredder.net/cwshredder/cwsredir.php?target=tmas
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -

h**p://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) -

h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog

Devices\SoundMAX\SMAgent.exe

--
End of file - 6093 bytes

sorry, ich bin mit deinem guten, bösen, manchmal friedlichen und zur zeit nicht aktiven trojaner und keylogger überfordert.

Meine Empfehlung bleibt weiterhin Neuaufsetzen und absichern.

Vielleicht kann sich das noch jemand anders anschauen.

Hallo,

Sieht man denn im neuen Highjackthis-File nichts ?

Hier noch einmal die Dateien im Problembericht, den nach dem Wiederstart das Windows-Fenster an Microsoft schicken will:

BCCode: 10000050
BCP1: 9015FF5F
BCP2: 000.00000
BCP3: BF813AQA
BCP4: 00000000
OSVer: 5_1_2600
SP: 2.0
Product: 768_1


C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\Mini060108-03.dmp
C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\sysdata.xml


Vielleicht hat oder hatte jemand das gleiche Problem und findet diesen Thread ?

Also für mich klingt das doch sehr nach einem Hardware oder Softwareproblem und nicht Malware.

Hast du RAM/CPU/Festplatten geprüft? Hast du dein System irgendwie getweaked? (Also tuneUp genutzt, Dienste deaktiviert, etc) Hast du mal im Eventmanager geguckt, ob die Fehlermeldungen von Microsoft aufschluss bringen? Hast du dir aufgeschrieben welche Meldungen beim BSoD kamen?

Der Absturz beim Antivirenscan klingt nach einem massiven Temperaturproblem. Hast du die Temperaturen mal überprüft?

Das geht zb mit everest

lg myrtille

Ich hoffe ja auch noch, dass wir das neue Unterforum "Trojaner - Angewandte Psychoanalyse" nicht brauchen werden :rolleyes: Ich kann auch verstehen, dass es sein Reiz hätte, der Entdecker eines Supertrojaners zu sein (oder gar des Bundestrojaners?, wow).

Die Logs aus dem abgesicherten Modus sind leider nur von begrenztem Wert (ok, ne Spur besser als garnichts). Ähnlich sieht es mit den Rootkitscans aus, entweder sie gehen im abgesicherten Modus garnicht oder ihr Sinn und ihre Aussagekraft ist fraglich. Das sind Spezialscanner, die dauraf ausgelegt sind, im normalen Betriebsmodus von Windows nach Anomalien zu suchen, die ein Hinweis auf das Vorhandensein eines Rootkits sein können (nicht müssen!, da gibt es auch noch Daemon Tools, Security Sweets, Kopierschutztechniken, usw).

Nirgendwo in dem Thread sehe ich einen Hinweis auf einen Trojaner, das sind einzig deine Folgerungen. Heutzutage sind die Teile aber eigentlich so gut wie immer nicht mehr daraf angelegt die Anwender zu Ärgern und mit ihnen Psychospielchen zu spielen, sondern darauf, still und und unauffällig zu laufen und derweil die Arbeit möglichst umbemerkt zu tun, mit denen ihre Erschaffer/Käufer/Mieter ihr Geld verdienen.

Und wenn dann auch noch die auf einem (hoffentlich) sauberen Computer gebaute BartPE-CD abstürzt (auf dem anderen Computer tut sie das nicht?), dann spircht das noch mehr dafür, dass es keine Malware ist. BartPE ist gerade so gebaut, dass es startet ohne was auf der Festplatte vorauszusetzen, ich hab schon Computer mit BartPE gestartet, in denen war keine Festplatte drin (oder eine mit installiertem Linux). Man kann natürlich beim Bau der CD Sachen einbauen, die dann auf woanders gepsiecherte Dateien zugreifen, aber wenn Du das getan hättest, dann wüßtest du es ja auch.

Wenn man dann die verschiedenen Hardwarekomponenten durchgeht, dann kommt man zu Myrtilles Liste: Platte, Speicher, CPU, Board. Sind jedenfalls die üblichen Verdächtigen.

Für Platte spräche z.B., dass er bei Scans abstürzt. So ein Scan ist für eine Platte eine überdruschnittliche Belastung, dabei kann sie sich auch stärker erwärmen, so dass es möglich ist, dass eine Platte, die im Ruhebetrieb noch irgendwie es tut, dann Fehler erzeugt. Da kommt es dann drauf an, welche und wo. ein fehlerhaft aus der Swapdatei gelesener Block kann z.B. zum Bluescreen führen, aber auch nur zum Absturz einer Anwendung.

Und um deine Hardware mal genauer in Augenschein zu nehmen folgendes:

Als erstes alle eventuellen Tuningmaßnahmen an Takten, Frequenzen, Spannungen, usw. rückgängig machen: Alles so einstellen wie es der Hersteller der Komponenten vorgesehen hat. falls du solche Maßnahmen hattest, aber bitte mitteilen: Es kann sein, dass eine Overclocking-geschädigte CPU nicht mal mehr mit dem Originaltakt funktioniert.

Im von Myrtille empfohlenen Everst gibt es eine Sektion Sensoren, da kannst du die Temperatur und Spannungsverhältnisse in Echtzeit ansehen. Mach das einmal während du einen Komplettscan diener Platte startest und achte auf Veränderungen.

Dann mal chkdsk nutzen und mal das Dateisystem prüfen lassen. Unterhalb der logischen Ebene, auf physikalischer Ebene bietet sich dann Hdtune, Drive Fitness Test (etwas weiter untern auf der Seite, läuft auch mit den meisten Platten anderer Hersteller). Viele Plattenhersteller bieten weitere Testprogramme an.

Wenn Du ein schnelles Internet hast (einen anderen Computer hast Du ja), dann solltest Du mal drüber nachdenken, ob Du dir nicht Knoppix runterlädst. Die CD-Version reicht, bei DSL eigentlich schnell getan. Wenn Du von der CD dann startest, und bei der ersten Eingabe "memtest" (ohne "") eingibst startet ein Speichertest. Wenn Fehler gefunden werden, dann werden die im unteren Teil des Bildschirms angezeigt. Auf den drei Screenshots auf der Webseite sind keine Fehler angezeigt, da ist der untere Teil leer (abgesehen von der untersten Zeile). Es empfiehlt sich, diesen Test lange laufen zu lassen, da manche Fehler nur sporadisch auftreten, oder erst dann, wenn der Rechner Betriebstemperatur erreicht hat. Ich hatte mal einen Fall, da gab es die ersten Fehlermeldungen nach ca. 2 Tagen Dauerlauf, aber ein paar Stunden sollten für den ersten Anlauf ok sein, wichtig: Mindestens ein kompletter Pass.

Den gleichen in Knoppix integrierten Speichertest bekommst Du einzeln auch hier. Vorteil: deutlich kelinerer Download. Nachteil: beim größeren Download bekommst Du ein komplettes Betriebssystem mitgeliefert, das nichts mit Windows am Hut hat (seine Partiitonen aber lesen kann und seit einiger Zeit auch schreiben). Da wäre es natürlich interessant zu erfahren, wie sich das auf dem System verhält. Es ist übrigens möglich, die Linus-Version von Antivir in ein laufendes Knoppix zu installieren und damit dann zu scannen.

Wieviel Arbeitsspeicher ist in dem Rechner eingebaut? Mehr als ein Modul? Dann besteht die Möglichkeit, die Module reihum rauszunehmen un mit jeweils weniger Speicher zu testen. Auch kombinierbar mit memtest.

Hallo,

Gegen einen HW-Defekt spricht, dass auch die Installation zig-Megabyte großer Programmpakete und das Speichern und Bearbeiten großer Mengen von Photos und Videos nicht zu den Systemabstürzen führt. Außerdem ist keine Temperaturabhängigkeit beobachtbar. Desweiteren stürzt z.B. der Spybot S&D am Anfang, Luke-Filewalker und der McAffee-Stinger erst nach längerer Laufzeit ab.

Ist ein Systemabsturz erfolgt, so folgen oft weitere direkt oder kurz hintereinander. Lässt man den PC mindestens (genau) 1 Stunde ausgeschaltet, so treten die Abstürze nicht mehr auf. Ein Temperaturproblem, dass sich jedesmal nach genau 1 Stunde repariert, ist mir nicht bekannt !

Nur die Benutzung von Outlook, das Laufenlassen von AntiSpyware- und Virenscannern, der Versuch eine lokale Firewall zu installieren und das Eintippen von Wörtern wie "Antivir, Spyware, Sygate, etc." führt zu den besagten Systemabstürzen.

Nach dem Wiederstart erscheint immer das in einer meiner vorherigen Antworten beschriebene Fenster mit dem Senden des Problemberichts an Microsoft.
Sucht man im Internet unter sysdata.xml, so findet man dass schon jemand ein ähnliches Problem gehabt hat. Das Problem wurde durch Löschen der Dateien in C:\Minidump und Löschen aller Directories der Art C:\Dokume~1\.....und anschließende Defragmentierung von C:\ gelöst, alles übrigens bei ausgeschalteter Systemwiederherstellung und im abgesicherten Modus. Habe durch Anwendung dieser Maßnahmen den PC in einen Zustand gekriegt, in dem die Virenscanner zwar nicht durchliefen, die Systemabstürze aber aufhörten. Das Gleiche gelang durch Löschen von verdächtigen Einträgen mit Hijackthis. Nach dem Systemneustart war das Problem in voller Breite wieder da !

Übrigens, die Abstürze verhalten sich gleich im abgesicherten Modus wie im normalen Modus, das gilt auch für die erwähnten Programme zu Aufspüren von Rootkits.

Habe das Problem 2 Monate lang beobachtet. Meiner Meinung nach handelt es sich um Malware, die sich verhält als hätte sie jemand aus mehreren Eigenschaften bekannter Viren und Trojaner zusammengebaut.:

Startet sich durch mehrere Registryeinträge immer wieder neu, Verwendet Keylogger, schießt den Rechner ab, kopiert sich immer wieder an andere Stellen, verwendet Reste von deinstallierten Programmpaketen und die Namen von deren .exe-Files um sich darin zu verstecken, schießt viele gängige Antiviren-Antispyware-SW ab, verhindert das Besuchen bestimmter Web-Sites und verhindert die Installation lokaler Firewalls.

Deshalb ist es auch bisher nicht gelungen den genauen Namen der Malware herauszufinden !

Gruß,

Christian124

Hallo,

Werde die Temperaturmessung trotzdem durchführen. Das System wurde nie getweaked.

Die Fehlermeldung aus dem Windows-Problembericht steht in einer meiner vorherigen Antworten, die Fehlermeldung aus dem BSOD werde ich noch aufnehmen, übrigens die Blue Screens treten nur bei Verwendung von BartPE auf. Habe nur Spybot S&D und McAffee-Stinger als Scanner-Plugins.

Gruß,

Christian124

was mich stutzig macht ist, dass das minidump unter
C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\ Mini060108-03.dmp

gespeichert wird. Normalerweise unter C:\WINDOWS\Minidump

überprüfe mal folgende Einstellungen. siehe Anhang

Hallo,

Hier waren 2 Sachen zu löschen:

1.) die Inhalte von C:\Minidump
2.) alle Directories der Form C:\Dokume~1\...

wie sehen deine einstellungen aus? kannst du einen screenshot der einstellung machen?

Hallo,

Welche Einstellungen sind gemeint ? In welchem Programm ?

Hallo,

Vielen Dank für die Hilfe,

Leider ist mir unerwartet etwas Wichtiges dazwischengekommen, ich muss meine Versuche, den Trojaner zu bekämpfen für 10Tage unterbrechen und dringend verreisen.

Danach ist der Trojaner aber mit Sicherheit noch da und ich werde versuchen die Beseitigung fortzusetzen.

Habe im Trojanerboard keine Möglichkeit gefunden, den Thread sozusagen für eine bestimmte Zeit anzuhalten, um ihn danach fortsetzen. Bin in 10 Tagen wieder on-line.

Nochmals vielen Dank.

Gruß,

Christian124

Klar, viele Möglichkeiten, es könnte sein, es wäre denkbar, ...

Manches davon sind alte Hüte, anderes davon interessante Anregungen an Trojaner-Programmier für ihre nächsten Projekte. Aber kein Wort Begründung wo und wie das auf deinem System relevant ist.

Wenn Du in einem Onlineforum Hilfe erwartest, dann müssen Fakten auf den Tisch. Logs, Scanberichte, Registryeinträge, was auch immer. Und da sieht dieser Thread extrem dünn aus. Zwei Hijackthis Logs (auch noch aus dem abgesicherten Modus), ein paar Daten aus einem Crashbericht. Dann noch ein Gmerbericht, der sehr danach aussieht, dass er unvollständig ist, es fehlen diverse für Antivir typische Einträge (auch abgesicherter Modus?). Im wesentlichen wird hier um die Psyche eines Trojaners herumspekuliert. Der Trojaner das beseelte Wesen. Ok, muss man wohl hinnehmen, ich habe auch schon Threads gesehen, in denen jemand seinen Computer als sein Kind oder Baby bezeichnet hat.

Ich kopiere hier jetzt noch einmal eine Anleitung rein. Es ist von extremer Wichtigkeit, dass sie im normalen Modus ausgeführt wird.

Aber um es erneut zu sagen: In solcher Situation gehört es auch einfach mal dazu, die Festplatte gründlich zu formatieren (vorher sogar Partitionen löschen und neu anlegen) und alles neu zu isntallieren. Das kann dann die Maßnahme sein, die klarstellt, ob Du eine tückische Malware oder eine kaputte Hardware hast. der Thread ist schon über 48 Stunden alt, genügend Zeit, selbst umfangreiches System mehrfach neu zu installieren.

Die verschiedenen Ordner für Dumps sind normal. In c:\Windows\Minidiump landen die Dumps, die aufgrund von Bluescreens angelegt werden, unterhalb deines Temp-Ordners die, die aufgrund von Anwendungscrashs angelegten. C:\Minidump bin ich noch nicht begegnet, allerdings ist der Ordner für Bluescreen-Dumps konfigurierbar, möglicherweise hat der Mensch, der diesen Ordner ins Internet gepostet hat, das auf seinem System geändert gehabt. Grundsätzlich keine Dumps löschen solange das Problem nicht gelöst ist. Die abgespeicherten Dump-Dateien können höchstens dann ein Problem sein, wenn es um zuwenig Platz auf der Platte geht, in allen anderen Fällen enthalten sie wichtige Informationen, die Du mit den Windows-Debugging-Tools auswerten kannst. Aber wenn wir hier auch noch gegen jeden Mythos, gegen jedes Dummgerücht, das im Internet verbreitet wird, anrudern müssen, ojeh. Schau mal nach, wieviel Dateien in c:\Windows\Minidiump sind.

Alles in allem befürchte ich aber immer mehr, dass das hier einer dieser Threads ist, die ergebnislos enden. Du kaufst dir irgendwann einen neuen Computer und das Problem ist weg.

Tja, es ließe sich eigentlich alles umsetzen, im normalen Modus, jedoch nicht im abgesicherten Modus.

ich tippe eher auf:
1) Hardware-Probleme (Probs mit SpyBot hatte ich bei auch schon mal, Ursache von Abstürzen bei Belastung kann auch ein sich abzeichnender Tod des Motherboardes sein)
2) intelligenter Troll :rolleyes:

der Topic ist jedenfalls klasse :teufel3:

Hallo !

Habe die Temperaturen im PC mit Everest ermittelt:

Motherboard: 38°
CPU: 67° (AMD Athlon(TM) XP 3000+
Seagate-ST3160021A: 53°
IBM-DTLA-307045: 56°

Das sind ansich keine beunruhigenden Temperaturen. Lüfter: 3553 - 3571 RPM

Das Einzige, was ich merkwürdig fand war die Spannung für die CPU von 1,65V, hätte einen Wert in der Nähe von 1,8V erwartet.

Hallo ,

Gegen einen HW-Defekt spricht, dass die Temperaturwerte nicht ungewöhnlich aussehen. Außerdem sehen die Auslastung des Speichers und der Auslagerungsdatei auch nicht ungewöhnlich aus. Es gelang außerdem MS .net upzudaten ca. 70 MByte ohne Absturz. Auch der Bildschirmschoner 3d-Flowerbox erzeugt keine Abstürze.

Man kann stundenlang im Internet surfen oder MS-Office Programme benutzen ohne dass Systemabstürze auftreten.

Die EInstellungen in "Systemeigenschaften" sehen genauso wie auf der übertragenen Miniaturansicht aus.

Habe in der Zwischenzeit einen Scan mit autoruns gemacht.

In welchem Format postet man das Log-File, welche Regeln muss man dabei beachten. Möchte nicht noch einmal aus Unwissenheit gegen Regeln des Trojanerboards verstoßen.

Hallo !

Mein Interesse ist, rein technisch dieses Problem aufzuklären. Trotz aller Bemühungen ist es mir nicht gelungen festzustellen, ob es sich um ein HW oder ein SW-Problem handelt. Falls Spyware oder Virenscannerprogramme überhaupt liefen, gelang es nicht den Namen einer Malware zu ermitteln.

In der Zwischenzeit ist folgendes geschehen:

Direkt nach Wiedereinschalten des PCs nach meiner Rückkehr ( 10Tage Pause ) wurden MS Sicherheitspatches heruntergeladen incl. der neuesten Version des Tools KB890830 zum Entfernen bösartiger SW. Danach war das Problem für ca. 5 Stunden weg. SuperAntispyware lief einwandfrei, fand aber nur Cookies und war in der Lage diese zu entfernen. Nach dem Update von MS .net wurde erstmalig ein Neustart gefahren und das Problem ist wieder da !

Läd man KB 890830 vom MS Download-Center und führt das Tool aus, so läuft ein Quick-Scan einwandfrei und findet nichts. Scant man zusätzlich C:\Dokumente und Einstellungen und alle Unterdirectories, so kommt der bekannte Absturz.

In C:\Minidump finde ich z.Zt. keine Files.

Allerdings sind die Directories C:\Dokume~1\Lokale~1\Loginname\....etc. noch da.

Die in einem vorherigen Beitrag erwähnten Scanner-Programme nach einem Rootkit, sofern sie überhaupt laufen, verhalten sich im abgesicherten Modus und im normalen Modus gleich !

Hallo,

Habe jetzt den AntiVir und die SuperAntispyware laufen,

Es gelang außerdem die Sygate lokale Firewall zu installieren. Kurz nach dem Neustart des PC und dem Starten der Firewall kam jedesmal der Absturz. Habe bereits einen Deadlock befürchtet. Doch glücklicherweise gelang es mir, die lokale Firewall mit Hilfe des RegCleanr wieder zu deinstallieren.

Jetzt läuft der PC wieder mit den erwähnten Einschränkungen und Abstürzen.

Werde die Eintragungen im Bluescreeen bei Benutzung von BartPE auch noch nachliefern.

Gruß,

Christian124

Hallo,
ich hab mich bzgl. eurem Thema noch nicht gemeldet, daher meine Frage:
Hast du schon chkdsk ausprobiert?
Falls ja, dann war ich wohl zu langsam :D

Falls nein, dann schau mal hier => Link

mfg

Hallo,

Werde das auch noch ausprobieren,
Habe aber die Festplatte C:\ defragmentiert ohne dass Probleme oder Fehlermeldungen auftraten.

Bin gespannt, ob chkdsk etwas gebracht hat.
Lass es uns dann wissen :D

mfg

Vielen Dank,

Werde das Alles ausprobieren !

An dieser Stelle noch eine Frage:

Was muss man bein Posten eines autoruns Log-Files beachten ?

Gruß,

Christian124

Diese Athlons verbrauchen viel Strom und werden entsprechend heiß. 67°C ist zwar noch ok, falls das aber im Leerlauf gemessen ist, befürchte ich, dass die Temperatur unter Last wohl zu hoch wird. Ich hab ein Athlonsystem das unter voller Last ca. 65 °C erreicht, Leerlauf ca. 40 °C.

Die Plattentemperaturen sind zu viel hoch. Alles jenseits von 40 °C ist schlecht, weniger ist deutlich besser.

Autoruns: Vor allen Dingen dass es vollständig und unverändert ist. Ich persönlich benutze eine Auswertungssoftware, die alles andere nicht mag. Außerdem ist die Länge eines Beitrags hier im Forum stark begrenzt, zu sehr für ein solches Log. Das Log aus diversen Beiträgen rekonstruieren ist Extraarbeit, da lädst Du es besser bei File-Upload hoch und bringst hier den Download-Link.

Hallo,

Chkdsk hat auch nichts gefunden !

Aber Malwarebytes Anti-Malware fand 10 Malware des Typs RogueSmart und Rogue.Multiple. Habe diese Malware beseitigt.
Nach Systemneustart wurde nur noch Rogue.Multiple gefunden. Habe dieses erneut beseitigt. Nach ca. 1 Stunde fand der Scan erneut Rogue.Multiple.

Sieht man im Internet unter Rogue und Malware nach findet man u.A. den Gozi-Trojaner, der sich durch MS Sicherheitslücken auf dem System installiert. Die Beschreibung passt sehr gut auf das, was ich auf meinem befallenen PC erlebt habe:

Die meisten gängigen auf Basis von Virensignaturen arbeitenden Virenscanner können nur mit geringer Wahrscheinlichkeit die Installation dieses Trojaners verhindern und finden ihn meistens nicht.
Der Trojaner ist überhaupt schwierig zu identifizieren, da er sehr gut getarnt ist !
Hat einen Keylogger.
Kann Systemabstürze verursachen.
Ist ansonsten aber eher unauffällig

Was kann man weiter tun ?

Also ein viertel Jahr bist Du jetzt schon fast am basteln. Der Thread hier läuft auch schon einige Zeit, ich denke wir haben jetzt alles durch, was man hier im Rahmen eines Forums probieren kann. außer vielleicht: einmal gründlich das System neu aufsetzen. Inklusive löschen und neuanlegen aller Partitionen. wenn es wirklich kein Trojaner wäre, müsste er dann weichen. Aber das willst Du ja aus irgendwelchen Gründen nicht.

Jetzt schlag ich vor, dass Du dir eine Fachwerkstatt suchst, denen den Computer auf den Tisch stellst, ihnen genau berichtest, was los ist und ihnen den Auftrag erteilst, den Computer fit zu machen. Da sind die richtigen Pferdeflüsterer, Psychoanalytiker und Exzorzisten. Eventuell spart es ihnen etwas Arbeitszeit (und dir damit Geld) wenn Du ihnen einen Link auf diesen Thread gibst.


Man bekommt kaum die Informationen hier zu sehen, die man bräuchte, sondern im wesentlichen Geschwafel von der Psyche eines Trojaners. Ich hab einfach keine Lust mehr.

Endlich hat ein Malware-Scanner-Programm eine konkrete Malware gefunden: Rogue.Multiple

Rogue.Multiple kommt in anderen Threads des Trojaner-Boards vor und auch im Internet.

Wer hat schon einmal mit einem solchen Problem zu tun gehabt ?

ui, hier gehts ja weiter... :crazy:

also wenn ich einen trojaner mit keylogger, der Daten nach Rußland schickt, drauf hätte, würde ich as soon as possible meine daten sichern und neu installieren.

aber abgesehen davon tippe ich bei den C°-werten auf ein Temperaturproblem.

Hast du Malwarebytes aktualisiert?

Hallo,

Habe Malware-Bytes aktualisiert ! Malware-Bytes hat schließlich zum erstenmal wirklich eine Malware gefunden und mit Rogue.Multiple bezeichnet.

Beseitigt man die Malware mit Malware-Bytes und wartet man eine Zeitlang (habe ca. eine Stunde gewartet ) und wiederholt den Scan, so wird Rogue.Multiple erneut gefunden. Das Gleiche geschieht nach einem Systemneustart.

Gruß,

Christian124

systemwiederherstellung ist deaktiviert?

Ja, ist deaktiviert.

Auch die Einstellungen in "Systemeigenschaften" sind o.k.

Übrigens, die Bemerkung bzgl. des Gozi-Trojaners war nur ein Beispiel, wollte damit nicht behaupten, dass es genau der Gozi-Trojaner ist.

Fein, dass Malwarebytes was gefunden hat. Jeder andere Mensch hier mit einem Problem wird das Log in seinen Thread kopieren, Du hast es aber nicht nötig. Auf der Basis kannst Du hier noch Jahre rummachen ohne dass was dabei rauskommt. Ich denk Du solltest erstmal das hier verinnerlichen.

Hallo,

Hier das Malwarebytes Logfile:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 982
Windows 5.1.2600 Service Pack 2

15:48:11 25.07.2008
mbam-log-7-25-2008 (15-47-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51275
Laufzeit: 8 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install (Rogue.Multiple) -> No action taken.



Anbei der Link, wo ich das Autoruns log-file hochgeladen habe:

http://www.file-upload.net/download-...bearb.txt.html




Hier das aktuelle Hijackthis log-file:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:12, on 25.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HJT\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Bertelsmann
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216647403515
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7978 bytes


Gruß,

Christian12446

Wenn ich das richtig sehe ist laut deinem Hijackthis log alles inordnung ausser der Eintrag von Malewarebytes. Ich würde den PC im Abgesicherten Modus starten den Pfad aufrufen und den eintrag löschen. Desweiteren kannst du alle Temp Ordner löschen. (Den Inhalt)

MFG Justin

Hallo,

Wie sieht's aus mit dem Autoruns Log-File, habe den Link auch aufgeführt.

Ist da etwas drin ?

Da ich das angeregt hatte, melde ich mich noch mal. Nichts infektiöses drin, aber eine brisante Mischung aus Kopierschutztreibern, diverser nicht richtig deinstallierter Software (Ordner/Dateien löschen reicht eben nicht), parallel zu Antivir hängen auf deinem System mindestens noch Reste von Norman und Trendmicro, Tuneup, InCD, veraltetes Java, ..., anscheinend hast Du ja auch schon eine Menge Rootkitscanner benutzt, so dass man das auch nicht mehr machen muss (die haben auch ihre Reste hinterlassen).

Nichts was ein Grund für Probleme sein muss, aber alles Sachen, die es schon oft waren. Wie lang ist es denn schon her, dass Du dieses System installiert hast? Wie schon angedeutet: Wenn es meins wäre, hätte ich es schon längst mal sauber neu aufgesetzt. wenn es dann noch Probleme macht, wüsste ich dann genau, dass ich mich mit meiner Hardware beschäftigen müsste.

Hallo,

Würde ich z.Zt. das System neu aufsetzen, wäre eine Aufklärung des Problems, wenn es sich um Malware handelt nie mehr möglich.

Um das System neu aufzusetzen muss ich erst aus Sicherheitsgründen ein Image der aktuellen C: mit DriveImage auf eine externe USB-Festplatte schreiben. Da dies auf dem befallenen Rechner aber z.Zt. nicht funktioniert muss ich entweder die Festplatte als Slave in einen anderen Rechner einbauen und dann sichern. Oder die aktuelle Sicherungs-HDD für Daten ( nur 50GByte ) ausbauen und durch eine größere zweite HDD ersetzen, dann mit BartPE und DriveImage eine Sicherheitskopie erstellen. Für beides brauche ich etwas Zeit.

Außerdem, falls es sich um ein HW-Problem handelt nützt "das System neu aufzusetzen" nichts. Das Problem wäre danach immer noch da.

Möchte erst einmal klar wissen, ob es sich um ein HW-oder ein Malware-Problem handelt. Im Fall eines HW-Problems genügt evtl. eine bessere Kühlung oder eine neue HDD. Gegen ein HW-Problem spricht, dass auch der Full-Scan von Malwarebytes durchläuft ( 2 Stunden 47 Minuten ). Außer Rogue.Multiple findet auch dieser nichts !

Die Reste von älteren Programmen hätte ich früher beseitigen sollen. Jetzt wird Norten Clean-Sweeep auch abgeschossen !

Hinterher ist man immer klüger !

Gruß,

Christian124

Die Frage ist, ob du forschen willst oder einfach das Problem loswerden willst. Wer forschen will, sollte imstande sein, selber voranzukommen, ich kenne diverse Leute die sich mit der Erforschung neuer Malware beschäftigen, gemeinsam ist ihnen, dass sie es nicht nötig haben, sich in Foren erklären zu lassen, was zu tun ist.

Kann passieren. Es sieht aber nun mal nach zwei Möglichkeiten aus: Defekte Hardware oder ein korrumpiertes System. Da muss man mal zu einer Entscheidung kommen. Übliche Strategie ist es, sich darum zu bemühen möglichst viele Möglichkeiten auszuschließen, wenn eine noch übrig ist, dann ist sie die zutreffende, egal wie unwahrscheinlich sie ist. Die Methode hat übrigens bereits Sherlock Holmes gekannt und sehr erfolgreich eingesetzt. Die Möglichkeit "korrumpiertes System" kann man sehr einfach ausschließen: Indem man es neu installiert. Der Aufwand ist minimal, die Zeit, die Du nun schon am basten bist, hättest Du mindestens 100 mal Gelegenheit gehabt. Der Einbau einer Platte in einen anderen Rechner dauert auch nur Minuten.

Bei der Variante "defekte Hardware" anzusetzen ist schwieriger. Meistens läuft das darauf hinaus, systematisch Teil für Teil zu tauschen. Ich gehe aber mal davon aus, dass Du kein Lager mit den dafür benötigten Teilen hast.

So langsam frage ich mich wie es mit WGA steht, irgendeinen Grund muss es doch dafür geben, so wenig von einer Neuinstallation zu halten. Mir fällt echt kein anderer ein.

Dann kümmere dich jetzt und sofort um eine deutlich bessere Kühlung deiner Platten. Sonst sind sie nämlich verdammt schnell tot, das sind Temperaturen, die sind Gift für Festplatten. Und dann ginge dieser Thread weiter: "Gebt mir meine Daten zurück".

Ich kapiere allerdings auch nicht, wieso in deinem Malwarebytes Log steht:
"No action taken": Warum dann der Scan? Weg damit. Im übrigen ist dieses Log so sauber wie selten eins. Schau dir einfach mal andere Malewarebytes Logs hier im Forum an.

Ich denke auch nicht, dass das Vorhandensein dieser Datei solche Effekte auslösen kann. Anyway: Es sieht mir sehr danach aus, dass Du dieses Problem behalten willst. Ok, manchen Leuten macht das Lösen von Problemen mehr Freude als sie losgeworden zu sein "Der Weg ist das Ziel". Dann muss man ihn aber auch gehen können. siehe oben. Deshalb werde ich meine weiteren Ideen hier nicht mehr reinschmeißen.

Bye.

...ich kann mich da nur zu 100% KarlKarl anschliessen!

entweder Du befolgst die Tipps oder läßt es eben.

Google nach deinen Hardwarekomponenten in deinem System in Bezug auf die Temperatur und Du wirst schnell sehen dass Du einen intelligenten TemperaturTrojaner im System hast. Der schaltet dann eben bei einer bestimmten C°-Zahl ab oder verursacht BSODs.

Hallo,

Möchte das Problem lösen !

Habe keine BSODs, sondern Systemabstürze.

Nach Restart kommt das Fenster: "Das System wird nach einem schweren Fehler wieder ausgeführt". Im Problembericht an Microsoft steht:

C:\DOKUME~1\loginname2\LOKALE~1\Temp\XDMusic.sys

Der gleiche Eintrag befindet sich im Autoruns log-file:

File not found: C:\DOKUME~1\loginname2\LOKALE~1\Temp\XDMusic.sys


In C:\Install war ein File Crack.reg. Habe dieses File gemäß Ratschlag aus dem Trojanerboard gelöscht.

Gruß,


Christian124

Dann tue es doch endlich !

mal als Beispiel: bei mir hat die Jetico Firewall immer einen BSOD verursacht, obwohl sie Vista tauglich ein soll.
Tja, es gibt da ein seltenes Problem mit dem Treiber meiner Grafikkarte.

Solche Dinge muß man selbst rausfinden, da kann Dir in einem Forum keiner helfen, außer er hat zufällig schon mal das gleiche Problem gehabt.

Google ist Dein Freund, ich empfehle Dir Google.com (suche auf englischen Seiten)

Viel Erfolg,
Heike :teufel3:

...dann ein letzter vorschlag!

lade dir JV16 Power Tools (30-Tage Trial!!! reicht aber aus--> keine Crack.reg oder so nutzen) herunter und nutze dort den Registry Cleaner mit Agressive Registry-Cleaner-Einstellung .

Alle Funde löschen...

Hallo Trojanerboard,

Nochmals vielen Dank an alle, die mir geholfen haben !

Die Sache ist wie folgt ausgegangen, das waren mehrere Probleme und deshalb so schwierig zu entdecken und zu beseitigen:

1.) Malware, Rogue.Multiple
2.) CPU-Lüfter verstopft, CPU zu heiß, war einfach zu reinigen !
3.) Festplattentemperatur zu hoch, habe zusätzlichen Lüfter eingebaut.
4.) Datenmüll: Mit CCleaner gereinigt.
5.) Auf dem durch diese vielen Probleme hochgradig instabilen System kamen Updates nur noch zufällig durch, dadurch Versionschaos verschiedener Programme: In der Zwischenzeit wurde alles upgedated.

AntiVir und Superantispyware upgedated und zusätzlich die Sygate lokale Firewall installiert.

Nochmals Vielen Dank,

Christian124