|
Neustart Problem, evtl. dllcon.exe oder muamgard.exe Hi Leute! Bin froh das ich ein gutes Forum gefunden habe. Hab schon einiges gelesen hier und es sieht so aus als könnte hier jemand sein der mir helfen kann. *aufschleimspurausrutscht* :D Also: Gestern hab ich mich zum ersten mal in eine neue Verbindung per DSL eingewählt und alles lief wie immer. (Windows XP Prof, SP1) Dann nach einem Neustart kam auf einmal ein Fenster das mich aufforderte bei Microsoft zu registrieren da angeblich die licence.cfg nicht in Ordnung sei. Da hab ich mir noch nichts gedacht. Dann allerdings schmierte mein Rechner jedesmal ab sobald ich meine DFÜ Verbindung aufbauen wollte. So, also, ich hatte auf einmal die dllcon.exe, die muamguard.exe und die licence.exe in meinem Windows Ordner. Außerdem fand ich zwei Dateien mit Namen: sync64.exe und swatch32.exe die mir komisch vorkamen. Ich hab also die registry Einträge gelöscht (unter Run), die Dateien gelöscht und F-Prot über mein System laufen lassen. F-Prot hat nix gefunden. Jetzt funktionierte meine Inet Verbindung wieder doch jedes mal wenn ich mich einwähle werden die license.exe, die swatch32.exe und die sync64.exe neu erstellt und wenn ich jetzt neustarte und mich versuche einzuwählen schmiert der Rechner wieder ab. Irgendwie hat sich hier wohl was eingenistet das ich so nicht entfert kriege. Müsste sicher ne .dll sein die ich nicht kenne oderso. Kann mir jemand helfen? Bin mit meinem Latein am Ende... vielleicht ist es ja auch noch ne andere Datei/Virus/Trojaner der hier irgendwo sitzt und seinen Spass hat. Gruß Sam |
Halli Hallo Hallöle, lad Dir mal "HijackThis" runter, und poste mal dein Log für uns, desweiteren benutze bitte eScan im ABGESICHERTEN Modus (Windows booten --> Gesehen gelacht F8 --> Abgesichert ; wie Du an eScan kommst ist easy, such einfach mal hier im Forum, bin etwas Schreibfaul heute). Die license.cfg hat rein gar nix damit zu tun ob dein CD Key etc gültig ist, in sofern stimme ich Deiner Vermutung zu, das ganze ist an anderer Stelle eingebaut ;) Poste einfach mal das log und wir sehen weiter. Gruß Andy |
Hab mit Antivir den Wurm rbot.cv auf dem MBR gefunden. Hab ihn unterm abgesicherten Modus gelöscht aber er scheint wieder da zu sein... StartupList report, 20.08.2004, 18:14:53 StartupList version: 1.52.2 Started from : C:\DOKUME~1\SamBroXX\LOKALE~1\Temp\SQZ6.tmp\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\SpeedCommander 9\SpeedCommander.exe C:\Internet\ZoneAlarm\zapro.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\SamBroXX\LOKALE~1\Temp\SQZ6.tmp\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Steam = Sw32 = C:\WINDOWS\swatch32.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - c:\programme\AcrobatReader5.1\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [QuickTime Object] InProcServer32 = e:\video\quicktime6\QTPlugin.ocx CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab [Shockwave ActiveX Control] CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab [ChainCast VMR Client Proxy] InProcServer32 = C:\WINDOWS\Downloaded Program Files\ccpm_0237.dll CODEBASE = http://www.streamaudio.com/download/ccpm_0237.cab [{41F17733-B041-4099-A042-B518BB6A408C}] CODEBASE = http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe [EARTPatchX Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll CODEBASE = http://www.ea.com/downloads/rtpatch/EARTPX.cab [GSDACtl Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\gsda.dll CODEBASE = https://www.gamespyid.com/alaunch.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- |
Hi Leute! Ich bins wieder. Ich brauche immer noch dringend Hilfe. Nachdem ich meinen Rechner jetzt im abgesicherten Modus mit allen möglichen Virenscannern durchgescannt habe und spybot durchlaufen habe scheint der Rechner Virenfrei zu sein... wohlgemerkt im abgesicherten Modus. Jetzt ist allerdings das Problem das der Rechner im normalen Modus nicht mehr startet. Nach dem klicken von "Sam anmelden" kommen tausende von Fenstern mit dem Inhalt: "Windows- Datenverlust beim Schreiben" " Es konnten nicht alle Daten für dir Datei xxx gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Daten woanders zu speichern" Für "xxx" werden alle möglichen seltsamen Dateien angezeigt oder auch C:\Windows\system32\config\config oder C:\$Mft Tja, wie gesagt, diese Fenster kommen x-mal und wenn ich alle druchgeklickt habe bleibt Windows stehen. Wäre echt dankbar wenn einer hilft. Sam |
Hallo Sam00, wäre es Dir möglich ein HijackThis-Logfile zu erstellen und hier zu posten, bitte? Schau mal hier: http://www.trojaner-board.de/51130-a...ijackthis.html ... SD |
Hier nochmal mein logfile, aber vom abgesicherten Modus leider nur: Logfile of HijackThis v1.98.2 Scan saved at 10:04:10, on 21.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\SpeedCommander 9\SpeedCommander.exe C:\Programme\SpeedCommander 9\SpeedCommander.exe C:\DOKUME~1\SamBroXX.SAM\LOKALE~1\Temp\SQZ39.tmp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\AcrobatReader5.1\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Jet Detection] c:\programme\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [IpCtrl] C:\WINDOWS\ipcon32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Internet\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab |
Möglich, dass das System durch die Malware nachhaltig in Mitleidenschaft gezogen wurde. Es kommt durchaus vor, dass bei Installation von Schädlingen diese das System so verändern, dass nach deren Entfernung - soweit möglich - erhebliche Probleme auftreten, z.B. bekannt bei Foistware wie NewDotNet oder 180-Solutions. Kannst du diese Datei isolieren? C:\WINDOWS\ipcon32.exe -> Speichere sie auf Diskette und prüf sie dann bei Kaspersky: http://www.kaspersky.com/de/scanforvirus |
Hab sie grade überprüft, scheint ok zu sein... Irgendwie scheint es mir so als hätte der Virus einen neuen Benutzer angelegt und versucht bei der anmeldung auf den zuzugreifen. Alles sehr seltsam... Bin die ganz Zeit im abgesicherten Modus. Das gibts doch echt nicht... :snyper: Nachtrag: Hab eben nochmal versucht zu starten. Jetzt kommt auch noch das Fenster der bei, ich glaube Sasser war es, immer kam. "blabla... ihr system wir heruntergefahren blabla" Hab AntiSasser Tools durchgeführt und nix wurde gefunden. Sam |
C:\WINDOWS\ipcon32.exe Schick die Datei mal zu partytime-germany.ice@web.de Ansonsten bitte das fixen: R3 - Default URLSearchHook is missing |
So, ich muss mich geschlagen geben. Hoch lebe der Hacker der mir das eingebrockt hat, du hast gewonnen. Ich werde mein WinXP neu installieren. Bin grad dabei alles platt zu machen. Naja, hab auf meiner Windows Partition nicht viel weiteres drauf, deswegen halb so schlimm, aber meine ganzen Programme neu einrichten ist natürlich ärgerlich. Dann knall ich mir gleich das SP2 drauf (gibts da schon nen Crack? :D ) Ich schätze die ganzen Probleme hab ich mir eh selbst eingebrockt. War erstens mit einer "Witz CD" von einem Kumpel zu unvorsichtig und zweitens hat mein scheiss F-Prot die Viren dadrauf wohl nicht erkannt. Danke an alle die versucht haben zu helfen, aber nach 2 Tagen Stress mit meinem Rechner scheint mir die Neuinstallation als die leichteste Lösung. WOllte das eh mal wieder machen. Falls jetzt noch jemand Tips zum Neueinrichten hat wäre ich auch dankbar. Gruß an alle Sam |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board