Hallo Ihr,

meine Mitbewohnerin hat ein Problem mit ihrem Rechner.
Ihr Rechner ist in unserem Netzwerk der Server-PC.
BS ist Win2000, sie nutzt IE 6.0.

Von Zeit zu Zeit passiert es das sie keine Links mehr öffnen kann, d. h. sie kann dann zwar drauf klicken aber es passiert nichts. Auch Strg+C und Co fuktionieren dann nicht mehr, selbst mit Einfügen - Kopieren im Explorer funktioniert es nicht, d. h. die Links kopieren und im URL Feld einfügen ist auch nicht drin.

Vor einiger Zeit hatte sie das Problem schon mal - das haben wir aber scheinbar irgendwie in den Griff bekommen, denn darauf trat das Problem nicht mehr auf - bis vor ca. zwei Wochen.

Da sie da ständig Trojaner-Warnungen bekam per AntiVir hab ich überlegt ob es nicht daran gelegen haben könnte. Sie hat zwar auf Grund der Meldungen von AntiVir die entsprechenden Dateien immer gelöscht - aber da die immer wieder auftauchten habe ich den PC im abgesicherten Modus gestartet und den Virenscanner, AdAware, Spybot und den Hijack drüber laufen lassen (und bei letzerem die zwei, drei kleinen Dateien die empfohlen wurden zu löschen, habe ich gelöscht).

Schon kurz danach - sozusagen, kaum das der PC wieder normal gestartet wurde passierte es wieder.

Sie kann auch nicht genau sagen ob vorher was passiert. Es kommt immer eine Fehlermeldung die sich sich leider nicht gemerkt hat. Ich habe sie mal gebeten diese aufzuschreiben wenn es wieder passiert.
Beim vorletzen Mal weiss sie noch das sie in einer Email auf einen "kaputten Link" geklickt hat, also so einen unterbrochenen. Danach ist der Fall aufgetreten. Sie weiss aber nicht ob das immer so war. (Auf meinem Rechner passiert nichts wenn ich das tue, ich weiss also nicht ob es wirklich an sowas liegt.) Ach so, sie nutzt Outlook Express und konnte, als das passiert ist, auch keine neue Email schreiben sagt sie gerade.

Es passiert auch nicht sehr regelmässig. Mal zweimal bis dreimal am Tag, mal nur einmal - manchmal sogar gar nicht.

Hm, ich hoffe das waren jetzt einigermassen hilfreiche Infos für Euch und Ihr habt vielleicht eine Ahnung was ihr PC da grad für ein Problem hat. Ich fand es eben irritierend das das gleich nach einer "Säuberungsaktion" wieder passiert ist, wobei man ja damit - selbst im abgesicherten Modus - auch nicht immer alle "Bösewichter" erwischt, oder?

@Caleb
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.
Wenn sie aber Internet Explorer, Outlook Express und noch dazu - ungepatchtes Windows benutzt... tja. Ich sage lieber jetzt nichts mehr.

Danke für die schnelle Reaktion:

Zitat:

Wenn sie aber Internet Explorer, Outlook Express und noch dazu - ungepatchtes Windows benutzt... tja. Ich sage lieber jetzt nichts mehr.

Ja, mein Reden - aber bisher konnte ich sie noch nicht überzeugen Browser und Email-Client zu wechseln weil ihr das so vertraut ist. Naja, das krieg ich über kurz und lang auch noch hin wenn ihr sowas jetzt noch öfter passiert.

Hier mal das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:20:20, on 05.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
D:\A NEW SYSTEM\Downloads\Security\Hijack\hijack 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**t://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

h**t://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adaptec DirectCD] REM

C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v4]

C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles]

C:\Programme\\checker.exe /check
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft

Office\Office\OSA9.EXE
O11 - Options group: [!IESearch] !IESearch
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: Yahoo! Chat -

h**t://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing)

- h**t://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

h**t://software-dl.real.com/21cabb0f17737246e606/netzip/RdxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -

h**t://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{41C7D3DC-0DD9-4079-ACF4-F04507104FD6}:

NameServer =

HKLM\System\CS1\Services\Tcpip\..\{41C7D3DC-0DD9-4079-ACF4-F04507104FD6}:

NameServer =
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany

- C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger

(dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Hallo Caleb,

das gespostete HJT Log-File sieht zumindest sauber aus. Scanne sicherheitshalber mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Zitat:

das Problem schon mal - das haben wir aber scheinbar irgendwie in den Griff bekommen, denn darauf trat das Problem nicht mehr auf

Kannst du noch nachvollziehen, wie ihr es damals beseitigt habt? Welche Malware wurde entdeckt/entfernt?

btw:
Warum ist das HJT Log-File so verzerrt?

Also, erstmal danke für die Antwort und sorry das ich jetzt erst reagiere, aber die Woche war so stressig.

Mitlerweile hat sich das Problem soweit gelöst, aber mir ist nicht so ganz richtig klar warum. Ich habe mich nach dem Post über Google weiter schlau gemacht wegen dieser "Links gehen nicht"-Sache und dabei hab ich Hinweise auf Blaster erhalten.

Also hab ich auch Spider wieder über ihren Rechner laufen lassen (obwohl ich mir sicher bin das ich das auch vorher schon gemacht habe ) (Wieso findet Anti-Vir Blaster eigentlich nicht?) Danach bekam sie vor fünf Tagen ungefähr noch mal diese Fehlermeldung: svchost.exe hat einen fehler verursacht und wird geschlossen, aber die Links gingen weiter. Naja, und seit dem hat sie komplett Ruhe, nicht mal mehr die Fehlermeldung kommt.

Zitat:

Kannst du noch nachvollziehen, wie ihr es damals beseitigt habt? Welche Malware wurde entdeckt/entfernt?

Meiner Meinung nach nichts anderes als jetzt auch. Ad-aware, Spybot, Hijack, Ecscan und Spider, aber beschwören würde ich es nicht. Ich würde mich ja auch gar nicht wundern, wenn ich nicht so sicher wäre das ich diesmal auch den Spider hab drüber laufen lassen.

Escan hab ich in jedem Fall mal gemacht, nur leider lässt sich das Log nicht öffnen. Im Task-Manager steht dann das das Log nicht reagiert und ich muss den Task schließen. - Vielleicht hab ich einfach zuviel angehakt - der hat auch ewig gescannt. Stunden - kam mir letztes Mal nicht so lang vor. Muss ich nochmal machen sobald ich es einrichten kann - ich bin nämlich der Meinung der hat Sachen gemeldet.

Zitat:

btw:Warum ist das HJT Log-File so verzerrt?

In wie fern verzerrt? Ich hab einfach http verändert, und das rausgenommen was mir relavant erschien (persönliche Daten u. ä.) - dann hab ich es per Copy+Paste hier eingefügt.

Dank von Caleb