Hallo,

ich hab ein Problem mit Ad-Aware. Jedesmal wenn ichs Updaten will, also auf "Connect" klicke, stürzt mein Computer ab (sprich: alles wird für den Bruchteil ner Sekunder blau mit weißer Schrift) und startet automatisch neu.
Dann krieg ich ne Meldung von Spybot, die besagt: Spybot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.
Kategorie: System Startup global entry
Änderung: Wert gelöscht
Eintrag: Kernel Fault-Check
Alte Daten %systemroot%\system32\dumprep0-k

Ich hab keine Ahnung was das bedeutet, aber gut hört sichs irgendwie nich an.

Vielleicht sollte ich noch erwähnen, dass ich gestern den ADSPY NewDotNet A.7-Virus drauf hatte, aber eigentlich danach alles wieder okay war.

Kann mir vielleicht irgendwer helfen? Das wäre furchtbar nett.
Danke,
stebu

Mache einen escan, genau nach Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

Okay. Also nachdem ich mir fast schon sicher war, dass ich dafür einfach zu blöd bin, hier mein Log: (d.h. ich hoffe das ist das Log, das Du gemeint hast. Ich hab nämlich keinen Schimmer... )

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 23 20:42:22 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Fri Sep 23 20:42:28 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Fri Sep 23 21:05:33 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Sep 23 21:33:55 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 23 20:42:22 2005 => Offending file found: C:\DOKUME~1\Stebu\LOKALE~1\Temp\insthelp.dll
Fri Sep 23 20:42:28 2005 => Offending file found: C:\DOKUME~1\Stebu\LOKALE~1\Temp\setup_wm.exe
Fri Sep 23 21:33:55 2005 => Total Virus(es) Found: 3
Fri Sep 23 21:33:55 2005 => Total Errors: 66
Fri Sep 23 21:33:55 2005 => Time Elapsed: 00:52:32
Fri Sep 23 21:33:55 2005 => Total Objects Scanned: 54874
Fri Sep 23 20:40:39 2005 => Virus Database Date: 2005/09/23
Fri Sep 23 21:33:55 2005 => Virus Database Date: 2005/09/23
Fri Sep 23 22:20:08 2005 => Virus Database Date: 2005/09/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ich hoffe, ich hab nix falsch gemacht und jemand kann mir helfen.

Danke,

stebu

Das mit dem escan hast Du doch sauber hinbekommen.
Zu den Problemen:
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
Leere den Quarantäne-Ordner des Antivirenprogrammes.
Danach poste ein HJT-Log:
http://www.trojaner-board.de/showthread.php?t=17493

Mein HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:59:08, on 24.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Stebu\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {A569FC13-6042-4280-8135-B5B2053FB979} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Und vielen, vielen Dank für Deine Hilfe!

stebu

Hallo stebu,

dein Log-File sieht sauber aus.

Sollte das Problem bzgl. Ad-Aware noch nicht aus der Welt sein, dann deinstalliere es und bereinige die Registry mit RegSeeker (nur grüne Funde löschen lassen!). Anschließend lädst du dir die neue Ad-Aware Version und installierst diese.

Zitat:

Dann krieg ich ne Meldung von Spybot, die besagt: Spybot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.

Das ist normal, denn der TeaTimer von Spybot S&D überwacht die Registry und sobald irgendwelche Veränderungen festgestellt werden, erhältst du eben diese Warnmeldung.
Die Meldung ansich ist auch nicht weiter schlimm, da beim Absturz deines Systems ein Minidump (Speicherabbild) angelegt wurde.

Hi,

wollte mich erstmal bedanken. Es ist unglaublich, wie schnell und freundlich und fachmännisch einem hier geholfen wird.
@Cidre: Deine Anleitungen für Hijack This und eScan sind übrigens phantastisch, hätte nie gedacht, dass ich(<- absolut Computer-unbewandert) sowas mal zum zum Laufen bringen kann...; ) Danke.

Hab Ad-Aware deinstalliert, RegSeeker laufen lassen, die grünen Einträge gelöscht und Ad-Aware wieder neu installiert, aber der Computer stürzt immer noch ab, wenn ichs laufen lassen will. Kanns sein, dass das was mit meinem Internet zu tun hat? Ngh.

Liebe Grüße und Danke,

stebu

Es geht wieder. Keine Ahnung, wie das passiert ist oder warum auf einmal, aber es geht wieder.

Danke nochmal für Eure Hilfe!

stebu