hallo,
ich bin zufällig auf euer forum gestossen, weil mein PC seit kurzem ein Problem hat: Er stürtzt willkürlich ab, d.h. der bildschirm wird schwarz, der pc ist komplett down und rebootet dann... ich bin mir nicht sicher, aber ich hab das gefühl, dass das auf bestimmte aktionen von mir passiert (z.b. hab ich antivir das neueste update runtergeladen und als ich dann im setup fenster auf "alle entpacke und antivir installieren" geklickt hab, hat er erst alles schön regelkonform entpackt, und ist dann abgestürtzt)
mittlerweile bin ich echt verzweifelt, weil jetzt auch noch z.b. explorer.exe abstürtzt oder firefox.exe
ich hoffe, ihr könnt mir helfen
mfg mo

Hallo,

erstelle bitte ein Hijack This Logfile und poste es hier.
In meiner Signatur findest Du einen Link, wie das geht.

Gruß

Schrulli

Logfile of HijackThis v1.99.1
Scan saved at 19:10:20, on 02.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\Skype\Skype.exe
C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Hallo,

fixe bitte folgende Einträge:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Lade mal die folgende Datei bei Jotti hoch und prüfe ob da Befall ist:

C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe

Falls ja löschen und das auch.

O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\*******\Eigene Dateien\*******\ObjectDock\ObjectDock.exe

Dannach poste noch mal ein Log

Gruß

Schrulli

also, jotti sagt, objectdock.exe is in ordnung

Logfile of HijackThis v1.99.1
Scan saved at 19:33:14, on 02.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\******\Skype\Skype.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\******\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\******\HijackThis\HijackThis.exe
C:\Programme\AVPersonal\INETUPD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\******\Eigene Dateien\******\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Dokumente und Einstellungen\******\Eigene Dateien\******\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

ich hab die beiden einträge gefixt...

Hallo,

das Log sieht imho gut aus, bestehen die Probleme die Du anfangs angeführt hast denn immer noch?
Kannst Du Antivir jetzt installieren?

Gruß

Schrulli

äh, ich hab grad antivier deinstalliert, und sophos antivir installiert, das ging ohne probleme. das mit den abstürzen kannich momentan nciht beurteilen (bis jetzt hat sich alles gut verhalten)

vielen dank schonmal, für die schnelle hilfe

achja, nochwas, passt vielleicht nichtso, is auch nichso wichtig, aber ich hab auf meinem desktop irgendwei einen leeren ordner, den ich nicht löschen kann... Meldung: "EMPIRE EARTH (ordnername) kann nicht gelöscht werden. Überprüfen sie pfad und dateiangaben."

was kann ich tun?

Hallo,

versuche es mal mit Killbox oder mit dem Total Commander.

werd ich machen, ich hab grad entdeckt, es gibt mehrere solche dateien, und die virensuche von sophos wurde vorzeitig beendet, wegen eines "Fehlers"
diese dateien hab ich entdeckt, dass der virenscanner sie nicht durchsuchen kann. man hat komplett keinen zugriff und sie haben komische namen (z.b. ¿ vk; oder @¹Æ╝ý─
. )
soll ich da auch killbox oder total comander versuchen?

Du scannst aber schon im abgesicherten Modus?
Wenn Ja, dann poste anschließend mal den Report (Log Datei) von Sophos.

uh, äh im mom nicht, ich hab jetzt mal so eine datei versucht mit killbox zu löschen, aber da kommt die meldung "this file doesn't seem to exist" bei jotti kann ichs auch nicht überprüfen lassen, da kommt nämlich die meldung "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
es gibt einige von diesen dateien... vor allem im temp verzeichnis...
dann scann ich jetzt mal im abgesicherten modus

boar
jetzt hab ich angefangen im abgesicherten modus zu scannen, jetzt is das teil wieder ausgegangen
@ Schrulli: lag wahrscheinlich doch nicth an den einträgen in dem hjt file.
was ich auch noch entdeckt hab, es gibt einige pdf dateien, die passwortgeschützt sind, an denen der virenscanner scheitert (nicht abstürtzt, aber ne fehlermeldung bringt) dumm nur, das weder ich noch sonst irgendwer aus meiner familie das passwort kennt, oder die dateien erstellt hat.
irgendwie taugt mir das gar net

Deaktiviere den automatischen Neustart [1] und dann erhältst du beim nächsten Absturz auch einen Bluescreen. Poste den Inhalt des Bluescreens bzw. google nach der Fehlermeldung.

Andernfalls könntest du es mit eScan im abgesicherten Modus versuchen und uns die Virus Log Informaton zur Verfügung stellen.

[1] Systemsteuerung -> System -> Erweitert -> Einstellungen bei "Starten und Wiederherstellen" -> Haken entfernen bei "Automatisch einen Neustart durchführen".

ich hab jetzt einen kompletten viranscann ohne abgesicherten modus durchgeführt, kein ergebnis. bis auf die sechs pdf dateien, die verschlüsselt sind.
leider hab ich keine ahnugn, wodurch die systemabstürze hervorgerufen werden. jetzt muss ich halt waten
vielleicht sollte ich einfach dei festplatte komplett formatieren, dan wär auch das problem mit den komischen "phantom"-dateien gelöst...
achja, wegen dem scann: kann ich nicht einfach das von sophos posten? oder ist an dem escan irgendwas besonderes?
vielen dank für die mühe
mo