Logfile of HijackThis v1.99.1
Scan saved at 11:24:45, on 28.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\MACHANN\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.de
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9D3C6343-BF4C-4DC2-8A92-DA33A32BDE99} - C:\WINDOWS\system32\dmloades.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094397783342
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5A2F89C-0E42-4AB4-BA15-BB032C739B82}: NameServer = 217.237.149.161 217.237.150.115
O23 - Service: avs6_off - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2006\Antivirus\avs6_off.exe
O23 - Service: avs6_on - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2006\Antivirus\avs6_on.exe
O23 - Service: avs_off - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2005\AntiVirus\avs_off.exe
O23 - Service: avs_on - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2005\AntiVirus\avs_on.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Zusatz:
Unterhalb von "Hkey_current_user\software\microsoft\windows\currentversion\run"
befindet sich der eintrag "msmsgs.exe".
Beim suchen in Foren bin ich drauf gestossen, dass es sich um einen trojaner handeln könnte.

Hi,

Lese bitte die NUb (siehe sig) durch, damit eine bessere Hilfe
möglich ist.
Die Einträge bitte im abgesicherten Modus fixen.

Zitat:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9D3C6343-BF4C-4DC2-8A92-DA33A32BDE99} - C:\WINDOWS\system32\dmloades.dll (file missing)

Zitat:

O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll

Untersuche die markierte Datei mal bitte bei Virustotal oder Jotti (siehe sig)

Edit:msmsgs.exe müsste eigentlich der hier sein.

mfg Cleriker

O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll

Gehört zu eScan!

Die beiden Einträge habe ich im abgesicherten Modus gefixt. Der mwtsp.dll Eintrag ist laut Virustotal von eScan. Mein Problem ist das der Rechner sich oft einfach abschaltet und auch Internetseiten einfach geöffnet werden. Die MSMSGS.exe ist im normal Fall zwar vom Messenger, doch ist der Messenger, sowie MSN auf diesem Rechner deinstalliert. Ausserdem ist der Rechner in allen Angelegenheiten sehr träge geworden.

Hi The Saint,

hatte ich auch gelesen, war mir aber unsicher
durch den Pfad und dem 3maligen Vorkommen
der Datei. -> den also nicht.

Edit: Abschaltet? Das hört sich nach dem
oben genannten Wheinachtsbaum an.

mfg Cleriker

Weihnachtsbaum?
Nicht bei jedem Absturz, aber ab und zu mal, sowie grade eben wieder, kommt der Microsoft Bluescreen, mit der Meldung:
irql_non_less_or_equal

Öffne den gerätemanager mit Rechtsklick Arbeitsplatz----> Eigenschaften---->Hardware---->Gerärtemanger.

Hier nach Fehlern suchen

Durchsuche alle Ressourcen (Grafikkarte, IDE Controller, Netzwerkkarte)unter Eigenschaften nach Konflikten.

Hier scheint es zu einem IRQ Konflikt zu kommen.

EDIT: Wieviele Antivirenprogramme hast eigentlich installiert?

Hi,

Zitat:

Mein Problem ist das der Rechner sich oft einfach abschaltet ...

achso -> Bluescreen. Ich dachte du meinst herunterfahren.
Lies dir mal den Link in meiner Sig durch bezüglich Bluescreens.
Beim nächsten BS schreibe mal bitte die komplette Fehlernummer
auf und wir kommen der Sache schon näher.

Edit: Genau das, was The Saint erläutert, kannst du mit deiner
Fehlermeldung (z.b. 0x00000008) durchsuchen.

Hier ist zum Beispiel ein alter DirectX6-Eintrag.

Zitat:

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

Falls du eine neuere version benutzt, kannst du diesen löschen.

Zitat:

...und auch Internetseiten einfach geöffnet werden.

Ist das nach dem Fixen der beiden oben genannten Einträge immer
noch so? Wenn nein, sag mal bitte welche Seiten das sind! Immer die
gleichen oder verschiedene. Und nur wenn du im Browser tätig bist oder
auch sonst?

Überprüfe bitte auch diesen Eintrag bei Virustotal oder Jotti (Link in der Sig)

Zitat:

C:\WINDOWS\system32\Shdocvw.dll

Könnte vielleicht dieser hinter stecken.

Danach erst mal wieder 'ne Runde posten

Edit2: Hups, den Wheinachtsbaum hatte ich woanders gelesen, sorry.

mfg Cleriker

Zitat:

Zitat von Cleriker

Hi,




Überprüfe bitte auch diesen Eintrag bei Virustotal oder Jotti (Link in der Sig)

Könnte vielleicht dieser hinter stecken.

Danach erst mal wieder 'ne Runde posten

Edit2: Hups, den Wheinachtsbaum hatte ich woanders gelesen, sorry.

mfg Cleriker

@Cleriker lies mal hier

Ja ,

stimmt schon, ich habe mir den Prozess schon des Öfters
unter die Lupe genommen, jedoch würde ich gerne alle
Möglichkeiten bei Machann abdecken, die bei seinen
Problemen in Frage kommen.-> Deshalb . . .

Zitat:

Zitat von Sophos:
Der Wurm kopiert sich als RICHED20.DLL in jeden Ordner, der eine Datei mit der Endung HTM enthält, und als SHDOCVW.DLL in jeden Ordner, der eine Datei mit der Endung DOC enthält.

Aber die Wahrscheinlichkeit ist schon sehr gering.
-> Danke für die Verbesserung @ The Saint.

mfg Cleriker

Einen Konflikt gibt es im Gerätemanager nicht. Habe aber beim durchschauen der einzelenen Systemkomponenten gesehen, dass unterhalb von "Systemgeräte" einige Treiber nicht installiert sind, wie zB "DMA Controller", "Hauptplatinenressourcen", "Systemlautsprecher" und "Systemplatine" (es sind noch ein paar mehr, jedoch nicht alle). Meine Frage wäre jetzt da dieser Rechner hier ein mit Windows vorinstalliert (dadurch auch alle Treiber) gekaufter ist, kann es sein das "Saturn" wo der Rechner gekauft wurde, vergessen hat etwas zu installieren? oder sind die Treiber nicht wichtig? oder hat ein Virus sie gelöscht?
Denn ist der DMA Controller nicht wichtig (ich dachte schon)?

Die fehlen die Motherboardtreiber!

Müßte mit einer CD mitgeliefert sein ansonsten Rechner reklamieren.

... und nebenbei: 3 Antivirenprogs sind mindestens zwei zuviel. Gruß

Dann bedanke ich mich für´s erste bei euch beiden, wir werden den Rechner jetzt erstmal zu Saturn bringen, bzw die Motherboard CD bei Saturn einfordern.
Ich melde mich wieder wenn´s News gibt.
mfg Machann