PC stürzt immer wieder ab... kann jemand bitte nen Blick auf mein Logfile werfen?

canuma78 · 08.01.2007, 02:44

Hi...

aaalso... ich versuche shon seit ner ganzen Weile herauszufinden, was genau meinen PC dazu bringt immer abzustürzen...
ich wollte mich hier schon vor ner Stunde anmelden, aber als ich mit Firefox ins Internet bin und irgendwo nen Button gedrückt hatte, ist mein PC ebenfalls abgestürzt... bin jetzt mit dem T-Online Browser rein gegangen...
Hab kein Plan was los ist...

könnte sich bitte jemand mein Logfile ansehen?

"O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing"
---> vor allem: was bedeutet das??

Logfile of HijackThis v1.99.1
Scan saved at 02:40:28, on 08.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\TVgenial\TVgenial.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
D:\BKR HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5D945E9A-DC10-4670-83EB-99DAA616628A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [TVgenial] D:\TVgenial\TVgenial.exe -d
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{B70CFA08-894E-40B9-AC3B-9BD020EA43B6}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Danke für Eure Zeit.... werde versuchen noch mehr zu posten... aber alles Stück für Stück... hab Angst, dass ich abstürze, bevor ich überhaupt was abschicken konnte....

Grüße
canuma

MightyMarc · 08.01.2007, 02:59

1. LSP-Fix - a free program to repair damaged Winsock 2 stacks, herunterladen und ausführen

2. Neues HJT-Log erstellen

3. Während Du auf Antwort wartest schon mal das Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler herunterladen und auf CD brennen.

canuma78 · 08.01.2007, 03:15

Logfile of HijackThis v1.99.1
Scan saved at 03:11:38, on 08.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\TVgenial\TVgenial.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
D:\BKR HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5D945E9A-DC10-4670-83EB-99DAA616628A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [TVgenial] D:\TVgenial\TVgenial.exe -d
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{B70CFA08-894E-40B9-AC3B-9BD020EA43B6}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

hab grad noch nen panda scan laufen.. dauert noch... aber hat schon 1 mal spyware gefunden...

AVG leider unvollständig, da er bißher immer abgestürzt ist, bevor der scan zu ende war... aber sobald Panda durch ist versuch ich's nochmal...

AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:41:17 08.01.2007

+ Scan-Ergebnis:

C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP133\A0064328.exe -> Hijacker.Costrat.z : Gesäubert.
C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP133\A0064329.exe -> Logger.Agent : Gesäubert.
C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP137\A0066465.exe -> Not-A-Virus.HackTool.Win32.John : Gesäubert.
C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP134\A0066398.exe -> Not-A-Virus.PSWTool.Win32.Brutus : Gesäubert.
C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP134\A0066399.exe -> Not-A-Virus.PSWTool.Win32.Brutus : Gesäubert.
C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP134\A0066389.exe -> Not-A-Virus.PSWTool.Win32.MailPassView.130 : Gesäubert.
C:\System Volume Information\_restore{8E02485D-19B1-4238-8D2F-A02FA60AD4C5}\RP133\A0064330.exe -> Trojan.Nilage.aeh : Gesäubert.

::Berichtende

Achja... hab leider keinen Brenner... deswegen kann ich Punkt 3 leider nicht erfüllen...

Und danke für deine schnelle Antwort =)

PS: Anmerkung wegen brutus und co.: ein Kumpel hat mir geraten meine Passwörter mal selbst zu checken, weil ich das Gefühl hatte ich bin nicht der einzige der ein Passwort für meine Email-adresse hat.... hoffe für ihn, dass er mir nicht den PC versaut hat...

canuma78 · 08.01.2007, 03:36

Panda Scan:
Adware:adware/secure32
Nicht desinfiziert Windows-Registry

Wie kann ich das wieder loswerden?? Und hat das irgendwas mit dem shit zu tun, den mein Kumpel mir auf den PC geladen hat?

MightyMarc · 08.01.2007, 03:42

Dasmit dem fehlenden Brenner ist schade, denn es könnte sein, das Du ihn noch brauchen wirst.

Zitat:

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

Welcher Schädling das gewesen ist, wird sich wohl nicht mehr feststellen lassen (Sinowal,SD-Bot?).

Erstelle bitte ein Log mit Silent Runners - Download und poste dieses hier. Die restliche Bereinigung machen wir dann morgen.

Zitat:

Zitat von canuma78

Panda Scan:
Adware:adware/secure32
Nicht desinfiziert Windows-Registry

Morgen.

Zitat:

Wie kann ich das wieder loswerden?? Und hat das irgendwas mit dem shit zu tun, den mein Kumpel mir auf den PC geladen hat?

Kann sein. Jede Datei die man nicht vom Hersteller bezieht, sollte mit Vorsicht genossen werden. Ein Virenscanner ist halt keine Versicherung, sondern eher ein Placebo.

canuma78 · 08.01.2007, 04:08

war auf der Seite, die du mir angegeben hast und habe das runtergeladen, was in der ersten Zeile ("Click here to download the latest version (Revision 49) of “Silent Runners.vbs”. ") angeboten wird... egal ob ich es nur öffnen wollte oder schließlich gespeichert hab und dann öffnet wollte, es kam ein popup: "Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Die sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen." ---> das "diesem" macht mich ein bißchen skeptisch...
aber was genau bedeutet das jetzt? Und was war das genau für ein Programm??--> sorry... habs nicht so drauf, wenn's um diese Dinge geht ;-)

PS: aber bin jetzt gerade wieder mit firefox drin und stürze nicht ab =)

bis Morgen...

MightyMarc · 08.01.2007, 04:31

Zitat:

Zitat von canuma78

"Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Die sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen."

Start > Ausführen > regedit

Hierhin navigieren:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

und "Enabled" auf den Wert "1" ändern. Sollte "Enabled" nicht vorhanden sein, einfach einen DWORD-eintrag erstellen (rechter Mausklick im rechten Teil des Fensters), ihn "Enabled" (ohne "") nennen und den Wert 1 verpassen. Im Zweifelsfall danach neustarten.

canuma78 · 08.01.2007, 14:41

ok... diesmal hat was funktioniert... hoffe das ich alles richtig gemacht hab... denn das kam raus:

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ccleaner" = ""C:\Programme\CCleaner\ccleaner.exe" /AUTO" ["Piriform Ltd"]
"TVgenial" = "D:\TVgenial\TVgenial.exe -d" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["T-Online International AG, Marmiko IT-Solutions GmbH"]
"T-Online DSL-Manager" = ""C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"" ["T-Systems International GmbH"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Flashget Catch Url Class"
\InProcServer32\(Default) = "C:\Programme\FlashGet\jccatch.dll" ["www.flashget.com"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{F156768E-81EF-470C-9057-481BA8380DBA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "gFlash Class"
\InProcServer32\(Default) = "C:\Programme\FlashGet\getflash.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.5\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\ihatemicrosoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\ihatemicrosoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Enabled Scheduled Tasks:
------------------------

"1-Click Maintenance" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"At1" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At10" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At11" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At12" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At13" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At14" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At15" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At16" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At17" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At18" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At19" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At2" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At20" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At21" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At22" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At3" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At4" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At5" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At6" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At7" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At8" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At9" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E0E899AB-F487-11D5-8D29-0050BA6940E3}" = "FlashGet"
-> {HKLM...CLSID} = "FlashGet"
\InProcServer32\(Default) = "C:\Programme\FlashGet\fgiebar.dll" ["Amaze Soft"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "FlashGet"
"Exec" = "C:\PROGRA~1\FlashGet\flashget.exe" ["FlashGet.com"]

Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
T-Online DSL-Manager, TODslService, ""C:\Programme\T-Online\DSL-Manager\TODslSvc.exe"" ["T-Systems International GmbH"]

Ok.. ist das sowas ähnlich, wie das HijackThis Log?

Grüße

canuma

MightyMarc · 08.01.2007, 14:55

Zitat:

Zitat von canuma78

C:\WINDOWS\user32.exe
C:\WINDOWS\System32\wunauclt.exe
C:\WINDOWS\dr.exe <- falls die Datei noch zu finden ist

Lasse diese Dateien hier scannen und poste das Ergebnis mit! Größenangabe und Hashwerten (stehen unter der Auswertung).

Zitat:

Ok.. ist das sowas ähnlich, wie das HijackThis Log?

Quasi. Der Unübersichtlichkeitsfaktor ist höher, der Informationsgehalt aber auch.

canuma78 · 08.01.2007, 15:09

oh... das mit der user32.exe ist sowieso sehr seltsam... die war gestern noch unter c:/Programme... hab sie mit der Killbox gelöscht, aber ist wohl gewandert?

ok... hab grad versucht das durchzuführen, aber geht nicht... dr.exe ist überhaupt nicht mehr zu finden und bei den anderen kommt ein Text mit:

Your file "wunauclt.exe" is queued in position: 62. Estimated start time is between 12 and 17 minutes.

bzw. Your file "user32.exe" is queued in position: 76. Estimated start time is between 14 and 21 minutes.

Alles was sich ändert, wenn ich es nochmal versuche sind die Zahlen (position und zwischen... und ... Minuten)

Das ist was Schlchtes, oder? Hab ich irgendeinen Wandervirus???

MightyMarc · 08.01.2007, 15:11

Zitat:

Zitat von canuma78

Alles was sich ändert, wenn ich es nochmal versuche sind die Zahlen (position und zwischen... und ... Minuten)
Das ist was Schlchtes, oder? Hab ich irgendeinen Wandervirus???

Geduld junger Krieger. Dir wird die Wartezeit (Dauer bis Deine Anfrage bearbeitet werden kann) angezeigt.

canuma78 · 08.01.2007, 16:52

Kriegerin! ;o)

ok... war mittlerweile einkaufen (deswegen kommt die Antwort erst jetzt...) Bei virustotal dauert es dann noch ne Stunde (laut Angabe) bis meine Anfrage bearbeitet wird... versuche das nebenher laufen zu lassen... aber bis dahin hab' ich Ergebnisse von jotti...

Datei: user32.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PACKMAN

AntiVir
HEUR/Crypted gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
BehavesLike:Trojan.Downloader gefunden (mögliche Variante)
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.17203 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan-Downloader.Win32.Murlo.ey gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Murlo.ey gefunden
NOD32
a variant of Win32/TrojanDownloader.Small.EDB gefunden
Norman Virus Control
Sandbox: W32/Downloader; [ General information ]

* File might be compressed.
* File length: 4839 bytes.

[ Changes to filesystem ]
* Creates file C:\1814656820.
* Creates file C:\hshwy.exe.

[ Network services ]
* Opens URL: http://yepjnddqpq.biz/progs/oorxxhrokh/bctblqlgxf.php?adv=adv636.
* Opens URL: http://yepjnddqpq.biz/progs/oorxxhrokh/nofxbwr.

[ Security issues ]
* Starting downloaded file - potential security problem. gefunden
VirusBuster
novirus:Packed/Packman gefunden
VBA32
Trojan-Downloader.Win32.Murlo.ey gefunden

.... und....

Datei: wunauclt.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
P2P-Worm.Win32.Padonak.a gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
P2P-Worm.Win32.Padonak.a gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

hmm....

MightyMarc · 08.01.2007, 17:15

Zitat:

Zitat von canuma78

Kriegerin! ;o)

Mea culpa.

Zitat:

Datei: user32.exe
Trojan-Downloader.Win32.Murlo.ey gefunden
* Creates file C:\1814656820.
* Creates file C:\hshwy.exe.

Datei: wunauclt.exe
P2P-Worm.Win32.Padonak.a gefunden

Virustotal wird wohl auch nicht mehr Informationen liefern. Bevor wir jetzt mit einer Bereinigung anfangen, mache bitte noch einen Scan mit Rootkitrevealer und poste das Log. Während des Scans bitte nichts am computer machen (dauert etwa 5 Minuten).

canuma78 · 08.01.2007, 18:48

ok.. hoffe das ist es...

HKLM\SECURITY\Policy\Secrets\SAC* 15.09.2006 19:43 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 15.09.2006 19:43 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 18.10.2006 19:24 0 bytes Access is denied.
C:\WINDOWS\system32\wbem\Logs\WinMgmt.log 08.01.2007 18:42 54 bytes Visible in directory index, but not Windows API or MFT.

und... was bedeutet das jetzt?

MightyMarc · 08.01.2007, 19:46

Zitat:

Zitat von canuma78

und... was bedeutet das jetzt?

Das die Welt nicht untergehen wird.

Ich melde mich später am Abend nochmal mit einer Anleitung wie Du wie die blinden Passagiere wieder los wirst.

PC stürzt immer wieder ab... kann jemand bitte nen Blick auf mein Logfile werfen?

Log-Analyse und Auswertung: PC stürzt immer wieder ab... kann jemand bitte nen Blick auf mein Logfile werfen?