Hallo,

mein PC startet immer wieder mal völlig überraschend neu. Bin durch die Google Suche hier gelandet und möchte euch Experten bitten, sich das Log durch zusehen, ob eventuell ein Trojaner dafür verantwortlich sein könnte_

**************************************************
blLogfile of HijackThis v1.99.1
Scan saved at 21:58:08, on 25.02.07
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\ISAFE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CFOS\CFOSDW.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\VETMSG.EXE
C:\PROGRAMME\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\CAVRID.EXE
C:\PROGRAMME\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\CAVTRAY.EXE
C:\WINDOWS\SYSTEM\WINADM.EXE
C:\PROGRAMME\ONLINECONTROL\OCONTROL.EXE
C:\EIGENE DATEIEN\TRANSPARENTB.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WINADMD.EXE
F:\PROGRAMME\OPERA\OPERA.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F1 - win.ini: run=C:\PROGRA~1\CFOS\CFOSDW.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\POPUP.DLL
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [VetAlert] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VETMSG.EXE
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\SYSTEM\winadm.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [CAISafe] C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O4 - Startup: Verknüpfung mit TransparentB.lnk = C:\Eigene Dateien\TransparentB.exe
O4 - Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Startup: America Online 9.0 Tray Icon.lnk = C:\Programme\America Online 9.0\aoltray.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: &AOL Toolbar search - res://C:\PROGRAMME\AOL TOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - K:\AIM95\AIM.EXE
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\pidlsp.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game17.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} -
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game17.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - h**p://zylom.midasplayer.com/ctl/kingcomie.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - h**p://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\PROGRAMME\HAUFE\HAUFEREADER\HRINSTMON.DLL

*******************************************************

Wenn da was sein sollte, bitte ich euch um eine detaillierte Vorgehensweise

Vielen lieben Dank für Eure Hilfe!

Liebe Grüße von Ela

Zitat:

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

Lief grade ein Windowsupdate während du das Logfile erstellt hattest?
Werte mal bitte folgende Dateien nacheinander bei Virustotal aus und poste sämtliche Ergebnisse (auch Prüfsummen, Dateigrößen etc.):

C:\EIGENE DATEIEN\TRANSPARENTB.EXE
c:\windows\system\pidlsp.dll
C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

Hallo,

warum dieses Update als exe in der Autostart erscheint, war mir immer schon ein Rätsel:-)

So, ich hoffe, ich hab das alles richtig gecheckt...mein Englisch ist wahrlich nicht das Beste und ich hab diese Dateien durchlaufen lassen:

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

Your file "KB891711.EXE" is queued in position: 8. Estimated start time is between 93 and 133 seconds.

c:\windows\system\pidlsp.dll

Your file "pidlsp.dll" is queued in position: 11. Estimated start time is between 128 and 183 seconds.

C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

Your file "NPDocBox.dll" is queued in position: 14. Estimated start time is between 163 and 233 seconds.

++++++++++++++++++++++++++++++++++++++++++++++++++++++

Die Datei C:\EIGENE DATEIEN\TRANSPARENTB.EXE ist ein kleines Proggi, welches die Schrift auf dem Desktop, also die Iconsbeschriftung transparent macht.

Ich hoffe, du kannst was damit anfangen:-)

Liebe Grüße von Ela

Zitat:

Ich hoffe, du kannst was damit anfangen:-)

Ähm... nein! Damit kann niemand was anfangen. Aber ein Anfang ist gemacht.

Diese Meldungen

Zitat:

Your file "KB891711.EXE" is queued in position: 8. Estimated start time is between 93 and 133 seconds.

bedeuten lediglich, dass deine Dateien in die Warteschlange gestellt wurden und demnächst gescannt werden. Bitte versuche es nochmal, warte das Ergebnis ab (das kann einige Minuten dauern) und poste es hier.

Achsoooooooooooooooo Kopphau

werd ich gleich nochmals versuchen, lach

Danke und Grüßle

Ela

Complete scanning result of "KB891711.EXE", received in VirusTotal at 02.26.2007, 11:19:43 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.26.2007 no virus found
Authentium 4.93.8 02.25.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.26.2007 no virus found
CAT-QuickHeal 9.00 02.24.2007 no virus found
ClamAV devel-20060426 02.26.2007 no virus found
DrWeb 4.33 02.26.2007 no virus found
eSafe 7.0.14.0 02.25.2007 no virus found
eTrust-Vet 30.4.3434 02.26.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.26.2007 Not analyzed yet
Fortinet 2.85.0.0 02.26.2007 no virus found
F-Prot 4.3.1.45 02.25.2007 no virus found
F-Secure 6.70.13030.0 02.26.2007 no virus found
Ikarus T3.1.0.31 02.26.2007 no virus found
Kaspersky 4.0.2.24 02.26.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.26.2007 no virus found
NOD32v2 2080 02.25.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.25.2007 no virus found
Prevx1 V2 02.26.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.26.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.25.2007 no virus found
VirusBuster 4.3.19:9 02.25.2007 no virus found

Aditional Information
File size: 9088 bytes
MD5: cbd841775a04e82b2828fc301aafee70
SHA1: 64a8943594361d70b54b30d4c9a5df9a5e9d7106
Bit9 info: h++p://fileadvisor.bit9.com/services/extinfo.aspx?md5=cbd841775a04e82b2828fc301aafee70
++++++++++++++++++++++++++++++++++++++++++++++++++++++
So, das war Nr. eins.....ich denke, da ist alles okay, gelle?
------------------------------------------------------------------------
Complete scanning result of "pidlsp.dll", received in VirusTotal at 02.26.2007, 11:26:16 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.26.2007 no virus found
Authentium 4.93.8 02.25.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.26.2007 no virus found
CAT-QuickHeal 9.00 02.24.2007 no virus found
ClamAV devel-20060426 02.26.2007 no virus found
DrWeb 4.33 02.26.2007 no virus found
eSafe 7.0.14.0 02.25.2007 no virus found
eTrust-Vet 30.4.3434 02.26.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.26.2007 no virus found
Fortinet 2.85.0.0 02.26.2007 no virus found
F-Prot 4.3.1.45 02.25.2007 no virus found
F-Secure 6.70.13030.0 02.26.2007 no virus found
Ikarus T3.1.0.31 02.26.2007 no virus found
Kaspersky 4.0.2.24 02.26.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.26.2007 no virus found
NOD32v2 2080 02.25.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.25.2007 Suspicious file
Prevx1 V2 02.26.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.26.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.25.2007 no virus found
VirusBuster 4.3.19:9 02.25.2007 no virus found

Aditional Information
File size: 90112 bytes
MD5: f48afbf78d132433d55dad8ffd12bb55
SHA1: 25b91498814e0df50094c5892c87d308db9e56ba
----------------------------------------------------------------------
Das war Nr. 2....
----------------------------------------------------------------------
Complete scanning result of "NPDocBox.dll", received in VirusTotal at 02.26.2007, 11:39:00 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.26.2007 no virus found
Authentium 4.93.8 02.25.2007 no virus found
Avast 4.7.936.0 02.26.2007 no virus found
AVG 386 02.25.2007 no virus found
BitDefender 7.2 02.26.2007 no virus found
CAT-QuickHeal 9.00 02.24.2007 no virus found
ClamAV devel-20060426 02.26.2007 no virus found
DrWeb 4.33 02.26.2007 no virus found
eSafe 7.0.14.0 02.25.2007 no virus found
eTrust-Vet 30.4.3434 02.26.2007 no virus found
Ewido 4.0 02.26.2007 no virus found
FileAdvisor 1 02.26.2007 No threat detected
Fortinet 2.85.0.0 02.26.2007 no virus found
F-Prot 4.3.1.45 02.25.2007 no virus found
F-Secure 6.70.13030.0 02.26.2007 no virus found
Ikarus T3.1.0.31 02.26.2007 no virus found
Kaspersky 4.0.2.24 02.26.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.26.2007 no virus found
NOD32v2 2080 02.25.2007 no virus found
Norman 5.80.02 02.26.2007 no virus found
Panda 9.0.0.4 02.26.2007 no virus found
Prevx1 V2 02.26.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.26.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.25.2007 no virus found
VirusBuster 4.3.19:9 02.25.2007 no virus found

Aditional Information
File size: 270336 bytes
MD5: 9d63f257e9cc6367692b92da4cb4ddac
SHA1: 373983eaf6ab6f9a59458bae401fbeef1f5874d1
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=9d63f257e9cc6367692b92da4cb4ddac
-----------------------------------------------------------------

Sodale, das wars

Lieben Dank für deine Mühe und Grüßle von Ela

Keiner Zeit und Lust meine Logs auszuwerten?

Bitte seit doch so nett, herzlichen Dank von Ela

Zu dieser KB...exe hab ich diesen Strang gefunden => http://www.trojaner-board.de/15567-u...kontrolle.html
Scheint ein Fehler im Update zu sein, dass der im Autostart liegt.
NPDocBox.dll dürfte sauber sein.
Unschlüssig bin ich bei pidlsp.dll. Wird nur von einem Virenscanner als verdächtig eingestuft. Entweder komplett neue Malware oder ein Bestandteil eines legitimen Programms. Lt. einer Google-Suche könnte das Programm wohl Coolspot Personal ID heißen, das diese Datei benötigt, ob's stimmt weiß ich nicht.

Zitat:

mein PC startet immer wieder mal völlig überraschend neu.

Das Ausgangsproblem muss übrigens nicht zwangsläufig mit Malware zu tun haben. Du solltest trotzdem mal einen Virencheck machen, nimm aber nicht den z.Z. installierten Virenscanner (eTrust), sondern z.B. MWAV (eScan), Link dazu siehe Signatur. (Nicht, dass ich dem eTrust nicht traue, aber ein Check mit einem anderen Virenscanner gibt imho zuverlässigere Aussagen, ob dein System überhaupt befallen ist.)