pc stürzt automatisch ab!!!

GenteGuapo · 14.03.2007, 20:00

hi zusammen,
hab heute 5 fehler meldungen bekommen..dann musste mein pc automatisch neu starten!!
eine davon ist C:\WINDOWS\System32\lsass.exe statuscode 128
"ist bestimmt ein Wurm"

oder wuaueng.dll .Fehler 1023 beim öffnen von Protokoldatei
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log

hab verschiedene anti-vir EXTRA instaliert aber die finden keine viren

u.a Antisasser-EN und SmitfraudFix etc

mein logfile :
Logfile of HijackThis v1.99.1
Scan saved at 19:26:58, on 14.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\windows\system32\rlvknlg.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svcchosst.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\regedit.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ca****\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Canasta - http://download2.games.yahoo.com/games/clients/y/yt2_x.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164118311437
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

trott · 14.03.2007, 20:42

Hallo!
Überprüfe diese Datei

Zitat:

C:\WINDOWS\System32\svcchosst.exe

hier Online Malware scan
und poste das ergebnis hier im Tread!

mfg

GenteGuapo · 14.03.2007, 22:46

Zitat:

Zitat von trott

Hallo!
Überprüfe diese Datei
hier Online Malware scan
und poste das ergebnis hier im Tread!

mfg

diese datei existiert nicht..unter system32 hab ich nur svchost.exe "hab ich überprüft" status ok

kannst mir bitte andrs helfen

ordell1234 · 14.03.2007, 23:18

Filesharing ohne SP2? Das geht schief. Dir bleibt nur das Neuaufsetzen mit SP2! und das Überdenken deines Surfverhaltens. Amen. Deine Kiste ist komplett im Eimer. U.a. wegen

Zitat:

C:\windows\system32\rlvknlg.exe

Hier gehts für dich weiter. Gruß

GenteGuapo · 15.03.2007, 00:16

was ist denn SP2 ?
..von dem Link die du mir gegben hast.hab ich mir UnHackMe Monitor installiert, system gecheckt..der fand aber kein trojan ! komisch

soll ich einfach neu formatieren?

danke im voraus ..

ordell1234 · 15.03.2007, 03:26

Nö, nicht "einfach" neu formatieren, sondern dir den verlinkten thread durchlesen, mit links und Nebenlinks (falls es das Wort überhaupt gibt

).

GenteGuapo · 15.03.2007, 12:19

hab schon die seite durchgelesen..und "regrun" installiert, hat ein paar trojan gefunden und gelöscht..aber rlvknlg existiert immer noch

Datei: rlvknlg.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
ADSPY/MarketScore.k gefunden
ArcaVir
Adware.Rk.K gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.Dloader.XM gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Adware.Relevant gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
not-a-virus:AdWare.Win32.RK.k (4, 1, 400) gefunden
Fortinet
Misc/Oss gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.RK.k gefunden
NOD32
Win32/Adware.RK application gefunden
Norman Virus Control
W32/RK.P gefunden
Panda Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
AdWare.Win32.RK.k gefunden

GenteGuapo · 15.03.2007, 12:35

mit BitDefender hab ich 2 viren gefunden:

Zusammenfassung:

C:\WINDOWS\System32\rk.bin Infiziert mit: Trojan.Dloader.XM
C:\WINDOWS\System32\rk.bin Desinfizieren fehlgeschlagen
C:\WINDOWS\System32\rk.bin Verschoben
C:\WINDOWS\System32\rlvknlg.exe Infiziert mit: Trojan.Dloader.XM
C:\WINDOWS\System32\rlvknlg.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\System32\rlvknlg.exe Verschieben fehlgeschlagen
C:\WINDOWS\System32\svcchosst.exe Infiziert mit: Backdoor.SDBot.WC
C:\WINDOWS\System32\svcchosst.exe Desinfizieren fehlgeschlagen
C:\WINDOWS\System32\svcchosst.exe Verschoben

was muss ich jetzt machen

..hilfffffffe

trott · 15.03.2007, 15:25

Hallo Gente!
Hatte gestern leider keine Zeit mehr!
Ja, also wie ich es mit der sccvhosst.exe schon vermutete ist es ein Backdoor, das heisst Neuaufsetzen.Du hast sie deshalb nicht gefunden, da sie versteckt ist, und du versteckte Elemente sichtbar machen nicht aktiviert hast!
Und wirklich Neuaufsetzen! Befolge die Anweisungen zum Neuaufsetzen von Windows in den FAQ Bereich des Boards.
Und Service Pack 2(SP2) ist für Windows XP echt Pflicht! Alle aktiven Netzwerkwürmer verbreiten sich über Windows Schwachstellen, welche mit Servicepack 2 geschlossen werden!
Wenn du nicht so der Fan von Windows Updates bist(wie ich

), installiere wenigstens nur die kritischen Updates manuell, über die Microsoftseite!

mfg

GenteGuapo · 15.03.2007, 22:22

vielen dank trott ..:aplaus:

pc stürzt automatisch ab!!!

Log-Analyse und Auswertung: pc stürzt automatisch ab!!!