Hallo!

Ich habe vor kurzem auf dem rechner eines bekannten den Virus Spydawn gefunden sowie einen virus der in dem ordner Video Access ActiveX drin war, wobei dieser Ordner den Bekannten unbekannt ist. Es sind auch gleich mehrere Viruswarnungen losgegangen wenn man die Datei löschen wollte.
Wegen spydawn hab ich dann im Forum gestöbert und den scan mit smitfraudfix gemacht. Das Spydawn problem war behoben, kein blinkendes nerviges Zeichen mehr.

Aber nun fährt sich der pc immernoch plötzlich runter und bleibt aus oder wenn ich ihn hochfahren will fährt er hoch dann kommt kurz ein blauer Bildschirm und dann startet er neu.

Außerdem hat der Antivirus scan im Abgesicherten modus immernoch einen Virus gemeldet, leider ist der PC dann abgestürzt deswegen konnte ich die Meldung nicht notieren.

Hier mein HijackThis logfile

Logfile of HijackThis v1.99.1
Scan saved at 21:04:36, on 14.03.2007


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\ADMINI~1.HOM\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\Toshiba\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2095DBC1-DC3D-42B8-AB68-1AA127ECCCCA}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{2095DBC1-DC3D-42B8-AB68-1AA127ECCCCA}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe



Danke für die Hilfe

Hallo,
gehe ich recht in der Annahme das daß Log aus dem abgesicherten Modus ist ?

Den Bluescreen machst du sichtbar folgendernaßen :
Start > systemsteuerung > Leistung und Wartung > System >Reiter "erweitert" > Starten und wiederherstellen > Einstellungen > Haken raus bei "automatisch Neustart durchführen".
Dann den Bluescreen nochmals provozieren .Das Bild wird stehen bleiben und du hast alle Zeit der Welt die komplette Meldung abzuschreiben und hier zu posten.

Übrigens...
Der Kopf des Logfiles ist unvollständi.Dort wo das System und die Patches stehen ist bei dir ein Loch
Absicht ?
Irrlicht

Ja war im abgesicherten modus, wusste nicht dass das einen unterschied macht. Hatte vorher einen Virusscan gemacht und dann nicht neu gestartet, deswegen der abgesicherte Modus.

soll ichs nochmal im normalen modus machen?

Werd jetzt erstmal den bluescreen "provozieren" :-)


bis gleich

So mein Bluescreen sagt folgenden Fehler:

No_MORE_IRP_STACK_LOCATIONS


es war dann übrigens unmöglich von diesem screen den computer einfach neu zu starten und nur durch einen neustart ohne komplettes herunterfahren wird man den bluescreen los, also taucht der fehler nicht wieder auf.
Ich hätte mich fast umgebracht weil ich dachte jetzt werd ich den Scheiß nie wieder los bis ich auf die Idee gekommen bin mit F8 in den modus zu kommen dass ich sofort neu starten kann und dann hats geklappt.

However, was ist blos los mit dem PC?

Hallo,

Zitat:

bis ich auf die Idee gekommen bin mit F8 in den modus zu kommen dass ich sofort neu starten kann und dann hats geklappt.

Das war ein dreistufiger Intelligenztest übrigens...
Bei zwei Testkriterien bist du durchgefallen...

Zu dieser Bluescreenfehlermeldung gehören mit an Sicherheit grenzender Wahrscheinlichkeit auch noch ein paar Zahlen und Buchstaben....
Deswegen schrieb ich von der "kompletten Meldung posten"

Das zweite Urteil "durchgefallen" hast du dir geholt,weil du mit dem Fehler nicht bei Google schon mal erste Ansätze abgeklärt hast....

Ein insgesamt "unbefriedigend" erhältst du ,weil du die HijackThis Anleitung nicht gelesen hast....dort findet sich nämlich nichts dazu,das Rückschlüsse zuläßt, den "abgesicherten Modus" zum erstellen eines Log`s zu benutzen...
..der fehlende Teil des Log`s konnte zu einer besseren Note auch nicht beitragen.....

Note verbessern ?
Ein Hijackthis-Log aus dem Normalmodus(vollständig) und eine komplette Bluescreenfehlermeldung.
Was hat der Versuch mit dem AV-Scanner ergeben > Fehlermeldung,Befund?
Irrlicht

Erstens: natürlich habe ich die Fehlermeldung gegoogelt, aber überall steht geschrieben, dass einer der Treiber einer neu installierten Hardware diesen Fehler auslöst nur leider ist es ein Laptop und da wurde dementsrpechend keine neue Hardware dran angeschlossen oder ähnliches.
Man sollte mir meine Dummheit verzeihen, denn wenn ich mehr Ahnung hätte müsste ich hier wohl nicht um Hilfe betteln.
Aber wenn die Kommentare über meine Geistige Kapazität dazu beiträgt, dass ich Hilfe beim Lösen des Problems bekomme soll mir das recht sein

Hier der HijackThis log

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]


hier das antivir protokoll




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 14. März 2007 17:23

Es wird nach 702618 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 217 13775 Bytes 05.12.2006 16:51:00
AVSCAN.EXE : 7.0.3.5 204840 Bytes 16.01.2007 22:23:40
AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 22:19:39
LUKE.DLL : 7.0.3.2 135208 Bytes 13.12.2006 22:19:45
LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 22:19:46
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 19:45:32
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 19:21:33
ANTIVIR2.VDF : 6.38.0.29 250880 Bytes 09.03.2007 19:21:33
ANTIVIR3.VDF : 6.38.0.49 51712 Bytes 13.03.2007 19:21:33
AVEWIN32.DLL : 7.3.1.43 2359808 Bytes 13.03.2007 19:21:41
AVPREF.DLL : 7.0.2.0 17960 Bytes 13.12.2006 22:19:39
AVREP.DLL : 6.38.0.6 798760 Bytes 13.03.2007 19:21:37
AVRPBASE.DLL : 7.0.0.0 1544232 Bytes 27.08.2006 19:45:16
AVPACK32.DLL : 7.2.1.6 360488 Bytes 13.03.2007 19:21:42
AVREG.DLL : 7.0.1.2 30760 Bytes 16.01.2007 22:23:40
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:43
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 22:19:23
RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 22:19:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 14. März 2007 17:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '15' Prozesse mit '15' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 13 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator.HOME-HN4N16OQXU\Desktop\smitfraud\SmitfraudFix.exe
[FUND] Enthält Signatur des Droppers DR/Tool.Reboot.F.3
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Kazem\Lokale Einstellungen\Temp\lafB.tmp
[FUND] Enthält Signatur der Anwendung APPL/Hoax.Renos.NAS
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'




Der Suchlauf wurde vollständig durchgeführt.

2181 Verzeichnisse wurden überprüft
73466 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
73464 Dateien ohne Befall
549 Archive wurden durchsucht
2 Warnungen
2 Hinweise