hallo bin neu hier.
Also hab ein problem und zwar hab xp pro neu aufgesetzt und ne zeit lang gings auch ganz gut aber dann fings auch an, mal hat der firefox ein problem festgestellt und musste schliesen mal der msn messenger oder der explorer.
Das selbe problem hatte ich auch vor der neu installation gehabt.
kann mir jemand da weiter helfen ?!?


DANKE schon mal im vorraus !!!!

Poste bitte ein HijackThis log ..

Gruß

Undoreal

Logfile of HijackThis v1.99.1
Scan saved at 07:21:56, on 03.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\scsoft.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\System32\a.exe
C:\Dokumente und Einstellungen\Sasha\Desktop\HijackThis.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\tftp.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {101EF811-7A63-4A33-8ABE-0284BE50E187} - C:\WINDOWS\System32\srrstr32.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178143997375
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F7492B-F452-480E-A0A0-87703EB4BBBD}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe




ich denke mal das ist das richtige ??

Moin

dein Problem sitzt auch hier

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Servicepack 2 ist schon seit einigen Jahren Pflicht.

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Lass diese Dateien :
C:\WINDOWS\system32\scsoft.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\System32\a.exe
C:\WINDOWS\System32\srrstr32.dll
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du solltest dich auch schon mal mit dieser Anleitung vertraut machen --> Neuaufsetzen des Systems und anschliessende Absicherung!
aber poste bitte erstmal die Ergebnisse.

MFG

Zitat:

Zitat von nochdigger

Lass diese Dateien :
C:\WINDOWS\system32\scsoft.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\System32\a.exe
C:\WINDOWS\System32\srrstr32.dll
hier Virustotal
oder hier Jotti
überprüfen.

Dieser Kandidat wollte auch beim großen Finale dabei sein:
C:\WINDOWS\System32\qmedia.exe

Gruß

Marc

so ich hab jetzt das system noch mal neu aufgesetzt nach der anleitung von :Neuaufsetzen des Systems und anschliessende Absicherung!
hab firefox drauf gemacht der ist aber auch schon wieder ein paar mal abgestürtzt und der (live) msn messenger auch. ich hänge mal noch die neue hijackthislog file unten dran ich hoffe die sieht jetzt besser aus !



Logfile of HijackThis v1.99.1
Scan saved at 05:19:27, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\PhunkSOuL\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {97343485-39DE-49E1-85C6-8B3E986FCF0E} - C:\WINDOWS\system32\termsrvd.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{826F96FA-BAF1-4794-9B44-6A050E4CCEA7}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Moin

Neuinstalliert und schon eine Schaddatei auf dem Rechner entweder solltest du dein Surfverhalten überdenken oder eine deiner Sicherungen, wenn vorhanden, ist nicht sauber.

Mach bitte alle versteckten Dateien und Ordner sichtbar, starte dann HijackThis und fixe (Eintrag anhaken und - fix checked - klicken) diesen Eintrag :

O2 - BHO: (no name) - {97343485-39DE-49E1-85C6-8B3E986FCF0E} - C:\WINDOWS\system32\termsrvd.dll

wechsel nun in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :
C:\WINDOWS\system32\termsrvd.dll

leere den Papierkorb und starte dein System neu in den normalen Modus und berichte.

MFG

"Mach bitte alle versteckten Dateien und Ordner sichtbar, starte dann HijackThis und fixe (Eintrag anhaken und - fix checked - klicken) diesen Eintrag :

O2 - BHO: (no name) - {97343485-39DE-49E1-85C6-8B3E986FCF0E} - C:\WINDOWS\system32\termsrvd.dll

wechsel nun in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :
C:\WINDOWS\system32\termsrvd.dll"


hab ich alles gemacht das letzte :

wechsel nun in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :
C:\WINDOWS\system32\termsrvd.dll"

ich konnte die datei termsrvd.dll nicht finden nur eine datei mit dem namen termsrv.dll die hab ich aber nicht gelöscht wollte hier lieber nach fragen.

hast du dich ver tippt oder warum kann ich die datei nicht bei mir finden ?!?

Moin

Zitat:

hast du dich ver tippt oder warum kann ich die datei nicht bei mir finden ?!?

nö, die Datei steht auch so in deinem Log und ich bin der Überzeugung das es sich hierbei um den selben Freund handelt wie hier --> http://www.trojaner-board.de/36805-h...tml#post256824

Hast alle Dateien und Ordner sichtbar gemacht (evtl. ist die Datei schon gelöscht worden)?

Kontrolliere per HJT ob der Eintrag noch da ist.

MFG

hmm... nein der fährt eigentlich recht schnell hoch.
aber der msn messenger stürzt in unregelmäsigen abständen imma ab und der firefox auch woran könnte es den liegen ?!?
ich sende mal noch ne loglifile.


Logfile of HijackThis v1.99.1
Scan saved at 14:39:50, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\PhunkSOuL\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{826F96FA-BAF1-4794-9B44-6A050E4CCEA7}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Glückwunsch sie ist weg.
Diesen Eintrag kannst du jetzt mit HJT fixen.

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

ok diesen eintrag hab dan auch gefixt :O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file).

jetzt hab die nexten probleme und es nimmt glaube ich auch kein ende

also der pc stürzt entweder ohne vorwarnung einfach ab, oder ich kann keine programme öffnen mit der meldung einsprungspunkt nicht gefunden, dann stürzt der explorer ab mit der meldung hat fehler fest gestellt und muss beendet werden die gleichen meldungen auch bei firefox, live messenger und eine datei namens drwtsn32.exe (kenne die datei nicht)

das alles kommt immer vor in unbestimmten abständen und mal alles auf einmal oder nur ein oder zwei sachen da von ich weiss echt nicht mehr weiter!!!

Hallo,
hast du mit "Tune Up " noch ein wenig die Registry aufgeräumt ?
Oder sonstige Veränderungen mit dem Programm durchgeführt ?
Irrlicht

ja ich hab die 1 klick wartung durchgeführt und so !
ist das nicht so gut das programm ???

Hallo,
jaja...Windows schneller und schneller machen...bis du vor lauter Geschwindigkeit keinen Warnhinweis mehr lesen kannst...

Zitat:

eine datei namens drwtsn32.exe (kenne die datei nicht)

Heißt Dr.Watson,du findest sie auf deinem Pc und auf allen XP Kisten ,wenn du die "suchen" Funktion mal bemühen würdest....

Möglicherweise hast du dir durch diesen Verschlimmbesserer Tune Up irgend etwas zerschossen.....
Hat Tune Up sowas wie eine Wiederherstellungsfunktion ?
Hilft es wenn du einen Systemwiederherstellungspunkt VOR der Benutzung von Tune Up anklickst ?
Wenn beides nicht funzt....du kennst ja die FAQ Sektion und wirst den Thread zum Neuaufsetzen des Systems finden,oder ?
...und dabei was gelernt hast du auch....
Möglicherweise gibt die Ereignisanzeige noch was her,schau da mal rein.
Eine Reperaturinstallation könnte auch Rettung bringen...
Irrlicht