Hallo zusammen,
seit kurzem bleibt mein Computer regelmässig hängen und nach dem automatischen Neustart zeigt Windows an, dass es nach einem schwerwiegenden Systemfehler wieder ausgeführt wird...
Habe nun mal Hijackthis über mein System laufen lassen und hoffe, jemand von euch findet etwas, womit sich etwas anfangen lässt...
Besten Dank schon mal im voraus...

MfG
M4Z

----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:40:48, on 10.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\***\Download\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183826117093
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,

im logfile ist nichts zu sehen. Mache mal zur Sicherheit einen escan.

http://www.trojaner-board.de/38066-e...ightymarc.html

Könnte sich aber auch um einen Hardwaredefekt handeln.

Gruss

Habe jetzt mal escan darüber laufen lassen, und...
welche überraschung - es wurden 11 Viren/Würmer/Trojaner gefunden...

kann mir bitte jemand dabei helfen, wie ich die wegbekomme...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\M4Z\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\gmoxy.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\gmoxy.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\M4Z\Download\julia256.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\M4Z\Wichtige Programme\Hair (Plugin For Cinema 4D 9.5)\keygen\Hair.v1.01.45_kg.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\gmoxy.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\gmoxy.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\M4Z\Download\julia256.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\M4Z\Wichtige Programme\Hair (Plugin For Cinema 4D 9.5)\keygen\Hair.v1.01.45_kg.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\M4Z\Startmenü\programme\latex\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\M4Z\Startmenü\Programme\latex\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\M4Z\Lokale Einstellungen\temp\nse6.tmp\installoptions.dll
Offending file found: C:\WINDOWS\unvise32.exe
Offending file found: C:\Dokumente und Einstellungen\M4Z\Startmenü\programme\latex\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\M4Z\Startmenü\Programme\latex\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\M4Z\Lokale Einstellungen\temp\nse6.tmp\installoptions.dll
Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{771cb607-062d-11dc-ba7f-00105aa67d10} !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{771cb607-062d-11dc-ba7f-00105aa67d10} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\system32\mtbpo.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\mtbpo.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\mtbpo.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\mtbpo.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 100515
Gescannte Dateien: 100515
Gefundene Viren: 11
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 120
Anzahl Fehler: 120
Dauer des Scans bisher: 00:53:52
Dauer des Scans bisher: 00:53:52
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:31:05.37
Batchende: 21:31:09.03

hey leute, brauche dringenst hilfe, bitte bitte bitte bitte bitte bitte helft mir doch...

So lässt mich also die comunity im stich, nach dem ich dafür gesorgt habe, dass der hartnäckige MSN-Wurm vom lycos server gelöscht und somit eine quelle des schädlings weniger vorhanden ist... und so auch weniger pcs verseucht werden... na besten dank auch...

Jeder ist mal 3 Tage in Ferien. Kann passieren, dass man dann keine Antwort bekommt.
Kann aber verstehn, dass du sauer bist.

Es könnte ja aber auch daran liegen, dass wir keinen Support für Leute liefern, die mit gestohlener Software arbeiten.

Zitat:

Datei D:\M4Z\Wichtige Programme\Hair (Plugin For Cinema 4D 9.5)\keygen\Hair.v1.01.45_kg.exe

Es sind nicht immer Andere Schuld!

Aber da ich tatsächlich kein Interesse daran hab noch mehr Spam zu erhalten:
Werte folgende Dateien bei virustotal aus:

Zitat:

Datei C:\WINDOWS\system32\gmoxy.exe
Datei D:\M4Z\Download\julia256.exe
C:\WINDOWS\system32\mtbpo.exe

hi, ich habe die Dateien gecheckt und sie beinhalteten keine Viren o.ä....
sind nur nicht ganz geladene .exe dateien, die unvollständig vorhanden sind...

und übrigens, diese Software ist nicht installiert... die hängt dort nur als Installationsdatei auf meiner festplatte rum und langweilt sich...

und noch zwei gründe, wieso ich nichts von folgender aussage halte:

Zitat:

Zitat von myrtille

Es könnte ja aber auch daran liegen, dass wir keinen Support für Leute liefern, die mit gestohlener Software arbeiten.

1. komme ich aus der schweiz, und die schweiz hat ein verdammt geiles urheberrechtsgesetz... :aplaus: wenn ich was downloade, jedoch nichts anbiete ist es legal, wenn mir ein guter kollege oder ein verwandter urheberrechtsgeschützte dateien gibt, sind diese ebenfalls legal...
2. es gibt kaum eine person, die ein wenig mehr von computern versteht als andere, die nicht irgendein programm "illegal" auf seinem computer laufen hat...

naja, aber zurück zum thema, ich verstehe nicht, was mit dem folgenden gemeint ist:

Object "grokster Spyware/Adware" in Dateisystem gefunden!

wo steckt denn diese spyware/adware?? mein antivir personal findet nichts, sowie auch spyware doctor, ad-aware und spybot...

ich hoffe jemand kann mir das ein wenig genauer erläutern... besten dank schon mal im voraus...