Hallo, ich habe folgendes Problem...

Es fing an das der PC mit Mozilla als Browser bei einigen Websites immer wieder abgestürzt ist. Der Bildschirm wurde kurz dunkel, danach wurde kurz eine Systemnachricht eingeblendet, blauer Bildschirm mit weißer Schrift. Leider zu kurz um zu lesen was da geschrieben stand. Danach habe ich Antivir scannen lassen, es wurde nichts gefunden. Dann habe ich Ad-Aware installiert und wollte das Programm starten, sofort ist der PC abgestürzt (wieder mit Bildschirm kurz dunkel, Sytemnachricht die man nicht so schnell lesen kann) habe das nochmals im Abgesicherten Modus versucht, es passierte das gleiche, genauso wie im abgesicherten Modus mit Kommandozeile. Zum Glück hatte ich noch eine Festplatte da auf der ein Windows 2k installiert ist, von der aus habe ich dann ad-Aware und eScan drüber laufen lassen. Ad-Aware hat nichts gefunden, eScan hatte 12 Treffer, aber nicht auf der Festplatte mit der das Problem zusammenhängt.

Falls mir jemand helfen kann, hier das HighJackThis-Log-file

HiJackFree Logfile v3.0

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Bitte editiere die aktiven Links aus deinem Logfile heraus!


Dann brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Bitte erstell ein "richtiges" Hijacklog, nicht von a² HijackFree, das ist das falsche.


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Gruß
Sunny

Ich hab mir die Hinweise durchgelesen, wegen der aktiven Links, habs nicht hingekriegt...sags mir nochmal bitte (auch auf die Gefahr hin das das schon ca.10000 Leute gefragt haben) Die anderen Anweisungen werde ich minutiös befolgen.

Hr.Marv

Hallo, so hier ganz frisch das hoffentlich richitige HJT-Log





Logfile of HijackThis v1.99.1
Scan saved at 16:21:44, on 19.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Runmarc8mManager] marc8mnt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AAWTray] C:\WINNT\system32\AAWTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{01A6CE70-614C-41BB-B185-3C12647BA90B}: NameServer = 195.50.140.+++,195.50.140.+++
O17 - HKLM\System\CS1\Services\Tcpip\..\{01A6CE70-614C-41BB-B185-3C12647BA90B}: NameServer = 195.50.140.+++,195.50.140.+++
O17 - HKLM\System\CS2\Services\Tcpip\..\{01A6CE70-614C-41BB-B185-3C12647BA90B}: NameServer = 195.50.140.+++,195.50.140.+++
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe


Grüße von der "Durchdreh-Front"

Hallo zusammen

Ich konnte im Abgesicherten Modus Escan nochmal suchen lassen, hier ist der Virus Log. Die find.bak Datei hat bei mir leider nicht funktioniert (Fehlermeldung wegen Sprache, nach Umstellung auf English bestand das Problem weiterhin) deshalb hab ich es in den Editor kopiert. Ich hoffe es ist trotzdem Aussagekräftig.
Der "Null Corrupted" wurde ja gefunden ich weis nur nicht wie der entfernt wird.

Vielleicht kann mir ja jemand mit der Auswertung helfen...das wäre echt supi...

Thanx

Hr.Marv






Entry "HKCR\DSP.DSP" verweist auf das ungültige Objekt "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\DSP.DSPDMOProp_Chorus.1" verweist auf das ungültige Objekt "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINNT\system32\pxwma.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINNT\system32\pxcpyi64.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".amr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".awb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lks". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mpga". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ra". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ram". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rax". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rjs". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rjt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rmj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rmm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rms". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rmvb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rmx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rnx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rpl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rsml". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rvx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".smi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".smil". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ssm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "a-squared HiJackFree_is1". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "WinZip". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\QLYVCZCD\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\QLYVCZCD\mwav[2].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QLYVCZCD\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QLYVCZCD\mwav[2].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\RECYCLER\S-1-5-21-1957994488-73586283-839522115-500\Dc33.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei D:\RECYCLER\S-1-5-21-1957994488-73586283-839522115-500\Dd8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.