Hallo,

mein Laptop ist wohl ziemlich hinüber. In der letzten Woche ging gar nichts mehr, er ließ sich nur jedes 20. oder 30. Mal hochfahren, manchmal nur im abgesicherten Modus. Gelegentlich kamen Horrormeldungen wie "Hardware defekt, wenden Sie sich an ihren Hersteller". Es hatte damit angefangen, dass die Maus verrückt spielte, an andere Stellen sprang, danach öffneten und schlossen sich Fenster, die ich nie geöffnet hatte. Später konnte ich die Maus gar nicht mehr nutzen.

Ich habe den Laptop eine Woche lang gar nicht mehr benutzt. Kurioserweise funktioniert er jetzt wieder. Ich kann
ihn zumindest hochfahren und die Maus ist auch kontrollierbar! Die Frage ist wohl, wie lange noch.

Bei HijackThis habe ich nichts gefunden, deshalb gleich die E-Scan-Meldung, die es, glaube ich, in sich hat.

Ich konnte e-scan nicht aktualisieren, "Download nicht möglich", hieß es. Ich verstehe im übrigen nicht, wie man ihn im abgesichterten Modus aktualisieren soll, ich kann mich in diesem Modus nicht mit dem Internet verbinden. Aber auch im normalen Modus konnte ich das e-scan nicht aktualisieren.

Ich würde mich über Hilfe sehr freuen,

Danke, BeneV

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\ORUN32.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\CMMGR32.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\YOURAPP.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Vodafone\VodafoneMobileConnectCard\MAIN.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\ORUN32.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\CMMGR32.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Bene\Anwendungsdaten\sopcast\adv
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\tencent !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2971b5e0-40d5-11dc-960c-00038a000015} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fa572c02-603e-11dc-9649-00038a000015} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {2971b5e0-40d5-11dc-960c-00038a000015}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.hta
Executable Command Found in {fa572c02-603e-11dc-9649-00038a000015}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.hta
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 103665
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 71
Dauer des Scans bisher: 00:26:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:34:08,13
Batchende: 12:34:18,58

Noch ein Nachtrag:

Zur Vollständigkeit noch mein Highjackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:17:48, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\xxx\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\Webfilter\PAKIEPlugins.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\GDATAA~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [EzButton System] c:\Program Files\EzButton System V3.0\EzButton.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Vodafone Mobile Connect Card.lnk = C:\Programme\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155686900135
O17 - HKLM\System\CCS\Services\Tcpip\..\{C423AD48-31BC-41CE-86DC-B8372B60885F}: NameServer = 192.168.0.2,194.179.1.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKWCtl.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: G DATA Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von AOL\Firewall\GDFwSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hallo,

ich wollte noch einmal freundlich nachfragen, ob mir jemand bei meinem Problem helfen kann?



Danke

Hi,

Sieht aus, wie eine
Netzwerkinfizierung,
aber schau'n wa erst
mal nach.

* Dateien Online Überprüfen
- lade die Seite von Virustotal(alternativ Jotti)
- lade in der dafür vorgesehen Box folgende Datei hoch:

Zitat:

C:\WINDOWS\ORUN32.EXE
C:\WINDOWS\system32\CMMGR32.EXE
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\System32\Shdocvw.dll

- Warte die Auswertung ab
- Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{C423AD48-31BC-41CE-86DC-B8372B60885F}: NameServer = 192.168.0.2,194.179.1.100

Das ist eine Provider-Connection nach Spanien (Madrid).
Weißt du davon irgend etwas?

mfg Cleriker

@ Cleriker

Herzlichen Dank, dass du dich damit beschäftigt hast, wirklich sehr nett.


Ich habe die vier Dateien bei Virustotal untersuchen lassen.

Die ersten beiden hatten wohl keinen Inhalt, es kam die Meldung:

0 bytes size received / Se ha recibido un archivo vacio
0 bytes size received / Se ha recibido un archivo vacio

Bei den letzten beiden hat er offenbar nichts gefunden:

Datei userinit.exe empfangen 2007.09.20 17:48:35 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
File size: 25088 bytes
MD5: d1e53dc57143f2584b1dd53b036c0633
SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa

Datei shdocvw.dll empfangen 2007.09.20 17:55:35 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
File size: 1494528 bytes
MD5: 173933d432698194d4a93ffd034db52
dSHA1: 8ca7383e8528e14b3cc71d9b114dbe93ecf72ca4

Zur Provider-Verbindung nach Spanien: Jetzt sollte ich eigentlich keine Verbindung mehr nach Spanien haben.
Ich war aber letzte Woche in Madrid, und war dort über Hotel-LAN im Internet. Ich musste dort die IP manuell eingeben.
Irgendwann später sind die Abstürze und Fehler aufgetreten, also könnte es damit etwas zu tun haben.

Allerdings hatte ich schon früher mal das Problem, dass der Computer sich nicht hochfahren lässt. Einmal habe ich ihn neu aufgespielt. Ein anderes Mal hatte sich das Problem nach einer Woche Ruhepause gelegt. So wie im Moment auch.


Was soll ich jetzt machen?

Gruß BeneV

Hallo,

Zitat:

Zitat von BeneV

0 bytes size received / Se ha recibido un archivo vacio
0 bytes size received / Se ha recibido un archivo vacio

das heißt nicht, dass die Dateien keinen Inhalt hätten, sondern dass sie nicht gescannt werden möchten. Möglichkeit: Die jeweiligen Pfade

Zitat:

C:\WINDOWS\ORUN32.EXE
C:\WINDOWS\system32\CMMGR32.EXE

nacheinander in das Eingabefeld bei Virustotal zu kopieren und den Scan wiederholen oder die Dateien kopieren (z.B. nach orun32.vir bzw. cmmgr32.vir) und versuchen, die Kopien zu scannen.

Die userinit.exe und die shdocvw.dll sind übrigens den HASH-Werten zufolge tatsächlich von Microsoft.

@ Franz,

auch Dir herzlichen Dank für den Ratschlag,

ich habe versucht die Kopien zu scannen, allerdings erhalte ich dieselbe Meldung wie zuvor. Allerdings bin ich nicht sicher, ob ich die Dateien richtig kopiert habe, ich habe mit STRG + C eine Kopie erzeugt, und die Endung dann in .vir umbenannt. Falls es falsch war, könnte mir jemand sagen wie es richtig geht?

Herzlichen Dank,

BeneV

Hallo.

Die Dateien werden von eScan als "EXE CORRUPTED" markiert - es kann durchaus möglich sein, dass diese Dateien tatsächlich eine Größe von Null Bytes haben. Die Preisfrage wäre allerdings warum sie leer sind.
Die Dateinamen an sich deuten auf legitime windows-Dateien hin.

Wenn ich deine Problembeschreibung lese

Zitat:

In der letzten Woche ging gar nichts mehr, er ließ sich nur jedes 20. oder 30. Mal hochfahren, manchmal nur im abgesicherten Modus. Gelegentlich kamen Horrormeldungen wie "Hardware defekt, wenden Sie sich an ihren Hersteller".

ist ein Hardwaredefekt garnicht mal unwahrscheinlich. Es könnte aber auch sein, dass das Dateisystem eine Macke hat. Würde evtl. sogar die Null-Byte-Dateien erklären. Mach deshalb mal ein

chkdsk der Systempartition

1. Klick auf Start, Ausführen
2. Tipp ein cmd und bestätige mit ok, die Konsole öffnet sich.
3. Tipp dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit enter.
4. Die folgende Abfrage mit j bestätigen und enter drücken.
5. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.