Ich würde euch bitten diesen Log file anzuschauen.
Mein pc schaltet sich von alleine ab, manchmal sogar noch bevor windows überhaupt gestartet wurde.
Ich bin in diesem Gebiet nicht unerfahren ich kenne mich gut mit Malware aus nur ist das etwas besonderes.
Ich kann mannschmal nicht von ner cd booten, ins abgesichertem modus gelangen und das merkwürdigste ist das wenn der pc anfängt die anwendungen zu schliesen und herunter zu fahren, kommt in einem Felnd wo man was schreiben kann, also egal wo Bsplw, bei " Ausführen "oder so immer zahlen wie :
123712371237123712371237 und das ununterbrochen.

Darum möchte ich euch bitten diesen Log file anzuschauen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23:29, on 01.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\a-squared Anti-Malware\a2HiJackFree.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193759838328
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FFC89D5-C655-48E8-8C37-38C1A7D4A353}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5394 bytes


Danke, ich bin für jede Hilfe zutiefst dankbar.

MfG

CCC

Hi und Herzlich Willkommen im Trojaner-Board

Dein Logfile ist erst mal unauffällig, außer einem
unbekannten Eintrag. Ich habe dein Problem jetzt
nicht ganz genau verstanden, aber mach folgendes:

* BlueScreen-Behandlung
Um eine Fehlerbehandlung durch zuführen, die
ausschließlich durch einen Neustart gekennzeichnet
wird, muss der BlueScreenModus aktiviert werden,
um die darin enthaltene Fehlermeldung behandeln zu können.
1. Gehe zum folgenden Options-Pfad:
Start -> Systemsteuerung -> System -> Erweitert -> Einstellungen
(Starten und Wiederherstellen als blaue Überschrift)
2. Entferne hier den Haken bei "Automatisch neustarten"
(Beim nächsten Absturz erhälst du den BlueScreen)
3. Notiere dir den Fehler [z.b. IRQ_failed]
4. Notiere dir die Parametermeldung [z.b. 0x00000000 (0x00000000,...)]
5. Poste anschließend beides in deinen nächsten Beitrag

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

Hallo und danke für die herzliche Begrüßung

Da du mein Problem nicht richtig verstanden hast versuch ichs nochmal zu erklären.
Das System startet sich in unregelmäßigen Abständen immer wieder aus, es nicht einfach ein *Strom aus* Absturz sondern der PC fährt ganz normal runter ( also von alleine) oder er wächselt in den Sandby modus.
Mit unregelmäßigen Abständen ist gemeint das er manchmal noch bevor Windows gestartet wurde sich einfach neustartet, das komisch an der Sache ist aber das ich nicht mal ins abgesicherter modus gelange und das wenn ich ins bios gehe fenster auftauchen die ich nicht angeklickt hab, nach 3 sec fährt er dann wieder runter.

Wenn der Rechner dann ne stunde aussgeschaltet war ist es auf einmal möglich ins windows zu gelangen, nach einer gewissen zeit jedoch kommt wenn ich auf ein beschreibbares feld klicke zum beispiel in msn, dauernd diese zahlenkombination : 123712371237123712371237123712371237123712371237
das macht das ausführen von commandos unmöglich.

Ich persöhnlich denke das würmer am werk sind.
Wenn man sich diesen Log von a² anschaut wird das ersichtlich : a-squared HiJackFree Analysis

Kommt beim Aktivieren des Bluescreenmodus
kein Abbild vor dem Absturz?
Versuch mal folgendes:

* tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

mfg CLeriker

hier der tcp view log:

[System Process]:0 TCP ccc-oj4hj6r9tvj:1700 85.13.137.249:http TIME_WAIT
[System Process]:0 TCP ccc-oj4hj6r9tvj:1701 85.13.137.249:http TIME_WAIT
[System Process]:0 TCP ccc-oj4hj6r9tvj:1702 85.13.137.249:http TIME_WAIT
[System Process]:0 TCP ccc-oj4hj6r9tvj:1698 85.13.137.249:http TIME_WAIT
[System Process]:0 TCP ccc-oj4hj6r9tvj:1699 85.13.137.249:http TIME_WAIT
alg.exe:1304 TCP ccc-oj4hj6r9tvj:1026 ccc-oj4hj6r9tvj:0 LISTENING
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1764 195.50.169.80:http ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1765 195.50.169.72:http ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1232 localhost:1233 ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1233 localhost:1232 ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1230 localhost:1231 ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1231 localhost:1230 ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1794 207.46.216.231:http ESTABLISHED
firefox.exe:896 TCP ccc-oj4hj6r9tvj:1743 66.102.11.164:http ESTABLISHED
ICQ.exe:716 TCP ccc-oj4hj6r9tvj:1178 205.188.9.226:5190 ESTABLISHED
ICQ.exe:716 TCP ccc-oj4hj6r9tvj:1172 ccc-oj4hj6r9tvj:0 LISTENING
ICQ.exe:716 UDP ccc-oj4hj6r9tvj:1173 *:*
lsass.exe:636 UDP ccc-oj4hj6r9tvj:isakmp *:*
lsass.exe:636 UDP ccc-oj4hj6r9tvj:4500 *:*
msnmsgr.exe:3844 TCP ccc-oj4hj6r9tvj:1673 p54a1554d.dip.t-dialin.net:2575 ESTABLISHED
msnmsgr.exe:3844 TCP ccc-oj4hj6r9tvj:1100 207.46.108.41:1863 ESTABLISHED
msnmsgr.exe:3844 UDP ccc-oj4hj6r9tvj:34734 *:*
msnmsgr.exe:3844 UDP ccc-oj4hj6r9tvj:discard *:*
msnmsgr.exe:3844 UDP 169.254.17.131:18181 *:*
msnmsgr.exe:3844 UDP ccc-oj4hj6r9tvj:1095 *:*
msnmsgr.exe:3844 UDP 169.254.17.131:15685 *:*
msnmsgr.exe:3844 UDP ccc-oj4hj6r9tvj:13719 *:*
msnmsgr.exe:3844 UDP ccc-oj4hj6r9tvj:1097 *:*
oodag.exe:392 TCP ccc-oj4hj6r9tvj:50300 ccc-oj4hj6r9tvj:0 LISTENING
Smc.exe:2316 UDP ccc-oj4hj6r9tvj:1045 *:*
Smc.exe:2316 UDP ccc-oj4hj6r9tvj:1033 *:*
svchost.exe:1012 UDP ccc-oj4hj6r9tvj:1900 *:*
svchost.exe:1012 UDP ccc-oj4hj6r9tvj:1900 *:*
svchost.exe:1012 UDP 169.254.17.131:1900 *:*
svchost.exe:840 TCP ccc-oj4hj6r9tvj:epmap ccc-oj4hj6r9tvj:0 LISTENING
svchost.exe:904 UDP ccc-oj4hj6r9tvj:1025 *:*
svchost.exe:904 UDP ccc-oj4hj6r9tvj:ntp *:*
svchost.exe:904 UDP 169.254.17.131:ntp *:*
svchost.exe:904 UDP ccc-oj4hj6r9tvj:ntp *:*
svchost.exe:964 UDP ccc-oj4hj6r9tvj:1039 *:*
svchost.exe:964 UDP ccc-oj4hj6r9tvj:1114 *:*
svchost.exe:964 UDP ccc-oj4hj6r9tvj:1038 *:*
System:4 TCP ccc-oj4hj6r9tvj:microsoft-ds ccc-oj4hj6r9tvj:0 LISTENING
System:4 TCP 169.254.17.131:netbios-ssn ccc-oj4hj6r9tvj:0 LISTENING
System:4 UDP 169.254.17.131:netbios-ns *:*
System:4 UDP 169.254.17.131:netbios-dgm *:*
System:4 UDP ccc-oj4hj6r9tvj:microsoft-ds *:*


und hier vom escan :

Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "holistyc Dialer" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


das mit dem Bluescreenmodus werd ich noch ausprobieren.

ich habe hier ein problem mit folgenden schädlingen:

-Winhole Port : 1083 TCP
und einz von denne hier :
-FTP99CMP, Back.Orifice.FTP Port : 1492 TCP

Ich bitte um hilfe wie kann ich diese schädlinge entfernen?

Hallo,

was den escan angeht, hätte ich gerne
die komplette Zusammenfassung mithilfe
der find.bat. Hier sind nur Fehlalarme
ersichtlich.

na dann schauen wir mal, wer wann so
auf deinem Rechner wann war und was
getan hat:

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

nun, die lage hat sich verändert.
Ich bin nun nichtmal in der lage ins windows zu kommen...
Das system lässt sich nicht formatieren da noch bevor das bios startet der wurm aktiv wird und die eingabe verhindert, d.h. dass ich das system von der 1. sec nach sem start nicht kontrollieren kann.
Das bios starten geht aber eine auswahl dort zu treffen ist nicht möglich, die "tastatur" macht was sie will.

Ich glaube das dieser wurm sich in den arbeitsspeicher verankert hat, da die aktivität des wurms noch bevor das bios gestart, ersichtlich wird.
Ich bin verzweifelt und weiß nicht weiter, wie gesagt nichtmal das formatieren ist möglich, von einer cd kann ich jedoch booten da es schon vor der plage im bios so eingestellt ist.

Bitte um dringende Hilfe

Zitat:

Ich glaube das dieser wurm sich in den arbeitsspeicher verankert hat, da die aktivität des wurms noch bevor das bios gestart, ersichtlich wird.

Also von sowas habe ich noch nie gehört. Da der Arbeitsspeicher
ein flüchtiger Speicher ist, werden alles Daten beim Herunterfahren
verworfen oder agbelegt. Deshalb halte ich diese Möglichkeit für
sehr futuristisch
Es sieht wohl so aus, als geht die ganze Geschichte in Richtung
Hardware. Versuche in den abgesicherten Modus zu kommen
und die Bluescreenbehandlung durchzuführen. Wenn nichts geht,
tausche Hardwareteile aus (RAM, Festplatte, Grafikkarte usw.)

ODER VIELLEICHT EINFACH MAL EINE ANDERE TASTATUR RANHÄNGEN.

mfg Cleriker

es gibt ram und rom, nicht beide sind flüchtige speicher...

die bluescreen behandlung werd ich versuchen, kann mir jemand vill auch ein tipp geben woher ich ne boot cd oder ähnliches finden kann um ein windows von cd zu starten.

danke für die bisherigen tipps.