Hallo ihr Lieben

Hab seit einigen Tagen das Problem, dass sich mein Rechner mal häufig und mal seltener von allein neustartet, hin und wieder mit Bluescreen. Das ganze etwa 3-5x täglich. Leider ohne bestimmten Grund, etwa das Starten eines bestimmten Progs oder ähnlichem.
AntiVir ist immer aktuell (tägliches Update) und läuft etwa jeden dritten Tag als Scan zusätzlich zum real-time Schutz durch, zeigt aber keine Infektionen an. Bin recht ratlos. Wäre lieb, wenn sich das hier mal jemand ansieht.

Im Voraus vielen Dank für eure Hilfe
Shiva




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:11, on 30.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
e:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Win32.exe] C:\WINDOWS\system32\Win32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1204602092062
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFE7B042-E899-459D-9EB7-7E828E651CF8}: NameServer = 213.191.92.87 62.109.123.6
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMSAccessU - Unknown owner - e:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - e:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - e:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 5579 bytes

Hallöle shiva.

Du hast dir ein Würmchen eingefangen.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\Win32.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hallo Undoreal

Erstmal vielen Dank für die schnelle Antwort.
Ich hab deine Anweisungen befolgt und die folgende Auswertung bekommen, doch weiß ich hiermit

Zitat:

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist.

nichts anzufangen, weil es nur eine exe Datei namens Win32 gibt.

Hier erstmal das Ergebnis dazu:


Datei Win32 empfangen 2008.06.30 19:53:38 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.30 -
AntiVir 7.8.0.59 2008.06.30 -
Authentium 5.1.0.4 2008.06.29 -
Avast 4.8.1195.0 2008.06.30 -
AVG 7.5.0.516 2008.06.30 -
BitDefender 7.2 2008.06.30 -
CAT-QuickHeal 9.50 2008.06.30 -
ClamAV 0.93.1 2008.06.30 -
DrWeb 4.44.0.09170 2008.06.30 -
eSafe 7.0.17.0 2008.06.30 -
eTrust-Vet 31.6.5914 2008.06.30 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.29 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.30 -
GData 2.0.7306.1023 2008.06.30 -
Ikarus T3.1.1.26.0 2008.06.30 -
Kaspersky 7.0.0.125 2008.06.30 -
McAfee 5328 2008.06.30 -
Microsoft 1.3704 2008.06.30 -
NOD32v2 3228 2008.06.30 -
Norman 5.80.02 2008.06.30 -
Panda 9.0.0.4 2008.06.29 -
Prevx1 V2 2008.06.30 -
Rising 20.51.02.00 2008.06.30 -
Sophos 4.30.0 2008.06.30 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.30 -
TheHacker 6.2.96.364 2008.06.28 -
TrendMicro 8.700.0.1004 2008.06.30 -
VBA32 3.12.6.8 2008.06.30 -
VirusBuster 4.5.11.0 2008.06.30 -
Webwasher-Gateway 6.6.2 2008.06.30 -

weitere Informationen
File size: 210493 bytes
MD5...: 47a87b41c7022a650e4dacc9a32d69cf
SHA1..: 5a1b2484acc8cf817a2531d112c376f3a51ebd98
SHA256: 050d52c07835af40fef0863e75ffcd94f2d860dd4fe01178daf6af583ef35175
SHA512: fdf32a6c51715f252b2b7038cd6a8d4714ed91bc3ffb2c6377fdf00401ad3b23<br>738e634e06c62516c7f75535c3117c63b43877404acb5befd3de87074aa4f14d
PEiD..: -
PEInfo: -

Das ist nur der Textbaustein..

Aber dem Ergebniss traue ich absolut nicht..

Lade uns die Datei bitte auf den Server.

http://www.trojaner-board.de/54791-a...-new-post.html

Hallo Undoreal

Die Datei hab ich abgeschickt, muss aber mal anmerken, dass die Datei nicht als .exe angezeigt wird, oder vielleicht muss das so sein, ka.




Im Übrigen bekomme ich auch öfter die Meldung, dass das gerade genutzte Programm (FF, IE, oder Bildbearbeitungsprogs) einen schweren Fehler aufweisen und geschlossen werden müssen. Dieses Fenster mit der Frage, ob die Daten auch an Microsoft gesendet werden sollen. Und der Rechner ist allgemein deutlich langsamer als sonst.

Vielleicht hilft das bei der Analyse.

Liebe Grüße und vielen vielen Dank dir
Shiva

Also die Win32 die du hochgeladen hast ist in der Tat keine.exe sondern eine Datei wo ein Keylogger seine gesammelten Informationen ablegt.

Aber es muss da noch eine zugehörige Win32.exe geben.

Zitat:

O4 - HKLM\..\Run: [Win32.exe] C:\WINDOWS\system32\Win32.exe

Du solltest dringend ale deine Passwörter und Zugangs Accounts insb. online-Banking, e-bay, PayPal usw. ändern bzw. sperren lassen!
Das Ganze natürlich von einem anderen PC aus.!.

Keylogger sind extrem aufzuspüren und können erheblich Schaden anrichten. Ich würde dir daher evtl. empfehlen neuaufzusetzten aber wir können auch probieren ihn zu finden..


GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

Sevi, wärst du bitte so nett, nicht in meinem Thread deine Probleme zu schildern, sondern einen eigenen aufzumachen? Und dann musst du den Beitrag auch nicht unbedingt 3x posten.

Mods, wäre mal wer so lieb, die letzten 3 Beiträge in einen eigenen Thread zu verschieben.

Danke

Undoreal, hast du dir die Logs angesehen oder hast mich vergessen? :-)

Deinstalliere bitte AdAware.

Danach räume mit CCleaner auf.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Während des Scans sollte der Rechner Verbindung mit dem Internet haben.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hab ich gemacht, hier der Link:

Klick mich


Lieben Dank im Voraus

Füge bitte dieses Skript unter File -> Custom Skripts ein und führe es aus:

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}');
QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll','');
BC_DeleteFile('C:\WINDOWS\system32\Win32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hi Shiva. Habe dich nicht vergessen...

Nur etwas viel um die Ohren im Moment und selber nicht so den Durchblick warum du keine Admin Rechte haben solltest..

Geh mal auf Start->Syssteuerung->Benutzrkonten und überprüfe dort den Status deines Accounts.

PS: Und poste bitte den genauen Wortlaut der Fehlermeldung.

Und lasse checkdisk laufen:

chkdsk der Systempartition

1. Klick auf Start, Ausführen
2. Tipp ein cmd und bestätige mit ok, die Konsole öffnet sich.
3. Tipp dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit enter.
4. Die folgende Abfrage mit j bestätigen und enter drücken.
5. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.

Status: Benutzerkonto Shiva ist nach wie vor Adminitrator.

Beim manuellen Windows Update erhalte ich die Meldung:

Sie müssen Computeradministrator sein [...] um von dieser Seite Updates herunterzuladen.

CheckDisk wurde durchgeführt, und es wurden keine Fehler gefunden.
Bin aber immer noch kein Admin, obwohl das Konto als solches besteht.


Es ist zum haareraufen

Sodele

Ich hab meinen Rechner nun komplett neu aufgesetzt, alles wieder fein, so dachte ich.
Denn schon kurz nachm Fertigstellen kam wieder das plötzliche Runterfahren mit Bluescreen, unten die Meldung, dass die Win32k.sys dieses Problem hervorruft.
Seitdem werden Programme willkürlich mit dem Fenster beendet, in dem steht:

Programm .... hat ein Problem festgestellt und muss beendet werden.
Fehlerbericht senden...ja oder nein...

Wir kennen das ja

So, nu bin ich wirklich völlig ratlos und baue ganz auf dich, Undoreal


Liebe Grüße
Shiva