| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Brauche dringend Hilfe - Pc führt ständig einen Neustart durchWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
25.07.2008, 07:39
| #1 |
| |  Brauche dringend Hilfe - Pc führt ständig einen Neustart durch Hallo, Ich habe nicht so die große Ahnung von Computern, usw. Ich habe auch keine Ahnung wen ich fragen soll, und bin beim googlen auf eure Seite gestoßen. Ihr scheint hier für alles eine Lösung zu haben...hoffentlich könnt ihr mir helfen. Ich habe ein großes Problem mit meine PC. Seit einigen Tagen kommt die folgende Meldung in unterschiedlichen Zeitabständen "generic host prozess for win32 hatt ein prob. festgestellt und muss beendet werden" " Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen die nicht gespeichert werden gehen verloren. Das Herunterfahren wurde von NT-Autorität/System ausgelöst. Zeit zum Herunterfahren Windows muß jetzt neu gestartet werden, da der Dienst DCOM-SERVER unerwartet beendet wurde. Habe bereit im Internet gegoogelt und bin zuerst von einem Blasterwurm ausgegangen. Habe das Programm Fixblast runtergeladen und den Recher überprüfen lassen. Dabei ist nichts herausgekommen....Aintivir und Spybot können ebenfalls nichts finden. Das Problem ist aber immer noch vorhanden! Ich halte den Rechner mit der folgenden Eingabe am laufenden "shutdown -a". Zumindestens kommt dann keine weitere Meldung und ich kann arbeiten... Hier mal der HijackThis Log-File Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:39:36, on 25.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\INTERV~1\WinDVR\WINSCH~1.EXE C:\WINDOWS\system32\NVAREM.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\dicad\strauti\numplus.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: (no name) - {B9B2318C-2AB0-47AE-97F6-1CE4A0820146} - C:\WINDOWS\system32\rcbdyctm.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [WINSCHEDULER] C:\PROGRA~1\INTERV~1\WinDVR\WINSCH~1.EXE O4 - HKLM\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S /Q /R /L /A1 /B0 /C0 /D2 /E0 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-2246035765-1555266142-901220791-1008\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NumPlus.lnk = C:\dicad\strauti\numplus.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125416945388 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125474724593 O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\WINDOWS\system32\x10nets.exe -- End of file - 7267 bytes |
|
25.07.2008, 16:14
| #2 |
  | Brauche dringend Hilfe - Pc führt ständig einen Neustart durch Hallo und
__________________ mach zuerst bitte alle versteckten Dateien und Ordner sichtbar und lass dann diese Datei C:\WINDOWS\system32\rcbdyctm.dll hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Hast du eine Nvidia Video/Grafikkarte? MFG
__________________ |
|
25.07.2008, 18:55
| #3 |
| | Brauche dringend Hilfe - Pc führt ständig einen Neustart durch Also, so ne Datei hab ich gar nicht habe nur eine rcbdyctl.dll
__________________Die Grafikkarte ist eine RADEON X600 Series |
|
25.07.2008, 19:02
| #4 |
| | Brauche dringend Hilfe - Pc führt ständig einen Neustart durch Und das ist das Ergebnis mit VirusTotal Datei rcbdyctl.dll empfangen 2008.07.25 19:47:02 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.26.0 2008.07.25 - AntiVir 7.8.1.12 2008.07.25 - Authentium 5.1.0.4 2008.07.25 - Avast 4.8.1195.0 2008.07.25 - AVG 8.0.0.130 2008.07.25 - BitDefender 7.2 2008.07.25 - CAT-QuickHeal 9.50 2008.07.25 - ClamAV 0.93.1 2008.07.25 - DrWeb 4.44.0.09170 2008.07.25 - eSafe 7.0.17.0 2008.07.24 - eTrust-Vet 31.6.5981 2008.07.25 - Ewido 4.0 2008.07.25 - F-Prot 4.4.4.56 2008.07.25 - F-Secure 7.60.13501.0 2008.07.25 - Fortinet 3.14.0.0 2008.07.25 - GData 2.0.7306.1023 2008.07.25 - Ikarus T3.1.1.34.0 2008.07.25 - Kaspersky 7.0.0.125 2008.07.25 - McAfee 5347 2008.07.25 - Microsoft 1.3704 2008.07.25 - NOD32v2 3299 2008.07.25 - Norman 5.80.02 2008.07.24 - Panda 9.0.0.4 2008.07.25 - PCTools 4.4.2.0 2008.07.25 - Prevx1 V2 2008.07.25 - Rising 20.54.42.00 2008.07.25 - Sophos 4.31.0 2008.07.25 - Sunbelt 3.1.1536.1 2008.07.18 - Symantec 10 2008.07.25 - TheHacker 6.2.96.389 2008.07.25 - TrendMicro 8.700.0.1004 2008.07.25 - VBA32 3.12.8.1 2008.07.25 - ViRobot 2008.7.25.1310 2008.07.25 - VirusBuster 4.5.11.0 2008.07.25 - Webwasher-Gateway 6.6.2 2008.07.25 - weitere Informationen File size: 102912 bytes MD5...: 47db0a7cecff93af35a53ac9368ed06c SHA1..: 85b9877a72734c5047d458c575ba5082ffce2287 SHA256: 6734d8911014bba7f498a2ec8213ec3ccd54c7c693d4801ae448c13bfdc0a2e7 SHA512: be8809d41fb4434af5322a60a3a834df925cebc2a50539805eb8ebf295a1f1bb<br>d998c520199d6edcc6ff4c7512e2d11c58ac3468aebba677f6bb83bd98ac64bc PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5dee01be<br>timedatestamp.....: 0x4110969a (Wed Aug 04 07:56:10 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x10d15 0x10e00 6.19 b67c45a255b5114a0697dbc6be35bfd4<br>.data 0x12000 0x1c28 0x1400 4.91 7630dedf5c1862cd4d4870b2730ff944<br>.rsrc 0x14000 0x51c8 0x5200 4.84 f270323fbe9eb055ac4792be12df331c<br>.reloc 0x1a000 0x1896 0x1a00 5.30 5e0a6db06d9c6413afcf97f13bd0ac71<br><br>( 10 imports ) <br>> msvcrt.dll: realloc, _purecall, wcscmp, __3@YAXPAX@Z, free, malloc, _wcsicmp, __CxxFrameHandler, __2@YAPAXI@Z, wcscpy, wcslen, _except_handler3, _terminate@@YAXXZ, __1type_info@@UAE@XZ, _adjust_fdiv, _initterm, swprintf, vswprintf, _wtoi, time, srand, rand, iswdigit, _wtol, wcsncmp<br>> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -<br>> ole32.dll: CoTaskMemFree, CoTaskMemRealloc, CoCreateInstance, ProgIDFromCLSID, CoGetClassObject, CoGetInterfaceAndReleaseStream, CoMarshalInterThreadInterfaceInStream, CoTaskMemAlloc<br>> USER32.dll: ChangeDisplaySettingsW, EnumDisplaySettingsW, TranslateMessage, GetMessageW, wsprintfW, LoadStringW, CharNextW, SystemParametersInfoW, SendMessageW, PostMessageW, KillTimer, DefWindowProcW, SendNotifyMessageW, CreateWindowExW, RegisterClassExW, DestroyWindow, SetTimer, MessageBoxW, wvsprintfW, DispatchMessageW<br>> WININET.dll: InternetGetConnectedState<br>> UxTheme.dll: -, -, GetCurrentThemeName, -<br>> ADVAPI32.dll: CryptAcquireContextW, CryptReleaseContext, CryptGenRandom, RegQueryValueExW, RegEnumKeyExW, RegEnumValueW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, CryptGenKey, CryptGetUserKey, CryptDecrypt, CryptImportKey, CryptDestroyKey, CryptExportKey, CryptEncrypt, MD5Final, MD5Update, MD5Init<br>> iphlpapi.dll: GetAdaptersInfo<br>> CRYPT32.dll: CryptStringToBinaryW, CryptBinaryToStringW<br>> KERNEL32.dll: lstrlenW, lstrcpyW, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, InterlockedDecrement, lstrcmpiW, lstrcpynW, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, lstrcatW, GetModuleFileNameW, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, lstrlenA, SizeofResource, LoadResource, FindResourceW, GetLastError, LoadLibraryExW, GetShortPathNameW, WideCharToMultiByte, MultiByteToWideChar, CloseHandle, SetEvent, CreateEventW, ReadFile, CreateFileW, GetCurrentProcess, GetCurrentThread, GetCurrentThreadId, GetThreadTimes, GetSystemTimeAsFileTime, WaitForSingleObject, CreateThread, OutputDebugStringW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ExpandEnvironmentStringsW<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br> |
|
25.07.2008, 22:00
| #5 |
| | Brauche dringend Hilfe - Pc führt ständig einen Neustart durch Hallo Scanne dein System bitte mit Blacklight und Silentrunners Silentrunners ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe poste anschließend bitte die Logs. Anschließend füre bitte hier Free Virus Scan - Kaspersky Lab oder hier BitDefender Online Scanner - Free Online Virus Scan einen Onlinescan durch und poste ebenfalls eventuelle Funde bzw die Logs. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
26.07.2008, 11:13
| #6 |
| | Brauche dringend Hilfe - Pc führt ständig einen Neustart durch Hallo, Dies ist das Blacklightsergebnis: 07/26/08 07:26:40 [Info]: BlackLight Engine 1.0.70 initialized 07/26/08 07:26:40 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/26/08 07:26:40 [Note]: 7019 4 07/26/08 07:26:40 [Note]: 7005 0 07/26/08 07:26:49 [Note]: 7006 0 07/26/08 07:26:49 [Note]: 7011 1700 07/26/08 07:26:49 [Note]: 7035 0 07/26/08 07:26:49 [Note]: 7026 0 07/26/08 07:26:50 [Note]: 7026 0 07/26/08 07:26:53 [Note]: FSRAW library version 1.7.1024 07/26/08 07:35:04 [Note]: 2000 1012 07/26/08 07:35:04 [Note]: 2000 1012 07/26/08 07:56:31 [Note]: 7007 0 Silentrunners funktinoierte glaub ich nicht. Habe mir die zip.Datei geholt und sie auch entpackt. Wenn ist es dann startenm will kommt dann folgenndes Ergebnis: "Silent Runners.vbs", revision 58, h**p://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" FATAL ERROR! ------------ "Silent Runners" cannot use WMI to identify the operating system. This is caused by corruption of the WMI installation. WMI is complex and it is recommended that you use a Microsoft tool, "WMIDiag.vbs," to diagnose WMI on your system. It can be downloaded here: h**p://go.microsoft.com/fwlink/?LinkId=62562 Habe mir auch diese komische WMIDiag.vbs geholt, aber die Meldung erscheind immer noch...Mach ich irgendwas falsch, oder habe ich was übersehen? Und das ist das Kaspersky-Ergebnis: KASPERSKY ONLINE SCANNER 7 REPORT Saturday, July 26, 2008 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Saturday, July 26, 2008 07:04:34 Records in database: 1010258 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: C:\ D:\ E:\ F:\ G:\ Scan statistics: Files scanned: 137002 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 02:03:56 No malware has been detected. The scan area is clean. The selected area was scanned. |
|
| Themen zu Brauche dringend Hilfe - Pc führt ständig einen Neustart durch |
| adobe, antivir, avira, bereit, bho, computer, computern, ctfmon.exe, down, dringend, excel, firefox, frage, generic host, generic host prozess, google, herunterfahren, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine ahnung, mozilla, mozilla firefox, problem, programm, prozess, remote control, rundll, software, system, t-online, windows xp |
Hybrid-Darstellung
