Schönen guten Tag, da bin ich mal wieder.
Tja, wo soll ich anfangen, ich hab seit dem letzten Windows-update einige äusserst kuriose Probleme...

Zuerst mal ein paar infos:
Mein System ist nicht übertaktet.
Alle Treiber sind aktuell.
Ich habe in den letzten 3 Wochen keine neue Software, ausser einem allseits bekannten HTML-Editor installiert. (Phase5)

Meine Probleme im einzelnen:

Zuerst fing's an mit Bluescreens ganz verschiedener Ursachen. Unter anderem: Webcam Treiber, Soundkarten-Treiber, kryptische .sys Dateien. Alles gegoogled, nix gefunden, zumindest kein Schädling.

Antivir Upgedated, drüberlaufen lassen, nix. Das ganze dann nochmal im abgesicherten modus, nix.

Dann fing's an mit den wirklich bescheuerten Problemen:

Im abgesicherten Modus wollte ich mein Administrator-Benutzerkonto-Passwort ändern, also öffnete ich die "Benutzerkonten-Verwaltung", diese blieb allerdings leer, stattdessen bekam ich ca 100 Internet-Explorer Script-Fehlermeldungen.
Diese hab' ich auch im normalen Modus von Windows, und zwar nicht nur dort, sondern mittlerweile auch in "services.msc", wo anders hab' ich bisher ehrlichgesagt noch nicht geguckt. Das macht mich ein wenig Stutzig, weil ich echt keinen Schimmer hab' was der Internet-explorer damit zutun hat.

Nundenn, weiter geht's.
Ich war wunderbar schön am php schreiben, mitten in der Nacht, als mein System plötzlich für einen kurzen Moment stockte, ich war verwundert und Minimierte erstmal meinen Editor.

Was jetzt kommt, entzieht sich meinem Vorstellungsvermögen, da ich eine (zwar schon alte, aber wunderbar funkionierene) Hardware-Firewall von Symantec benutze:
Auf einmal war mein Desktop-Hintergrund weg, wurde ersetzt durch eine wunderbare Meldung, etwa "Your Computer is infected with Spyware", wie auch immer, dass das kein normales Verhalten ist wurde mir schon hier bewusst, plötzlich poppte "XPAntivirus2008" auf, nie von dem Programm gehört, also hab' ich's direkt mal gekillt, da ja normalerweise Antivir auf meiner Kiste zuständig für sowas is.

Security-Taskmanager rausgewühlt, alles beendet was ich nicht kenne, und XP Antivir 2008 inklusive aller übebleibsel direkt ins Nirvana befördert.
Antivir war zu dem Zeitpunkt up-to-date, also direkt nochma drübergejagt, nix gefunden. Also, ab in die Registry und vorsichtshalber mal alle Startroutinen rausgekickt, die für meinen neuen Freund, XPAntivirus2008, verantwortlich waren. Hat auch wunderbar geklappt. Dann hab' ich wieder die Reiter "Bildschirmschoner" und "Desktop" in's leben gerufen, und weil's so schön war, meine insgesamt 600 GB verteilt auf 4 Festplatten die nahezu voll sind nochmal im abgesicherten Modus mit Antivir umgekrempelt. Kein Fund.

Meine akuten Probleme sind:

Internet Explorer (7, mit allen updates) startet beim ersten mal nun ohne Adresszeile etc. und die entsprechende Webseite wird nicht geladen. Nach einem beherzten Druck auf Alt+F4 und abermaligem Starten, ist alles wie sonst auch.

Internet Explorer verursacht bei den absurdesten Vorgängen Scriptfehler, selbst wenn er (laut task manager) nicht mal läuft.

Diverse Javascript-Funktionen macht mein rechner nicht mehr. (u.a. buttons hier im forum für die textformatierung)

Nungut, ich hab' hier nen aktuellen HijackThis log, hab' ihn auf hijackthis.de analysieren lassen. Sonderlich spannend sieht's nicht aus..

Hier ist mein HiJackThis-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:47:26, on 17.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Razer\razerhid.exe
D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Razer\razertra.exe
D:\Programme\Razer\razerofa.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Security Task Manager\TaskMan.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft. com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft. com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft. com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft. com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft. com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft. com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [razer] D:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia. com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.lokalisten. de/iup/ImageUploader4.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - h**p://liveupdate.msi. com.tw/autobios/LOnline/install.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun. com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn. com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - h**p://www.yougamers. com/systeminfo/MSC3.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15105/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BC0DBDD-AE50-4C00-8DF9-5C9B833CEB7D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BC0DBDD-AE50-4C00-8DF9-5C9B833CEB7D}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ccbbb386382 - D:\WINDOWS\system32\__c00E9116.dat
O20 - Winlogon Notify: __c00A41C4 - D:\WINDOWS\system32\__c00A41C4.dat
O20 - Winlogon Notify: __c00AADC5 - D:\WINDOWS\system32\__c00AADC5.dat
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Droppix Service - Droppix - D:\Programme\Gemeinsame Dateien\Droppix\DxService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - D:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7821 bytes
         

Vielleicht findet ja jemand was, bin - wie immer - für jede Hilfe dankbar.

Grüße, das Huhn.

Hoi,
danke für die ausführliche Problemschilderung, aber lange Rede - kurzer Sinn.
Hier der Grundstein des Übels:

Zitat:

O20 - Winlogon Notify: __c00A41C4 - D:\WINDOWS\system32\__c00A41C4.dat
O20 - Winlogon Notify: __c00AADC5 - D:\WINDOWS\system32\__c00AADC5.dat

Eine Zlob-Infektion.
Da dieser polymorph ist und Backdoorfunktionalitäten besitzt, wäre ein Neuaufsetzen Pflicht.
Das von dir genannte Rogue-Antivirus namens XP Antivirus 2008 hast du ihm zu verdanken.
Jetzt bleibt es bei deiner Entscheidung, welchen Weg du gehen willst.

mfg

Da kommt freude auf, zum glück hab ich auf 'ner andern Platte welche nicht im Betrieb ist noch 'n Windows64, wenn ich hier die Systemplatte abzieh und diese Benutze, dürfte das ja eigentlich kein Problem sein, oder?

Ich würde die Sache eher heikel angehen.