Hallo Leute,

ich habe seit zwei Tagen ein heftiges Problem mit meinem Rechner. Vielleicht kann jemand von euch helfen? Ich beschreibe mal was passiert ist:

Nach 14 Tagen Urlaub habe ich vorgestern den Rechner (Windoof 2000) eingeschaltet und erst mal ca. 200 Mails abgerufen und ein wenig (mit Opera) gesurft. Leider habe ich zur Zeit kein Antiviren-Programm installiert.

Nach einiger Zeit stürzte der Browser immer öfter ab, die Einwahl ins Internet funktioniert oft nicht sofort und auch der Rechner stürzte ab und zu ab (Bluescreen).

Ich habe dann AntiVir installiert. Der Rechner stürzte beim ersten Scan ab, nach dem Neustart kam eine Fehlermeldung, dass Antivir defekt ist.

Als nächstes ließ ich AdAware und Spybot durchlaufen. Jedes mal stürzte der Rechen ab.

Ich deinstallierte dann Opera, was alles nur noch schlimmer machte: Dauernde Abstürze, Fehlermeldungen (z.B. "Explorer hat einen Fehler verursacht und muß beendet werden"), der IE-Explorer stürzt kurz nach der Einwahl ins Netz ab.

Ich habe dann versucht einen Online-Scan bei Trendmicro durchzuführen. Ergebnis: Ein Virus im Opera-Verzeichnis wurde angezeigt, dann stürzte der Rechner mal wieder ab bevor der Scan beendet war. Auch beim zweiten und dritten Versuch stürzte der Rechner wieder ab.

Habe als nächstes F-Prot für Win installiert und laufen lassen. Folgende Meldung wurde angezeigt:

Opr01NNB.htm HTML/(Redir@epp (Exact)
Opr01NNL.htm
Opr01NNN.php
Opr01NUV.htm
Opr01NUY.htm
Opr01NVM.php

Dann kam es natürlich wieder zum Absturz.

Ich habe dann den Rechner im abgesicherten Modus mit Eingabeaufforderung (verstehe ich nicht viel von) hochgefahren und noch mal versucht mit F-Prot das Ding zu killen. Ergebnis: Laufwerk C scheinbar virenfrei, beim Test von Laufwerk F kam es wieder zum Absturz.

Avast Antivirus konnte keinen Virus entdecken.
McAfee AVERT Stinger stürzte ab.

AVG Anti-Virus Pro meldete diesen Virus/Trojaner Dropper.Inor.J bevor es abstürzte.

Ich bin mit meinem Latein am Ende. Was soll ich tun? Ich muß noch dazu sagen, dass meine PC-Kentnisse nicht die besten sind. Gibt es irgendein Mittel, was mir die Neuinstallation von Windows erspart?

-----
sounds

Scanne mit E-Scan im abgesicherten Modus (normal, nicht der mit eingabeaufforderung):

http://www.trojaner-board.de/42731-escan-anleitung.html

Du hats Opera deinstalliert, aber noch ein opera-Verzeichnis? Evtl. ist da der Cache noch enthalten, da könntest du das Verzeichnis löschen, allerdings sind dann auch eventuelle Backups deiner Bookmarks weg, daher evtl. die Datei opera6.adr vorher woanders speichern.

Hi,

ich habe jetzt gerade versucht mit eScan das Viech zu killen. Leider hat das nicht geklappt. Ich habe eScan vor dem Scannen aktualisiert und dann den Rechner im abgesicherten Modus neugestartet. Anschließend habe ich mit dem Scannen begonnen.

Als erste Meldung kam folgendes:

F:\WINNT\_MSRSTRT.EXE

tagged as not-a-virus:Tool.win32.Reboot.NoActionTaken.

Dann, während eScan weiter scannte, wurden zwei weitere Viren gefunden (ich meine wieder im Opera-Verzeichnis), dann kam eine Fehlermeldung ("eScan hat einen Fehler verursacht") und der Rechner stürzte mal wieder ab.

Ich könnte das Logfile von eScan hier einstellen, wenn es hilft. Die Datei ist allerding ziemlich lang.

Dann habe ich den Rechner im normalen Modus gestartet und mit HijackThis geprüft. Hier kommt das Ergebnis (Ich muß aber gleich dazu sagen, daß meine Version von HijackThis leicht angestaubt ist):

Logfile of HijackThis v1.95.0
Scan saved at 19:01:37, on 09.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\dialer_warner\CAPIDOG.EXE
F:\PROGRA~1\WinZip\winzip32.exe
F:\DOKUME~1\GENOSS~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=F:\WINNT\system32\blank.htm
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.de"); (F:\Programme\Netscape\Users\jsmith\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Startup: Verknüpfung mit CAPIDOG.EXE.lnk = F:\Programme\dialer_warner\CAPIDOG.EXE
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: F:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...879.4778587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Dann habe ich noch die Cache-Dateien von Opera gelöscht und noch einmal versucht, eScan im abgesicherten Modus zu starten, woraufhin der Rechner beim Scannen wieder abstürzte.

Wat nun? Alles wegschmeißen und verschrotten?

-----
sounds

Hey, das hört sich doch alles sehr danach an, als hättest du dasselbe (oder ein ähnliches) Problem wie ich, sounds! Siehe "HILFE: Immer Abstürz während Viren(Spyware-, Trojaner-, etc...)Scan!"
(Oder was meinst du, MountainKing?)
Der Virus/Trojaner Dropper.Inor.J wurde bei mir übrigens auch gestern irgendwann mal gefunden...
Was kann man bloß tun...?! Wer ist eigentlich so hirnrissig und denkt sich solche Teile wie Viren oder Trojaner aus? Haben die nichts besseres zu tun?

Zitat:

Zitat von LaAnPe

... dasselbe (oder ein ähnliches) Problem wie ich ...

Jau,

habe ich auch gerade gedacht.

Besorg dir bitte die aktuelle Verion von HijackThis u.a. bei www.hijackthis.de entpacke sie in ein eigenes Verzeichnis und poste das neue Log. Sichere die Adressdatei (wenn du möchtest) und lösche das Opera-Verzeichnis.
Im jetzigen Log kann ich eigentlich nichts Verdächtiges entdecken, ich bin mir nicht so sicher, ob es sich nicht vielleicht ursächlich um andere Probleme handelt (Hardwaredefekt, Hitze).

Das Opera-Verzeichnis habe ich gelöscht und eine aktuelle Verion von HijackThis installiert. Hier komt das Logfile:


Logfile of HijackThis v1.98.2
Scan saved at 21:28:21, on 09.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\dialer_warner\CAPIDOG.EXE
F:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=F:\WINNT\System32\userinit.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.de"); (F:\Programme\Netscape\Users\jsmith\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Startup: Verknüpfung mit CAPIDOG.EXE.lnk = F:\Programme\dialer_warner\CAPIDOG.EXE
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: F:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Anschließend habe ich noch einmal versucht eScan im abgesicherten Modus durchzuführen. Leider ist der Rechner wieder abgestürzt.

Fixen:
R3 - Default URLSearchHook is missing
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Ansonsten sehe ich nichts ...

Ich habe R3 und 09 gefixt.

Anschließend habe ich eScan im abgesicherten Modus durchlaufen lassen. Allerdings kam irgendwann wieder die Meldung "eScan hat einen Fehler verursacht", abgestürzt ist der Rechner dabei jedoch nicht.

Dann habe ich denn Rechner neugestartet. Im normalen Modus kamen erst wieder sofort irgendwelche Fehlermeldungen von Windows (z.B. "WinLogon.exe hat einen Fehler verursacht"), dann poppte AVG Anti Virus auf und meldete Virus @CoreException/C0000005/000115B9 C:\eigene Bilder\Desktop.ini gefunden. Ich hab dan mit AVG ohne viel Hoffnung gescannt, bis der Rechner mal wieder abstürzte.

Nach dem Hochfahren kam dann wieder die Virenwarnung, diesmal sollte der selbe Virus allerding auf Laufwerk F hocken.

Einen neuen HijackThis Logfile habe ich auch gemacht:

Logfile of HijackThis v1.98.2
Scan saved at 09:16:23, on 10.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\dialer_warner\CAPIDOG.EXE
F:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=F:\WINNT\System32\userinit.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.de"); (F:\Programme\Netscape\Users\jsmith\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Startup: Verknüpfung mit CAPIDOG.EXE.lnk = F:\Programme\dialer_warner\CAPIDOG.EXE
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: F:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Hast du das Problem auch, wenn du dies fixt:
F2 - REG:system.ini: UserInit=F:\WINNT\System32\userinit.exe

Achtung! Evtl. musst du danach von der Backup-Funktion von HijackThis Gebrauch machen. Probiere es aber ruhig mal.