| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wer kann helfen - Systemreserven und Speicher nach 1 Stunde am EndeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.10.2004, 13:32
| #1 |
| |  Wer kann helfen - Systemreserven und Speicher nach 1 Stunde am Ende Nach ca. einer knappen Stunde stürzt der Rechner mit Speicherfehlern ab. Hilfe schafft nur im Offline Modus den Task Toadimon.exe zu killen. E Scan habe ich drüberlaufen lassen und alle Viren etc. entfernen lassen und benutze nur Opera. Den automatischen Windows-Update kann ich leider nicht durchführen. Vielen Dank schon mal im voraus !!!!!! Anbei das Logfile Logfile of HijackThis v1.98.2 Scan saved at 14:33:01, on 04.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\progman.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\tdduhs.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ftfwtn.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Opera75\opera.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F2 - REG:system.ini: Shell= O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2D5DD96B-255C-41AB-B8B8-0C5A9BE44EB9} - C:\WINDOWS\System32\didgnba.dll O2 - BHO: (no name) - {40A8645E-E410-6CDD-D122-10557FD32C6B} - C:\WINDOWS\System32\umj.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [oqchjgdi] C:\WINDOWS\System32\tdduhs.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Standard\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Fwqq] C:\WINDOWS\System32\ftfwtn.exe O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B489424-2351-4A2C-B790-181FF14F5BCA}: NameServer = 217.237.151.97 217.237.150.33 O18 - Filter: text/html - {8471119C-BC7F-49A4-A786-5196437490F8} - C:\WINDOWS\System32\didgnba.dll O18 - Filter: text/plain - {8471119C-BC7F-49A4-A786-5196437490F8} - C:\WINDOWS\System32\didgnba.dll O21 - SSODL: System - {3BE65EC8-AFA1-4838-BCA0-E084A61CCAF6} - C:\WINDOWS\system32\system32.dll (file missing) |
|
04.10.2004, 14:08
| #3 |
   | Wer kann helfen - Systemreserven und Speicher nach 1 Stunde am Ende Welche Viren genau hat E-Scan gefunden?
__________________Überprüfe zunächst mal: C:\WINDOWS\System32\ftfwtn.exe C:\WINDOWS\System32\tdduhs.exe C:\WINDOWS\System32\didgnba.dll C:\WINDOWS\System32\umj.dll hier: http://virusscan.jotti.org/de EDIT: mmk war schneller.  Ab jetzt den IE NICHT mehr öffnen, Systemwiederherstellung deaktivieren: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Diese Prozesse per Taskmanager beenden: C:\WINDOWS\System32\ftfwtn.exe C:\WINDOWS\System32\tdduhs.exe Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\WINDOWS\System32\ftfwtn.exe C:\WINDOWS\System32\tdduhs.exe Alle R0 und R1-Einträge F2 - REG:system.ini: Shell= O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: (no name) - {2D5DD96B-255C-41AB-B8B8-0C5A9BE44EB9} - C:\WINDOWS\System32\didgnba.dll O2 - BHO: (no name) - {40A8645E-E410-6CDD-D122-10557FD32C6B} - C:\WINDOWS\System32\umj.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) O4 - HKLM\..\Run: [oqchjgdi] C:\WINDOWS\System32\tdduhs.exe O4 - HKCU\..\Run: [Fwqq] C:\WINDOWS\System32\ftfwtn.exe O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Filter: text/html - {8471119C-BC7F-49A4-A786-5196437490F8} - C:\WINDOWS\System32\didgnba.dll O18 - Filter: text/plain - {8471119C-BC7F-49A4-A786-5196437490F8} - C:\WINDOWS\System32\didgnba.dll O21 - SSODL: System - {3BE65EC8-AFA1-4838-BCA0-E084A61CCAF6} - C:\WINDOWS\system32\system32.dll (file missing) Boote in den abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher_xp.htm lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
|
04.10.2004, 18:37
| #4 |
| |  Wer kann helfen - Systemreserven und Speicher nach 1 Stunde am Ende Vielen Dank für die schnelle Hilfe !!!!! Escan (jetzt auch die neueste Version) findet keine viren mehr. das logfile sieht mittlerweile ganz ok aus: Logfile of HijackThis v1.98.2 Scan saved at 19:42:25, on 04.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Opera75\opera.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Standard\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B489424-2351-4A2C-B790-181FF14F5BCA}: NameServer = 217.237.151.97 217.237.150.33 |
|
05.10.2004, 18:30
| #5 |
| Gast | Wer kann helfen - Systemreserven und Speicher nach 1 Stunde am Ende Das Log ist sauber. |
|
| Themen zu Wer kann helfen - Systemreserven und Speicher nach 1 Stunde am Ende |
| .com, .exe, .inf, adobe, bho, dateien, einstellungen, entfernen, explorer, file missing, google, helfen, hijack, hijackthis, hilfe, internet, internet explorer, messenger, microsoft, programme, realplayer, remote control, scan, software, sun java, system, system32, t-online, tcpip, temp, viren, windows xp, windows-update |
Linear-Darstellung
