Hallo,
Ich habe folgende Probleme mit meinem Pc.
Er stürtzt andauernd ab und startet neu oder der Bildschirm bleibt schwarz, es ist egal was ich tue, ob ich überhaupt etwas mache oder nur daneben sitze oder ob ich ihn echt beanspruche. Habe auch nichts Verändert in letzter zeit. Hatte schonmal so Probleme mit ihm allerdings ging es dann wieder. Und er hängt sich an dauernd auf, sprich das Bild bleibt hängen und die farben werden extrem hell. Hab jetzt HijackThis laufen lassen aber ich verstehe davon nichts da ich mich nicht damit auskenne. Wäre lieb wenn ihr mir helfen könntet.
Lg Yaminah

HiJackThis-Log:

Hallo und

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.21256)

Mit Updates haste es wohl nicht so? Warum kein SP3 und kein IE8?


Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,
danke erstmal das du mir helfen möchtest.
Zu den Updates ist es so, ich benutze IE nicht sondern Opera und das windows update habe ich schon ein paar mal versucht aber mein Pc stürzt mittendrin ab oder hängt sich auf.
So werde die beiden Scans jetzt mal machen und die Logs hier gleich posten
LG yaminah

So da bin ich wieder. Ich muss sagen meine Nerven sind am Ende =)
Beim ersten Scan ist der Pc sage und schreibe 9 mal abgestürzt und das immer wenn schon knapp ne Stunde vorbei war. So hier die Ergebnisse:

Achso ist das normal das die beiden OTL Logs gleich sind?
Wird immer schlimmer mit den Abstürzen :-(

Hast Du die Funde mit Malwarebytes auch entfernt?

Ja habe ich.

Zitat:

Zitat von yaminah

Achso ist das normal das die beiden OTL Logs gleich sind?

Nein. Wieso benennst Du die um?
Die beiden Logs werden als OTL.txt und Extras.txt abgespeichert, was soll das mit OTL1 und und OTL2?

Es hat sich keine Datei mit dem Namen Extra abgespeichert sondern es waren am Ende 3x(!) OTL.txt geöffnet. Hatte mich auch gewundert.

Problem endtdeckt hatte bei Extra Registrierung nicht die Safe List lasse ihn sofort nochmal scannen =) Sorry

So hier die Richtigen =) :

Zitat:

Drive C: | 7,82 Mb Total Space | 0,19 Mb Free Space | 2,40% Space Free | Partition Type: FAT

Drive D: | 19,07 Gb Total Space | 10,22 Gb Free Space | 53,57% Space Free | Partition Type: NTFS

Wer hat Dir den Rechner, so wie er jetzt ist, installiert? Derjenige muss eine mikrige 8 MB Partitition erzeugt haben. Was soll sowas?
Was hast Du auf C: gespeichert?


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [activenvwr32]  File not found
O32 - AutoRun File - [2009.01.16 14:15:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT ]
O32 - AutoRun File - [2009.10.10 19:41:40 | 000,000,105 | ---- | M] () - C:\autorun.inf.vir -- [ FAT ]
O33 - MountPoints2\{0b333c60-ee44-11de-afc2-001167564612}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0b333c60-ee44-11de-afc2-001167564612}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{19541a00-4859-11df-b2de-001167564612}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{19541a00-4859-11df-b2de-001167564612}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{4ae5b43e-37a0-11de-ac37-00173fcdf596}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4ae5b43e-37a0-11de-ac37-00173fcdf596}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{b3d564f0-a881-11de-ae2b-00173fcdf596}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b3d564f0-a881-11de-ae2b-00173fcdf596}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{c6a3a970-bb3c-11de-ae73-00173fcdf596}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c6a3a970-bb3c-11de-ae73-00173fcdf596}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
[2010.07.07 08:54:42 | 000,000,000 | -HSD | C] -- D:\found.004
@Alternate Data Stream - 105 bytes -> D:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:9E3E060F
@Alternate Data Stream - 102 bytes -> D:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:CB0AACC9
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Das war vornem jahr ein "Möchtegern".....hmm ich weiß nicht was auf der C ist ich weiß nur ganz früher waren dort die Sachen vom Betriebssystem gespeichert. (weiß nicht ist warhscheinlich falsch formuliert aber das war das Hauptlaufwerk gewesen =) )
So hier der Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-05.01 - Rosa&Memo 05.08.2010  21:41:41.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.255.105 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\Rosa&Memo\Desktop\cofi.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\programme\SGPSA
d:\programme\SGPSA\BHO.dll
d:\programme\SGPSA\SearchAssistant.dll
d:\recycled\Recycled

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-05 18:08 . 2010-08-05 18:08	--------	d-----w-	D:\_OTL
2010-08-04 22:06 . 2010-07-05 12:30	3687344	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Simply Super Software\Trojan Remover\feb1.exe
2010-08-04 22:02 . 2010-07-05 12:30	3687344	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Simply Super Software\Trojan Remover\vmy11F.exe
2010-08-04 21:59 . 2006-06-19 11:01	69632	----a-w-	d:\winxp\system32\ztvcabinet.dll
2010-08-04 21:59 . 2006-05-25 13:52	162304	----a-w-	d:\winxp\system32\ztvunrar36.dll
2010-08-04 21:59 . 2005-08-25 23:50	77312	----a-w-	d:\winxp\system32\ztvunace26.dll
2010-08-04 21:59 . 2002-03-05 23:00	75264	----a-w-	d:\winxp\system32\unacev2.dll
2010-08-04 21:59 . 2003-02-02 18:06	153088	----a-w-	d:\winxp\system32\UNRAR3.dll
2010-08-04 21:59 . 2010-08-04 21:59	--------	d-----w-	d:\programme\Trojan Remover
2010-08-04 21:59 . 2010-08-04 21:59	--------	d-----w-	d:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Simply Super Software
2010-08-04 21:59 . 2010-08-04 21:59	--------	d-----w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Simply Super Software
2010-07-31 19:18 . 2010-07-31 19:18	--------	d-----w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Malwarebytes
2010-07-31 19:17 . 2010-04-29 10:19	38224	----a-w-	d:\winxp\system32\drivers\mbamswissarmy.sys
2010-07-31 19:17 . 2010-07-31 19:17	--------	d-----w-	d:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2010-07-31 19:17 . 2010-07-31 19:17	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2010-07-31 19:17 . 2010-04-29 10:19	20952	----a-w-	d:\winxp\system32\drivers\mbam.sys
2010-07-14 08:12 . 2010-06-14 14:30	743936	------w-	d:\winxp\system32\dllcache\helpsvc.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 22:07 . 2010-03-25 07:56	--------	d---a-w-	d:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
2010-07-31 20:35 . 2009-12-05 15:42	--------	d-----w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Samsung
2010-07-31 20:35 . 2009-02-09 10:44	--------	d--h--w-	d:\programme\InstallShield Installation Information
2010-07-31 20:33 . 2010-03-27 02:05	--------	d-----w-	d:\programme\Cheat Engine
2010-07-23 18:52 . 2001-08-23 11:00	48354	----a-w-	d:\winxp\system32\perfc007.dat
2010-07-23 18:52 . 2001-08-23 11:00	316924	----a-w-	d:\winxp\system32\perfh007.dat
2010-07-16 21:40 . 2009-05-03 10:21	38912	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-05 11:46 . 2010-03-24 08:05	--------	d-----w-	d:\programme\Opera
2010-06-18 06:41 . 2010-06-18 06:41	61440	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1ebe70bc-n\decora-sse.dll
2010-06-18 06:41 . 2010-06-18 06:41	503808	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-31bb06a1-n\msvcp71.dll
2010-06-18 06:41 . 2010-06-18 06:41	499712	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-31bb06a1-n\jmc.dll
2010-06-18 06:41 . 2010-06-18 06:41	348160	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-31bb06a1-n\msvcr71.dll
2010-06-18 06:41 . 2010-06-18 06:41	12800	----a-w-	d:\dokumente und einstellungen\Rosa&Memo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1ebe70bc-n\decora-d3d.dll
2010-06-18 06:39 . 2010-06-18 06:40	411368	----a-w-	d:\winxp\system32\deployJava1.dll
2010-06-14 14:30 . 2009-05-03 02:43	743936	----a-w-	d:\winxp\pchealth\helpctr\binaries\helpsvc.exe
2010-06-03 02:41 . 2010-06-03 02:41	3600384	----a-w-	d:\winxp\system32\GPhotos.scr
.

------- Sigcheck -------

[7] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . d:\winxp\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\sfcfiles.dll
[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . d:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="d:\winxp\vsnpstd3.exe" [2006-09-18 843776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\winxp\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2010-05-04 124928]

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=d:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=d:\winxp\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06	976832	----a-w-	d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 02:08	35696	----a-w-	d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44	3883840	----a-w-	d:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"d:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"d:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\Opera\\opera.exe"=


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Add to Google Photos Screensa&ver - d:\winxp\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-05 21:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  21:52:14
ComboFix-quarantined-files.txt  2010-08-05 19:51

Vor Suchlauf: 10 Verzeichnis(se), 10.954.444.800 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 10.926.305.280 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

- - End Of File - - D206AAA8AB5C0D34F3B3D7040E0A2E83
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hier die Ergebnisse: