Trojaner-Board - pokapoka aufm laptop

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - pokapoka aufm laptop - und was kann ich tun? (https://www.trojaner-board.de/22529-pokapoka-aufm-laptop-tun.html)

Ein Grund für die Probleme ist auch hier zu suchen:

Logfile of HijackThis v1.99.1
Scan saved at 15:13:29, on 07.10.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Mittlerweile gibt es SP4 und Updates fehlen auch.

Ahoi ihr lieben.

Ich habe das System neu aufgesetzt, mir das SP4 drauf gespielt etc. pp ... Das neue log sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 14:28:18, on 09.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\drivers\pbms.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\Mozilla1.7.11\mozilla.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128814705774
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Phoenix PM - Unknown owner - C:\WINNT\System32\drivers\pbms.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Ist das oki???

Ich hab nämlich jetzt das Problem, dass ich mich nicht nur noch als administrator einloggen kann und wenn ich mich als benutzer anmelden will (eingeschränktes Benutzerkonto) kommt die fehlermeldung, dass er irgendeine datei nicht nach C:\Dokumente und Einstellungen\AllUsers ... oder so verschieben konnte, dass das Profil nicht geladen werden kann, weil ein anderer Prozess darauf zugreift :balla:

Außerdem meldet ZoneAlarm ständig dass eine bestimmt IP auf meinen Compi zugreifen wollte ... ist immer die gleiche ... könnt ihr mir Tops geben?

hab ich den Plagegeist immer noch nicht los, oder hab ich in den Systemeinstellungen etwas falsch eingestellt???

Danke

Überprüfe die Datei C:\WINNT\System32\drivers\pbms.exe bitte online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Zitat:

Zitat von kickvira

Ich hab nämlich jetzt das Problem, dass ich mich nicht nur noch als administrator einloggen kann und wenn ich mich als benutzer anmelden will (eingeschränktes Benutzerkonto) kommt die fehlermeldung, dass er irgendeine datei nicht nach C:\Dokumente und Einstellungen\AllUsers ... oder so verschieben konnte, dass das Profil nicht geladen werden kann, weil ein anderer Prozess darauf zugreift :balla:

Du kannst dich also auch als eingeschränkter Benutzer anmelden - gut so!
Welche Datei? Was passiert danach?
Kannst du das Ganze bitte nochmals etwas genauer schreiben?

Zitat:

Außerdem meldet ZoneAlarm ständig dass eine bestimmt IP auf meinen Compi zugreifen wollte ... ist immer die gleiche ... könnt ihr mir Tops geben?

Ich weiß zwar nicht warum du deinen PC wieder mit ZA belastet hast, aber gut: Ignoriere die Meldungen.

Die Prüfung hat ergeben:

Datei: pbms.exe
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Zitat:

Du kannst dich also auch als eingeschränkter Benutzer anmelden - gut so!

Nein, leider nicht. Ich will mich anmelden, Anmeldefanster erscheint, ich soll strg+alt+entf drücken, das mache ich auch brav, dann gebe ich den Benutzernamen ein und klicke auf okay.

Es erscheint die Fehlermeldung: (so in etwa) C:\Dokumente und Einstellungen ???\Vorlagen\Datei.zzz konnte nicht nachC:\Dokumente und Einstellungen\Defaultuser\Vorlagen\Datei.zzz kopiert werden

Drunter steht: DETAIL - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

So in etwa ...

Wenn du es noch genauer wissen musst ... dann warte schnell ich probiers nochmal ...

Zitat:

Ich weiß zwar nicht warum du deinen PC wieder mit ZA belastet hast, aber gut: Ignoriere die Meldungen.

Warum? Ist ZA schlecht??? Hast du einen alternativ Vorschlag?

Danke, bis gleich kickvira

Eigentlich sind es 2 Fehlermeldungen, die erscheinen, während die Benutzerdefinierten Einstellungen geladen werden sollen. Dieser Prozess wird abgebrochen, und es erscheint:

1. Datei "C:\Dokumente und Einstellungen\Default User\Vorlagen\quattro.wb2" konnte nicht nach "C:\Dokumente und Einstellungen\name_xxx\Vorlagen\quattro.wb2" kopiert werden. Wenden Sie sich an den Netzwerkadministrator.

DETAIL - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

und dann klick ich auf [ok]
es erscheint ein 2. Fenster mit der Meldung:

Sie konnten nicht angemeldet werden, weil das Profil nicht geladen werden kann. Wenden Sie sich an den Netzwerkadministrator.

DETAIL - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

??? komisch, derweil hab ich jetzt schon 2 eingeschränkte Benutzer angelegt (wie auf der site beschrieben) und bei beiden kommt die Fehlermeldung. :confused:

Vielleicht hilft dir schon das oder das weiter.

P.S.: Kannst du die Datei pbms.exe irgendwo einordnen?

erster link: Hab ich selbst mit google gefunden - fehlanzeige

zweiter link: hab ich alles downgeloaded und das UHPClean gestartet - fehlanzeige.

Und jetzt?

:balla: :balla:

EDIT wenn ich in google pmbs.exe eingebe, bekomme ich paar links, die alle nicht gehen - ausser:
dieser link

Sieht irgendwie komisch aus ... wie ein logfile oder so *hilllfääää*

Nochmal edit: kuck mal: http://www.google.de/search?hl=de&q=...a=lr%3Dlang_de

aaalso.

Auch wenn es jetzt etwas OT wird. ... das mache ich jetzt:
sNullkill - s0kill.exe ausführen.
Vorher habe ich mir eine Bootdiskette mit drdflash.exe erstellt und partitioniere gerade mit fdisk.
Ich hoffe, dass ich danach ein sauberes System hinbekomme.

Danke, ich melde mich, bis dann

kickvira

Das geht auch einfacher!
Wir wollen ja nicht krummes gerade reden, aber hiermit bist du wohl besser bedient, da es einfacher ist:

http://www.trojaner-board.de/showthread.php?t=12154

Da brauchts keine Bootdisk!

Probier das mal aus,das hilft dir zu 100%

Hallo ich kann dir nur denn Tipp geben wenn du wirklich sichergehen willst das du denn Pokapoka75 los bist
Check mal durch Mit Superadblocker das ist ein Top Programm was zum Downlöoad bereit steht unter www.Superadblocker.com dieser Pokapoka75 ist ein Trojaner der sich an Banner anhängt und wenn man auf denn Banner klickt denn installiert er sich auf die Festplatte.
Es gibt wie gesagt nur ein einziges Programm was hilft
www.Superadblocker.com

@zemling

Genau :pukeface:

Beschäftige dich mal mit Elitum und du weißt warum dass Mist war, was du geschrieben hast.

@cronos

Mhm .. ich hab schon ne Boot-CD mit Win2k+Sp3 ... die Bootdisk hat net gefunzt. habs auf meine alte win98 diskette s0kill drauf und das haut gereicht.

Zerling ???

Bis denn, kickvira

Du das ist kein Mist das programm funzt wunderbar
Habe ich schon bei vielen Leuten angewandt,das klappt wirklich gut

EDIT: @zemling :weisst du, warum ich Dir nicht glaube?

Weil du weniger Beiträge verfasst hast als ich.

Hast Du nur vor Werbung zu machen (1. Beitrag) oder hattest Du tatsächlich schon ein Trojaner Problem ... Sorry, Mann, aber ich habe keine Lust dein Proggi auszuprobieren.

Danke

Wenn Elitum so einfach zu bekämpfen ist, weiß ich nicht, warum ich heute knapp 45 Minuten damit verbracht habe zumindest diesen Mist bei einem Bekannten lostzuwerden. :kloppen: