Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Absturz (https://www.trojaner-board.de/26890-absturz.html)

Thüringer 16.02.2006 18:29
Absturz
 
Hallo,

immer wenn ich adaware, spybot Antivirus oder NAV laufen lasse, schaltet mein Rechner ab. Wer kann helfen?

Mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:02, on 16.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Atguard\iamserv.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~2\Atguard\iamapp.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Trace Destructor 6.5\itd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\L***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~2\Atguard\iamapp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [GW Port Controller] C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ITD65_ITD] "C:\Programme\Steganos Trace Destructor 6.5\itd.exe" /booting
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: FRITZ!web.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1E3B4AB4-31B5-4EB4-BBB0-DE48572BE32E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1E3B4AB4-31B5-4EB4-BBB0-DE48572BE32E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094044256200
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A90963B-90AA-47D4-A149-483851653D05}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDD7F08D-1100-4A10-9977-8521EF9E2B0D}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E74DE0A4-5A45-41A3-A818-37EF4E632AD5}: NameServer = 192.168.72.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Im Voraus Danke für eine Hilfe

chaosman 16.02.2006 18:46
@Thüringer
spybot Antivirus? ich kenne nur das hier

im logfile sieht man nicht viel, scanne dein system doch bitte mit escan


chaosman

Thüringer 16.02.2006 21:34
Hallo Chaosmann,

danke für den Tip, auch im abgeschirmten Modus mit escan fährt der Rechner herunter nachdem er 2 files gefunden hat.
Thu Feb 16 21:06:12 2006 => Offending file found: C:\WINDOWS\system32\cohelper.exe
Thu Feb 16 21:06:12 2006 => System found infected with fizzle Spyware/Adware (cohelper.exe)! Action taken: No Action Taken.

Thu Feb 16 21:06:17 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Thu Feb 16 21:06:17 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.

in meinem ersten Anschreiben hatte ich ein Komma vergessen. Es handelt sich.

um Spybot und um Antivir (freeAV).


Was kann ich sonst tun?

Im Voraus danke.

Markus1234 17.02.2006 02:45
mach folgendes !nacheinander!

1.) Sag uns was du unter "fährt herunter" verstehst.
Wird alles schwarz und startet dann neu? Oder kommt ein BlueScreen( ja, blauer bildschirm)?
Oder wird langsam abgemeldet, der text "Windows wird heruntergefahren" erscheint?

2.) Falls dein Rechner auf einen schlag neu startet (OHNE abmelden), Downloade das Tool Speedfan
http://www.almico.com/sfdownload.php
Und guck nach dem Start ob einige Temperaturen im Rechten Bereich des Programmes als "Feuer" dargestellt werden. Wenn du schon weißt wie man Screenshots macht und als JPG speichert, mach bitte einen :)

MightyMarc 17.02.2006 03:04
Deinstalliere bitte mal über Systemsteuerung -> Software
Fizzle Wizzle Entertainment Searchbar

Zudem noch eine Frage:

Was zeigt Start -> Ausführen -> eventvwr.msc führ die Zeitpunkte des Runterfahrens an (sowohl bei System als auch bei Anwendung)?

Markus1234 17.02.2006 03:11
@mighty


komischerweise startet sein pc nur neu, wenn er etwas macht ... etwas aufwändigs. ich denke es liegt hier wirklich nur an der cpu temperatur .. und das problem lässt sich mit 20-30€ für einen neuen lüfter wieder lösen ;)

guts nächtle *gähn*

Thüringer 17.02.2006 12:40
Herzlichen Dank für die Antworten.

Runterfahren heißt: 1 Mauszeiger friert ein, nach 10-20 sec schaltet das Notebook ab ohne neu zu starten.
Bei Spybot geschieht das während wwwcoolsearch.feat2dll angezeigt wird.Das Programm ist etwa bei Nr 7980 in der Liste der gesuchten Objekte.

Speedfan zeigt HDO 38c, Temp1 63C Temp2 73C Feuer,
einen Screenshot kann ich noch nicht machen.

Zu MightyMarc:

Software
Fizzle Wizzle Entertainment Searchbar kann ich unter Software nicht finden.

Für den Zeitpunkt des Herunterfahrens gibt das Ereignisprotokoll weder bei System noch bei Anwendung eine Information.




Grüße

Markus1234 17.02.2006 13:26
73°C ist noch nicht wirklich eine absturz-temp....

obwohl .. die meisten mainboards können auf maximal 70°C warnstufe eingestellt werden :D

naja meine cpu packt auch noch die 89 (bildchen auf anfrage :D)
abstürze kommen erst ab 78°C+ ... du bist nahe dran!

Lass dir das Notebook von nem Fachmann ent-stauben und evtl. nen neuen lüfter aufsetzen (etwa 30€), dann hast du auch keine probleme mehr mit abstürzen :)

Thüringer 20.02.2006 17:25
Herzlichen Dank,


ich werde den Fachmann ranlassen. Dann behällt der Rechner hoffentlich seinen kühlen Kopf.

Thüringer:aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131