Trojaner-Board - Laptop mit massiven Programmabstürzen. Bitte um HILFE!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Laptop mit massiven Programmabstürzen. Bitte um HILFE! (https://www.trojaner-board.de/36038-laptop-massiven-programmabstuerzen-bitte-um-hilfe.html)

Hallo,
das Eingraben wird dir aber nicht wirklich helfen....

Zitat:

older versions of Kazaa

Was helfen wird,ist das Überprüfen des eigenen Verhaltens im Internet...;)
Zu diesem Verhalten gehört halt,die Finger weg zulassen von solchen Tauschbörsenproggis.....
Das ist halt die Spielwiese der Scriptkiddys und du deren Spielgerät...:D
Irrlicht

Zitat:

Zitat von irrlicht (Beitrag 253137)

Hallo,
das Eingraben wird dir aber nicht wirklich helfen....

Was helfen wird,ist das Überprüfen des eigenen Verhaltens im Internet...;)
Zu diesem Verhalten gehört halt,die Finger weg zulassen von solchen Tauschbörsenproggis.....
Das ist halt die Spielwiese der Scriptkiddys und du deren Spielgerät...:D
Irrlicht

Tja, aber meines Wissens nach bin ich nie in so einer Tauschbörse gewesen, soviel weiß ich schon vom Internet, dass ich sowas nicht mache! :dummguck:

Ansonsten surf ich fast immer mit Opera oder Mozilla. Selten mit IE.

PS: Wie zuverlässig ist dieser Spyware-Doktor überhaupt?

Hier steht was anderes: Computerhilfen.de: Hilfe: trojaner meldung während dateidownload
Nicht böse sein, mein Mann sucht gerade selber seine Funde von Spyware-Doctor im Computer.
Nun frage ich mich, ob diese Funde nicht wenigstens teilweise Fehlalarme sind... gerade Kazaa hab ich ja noch nie "betreten"....

Die Scans mach ich sofort und poste dann das Ergebnis.

Danke und bis dann

Gruß Elbspatz

Zitat:

Zitat von Elbspatz (Beitrag 253140)

Tja, aber meines Wissens nach bin ich nie in so einer Tauschbörse gewesen, soviel weiß ich schon vom Internet, dass ich sowas nicht mache!

Aber irgendeinen anderen Blödsinn wirst Du schon getrieben haben, sonst wäre Deine Mühle nicht befallen. Beim Computer ist eine unbefleckte Empfängnis so selten wie bei den Humanoiden.

Zitat:

Wie zuverlässig ist dieser Spyware-Doktor überhaupt?

Schau dir nochmals die Funde an und du wirst sehen,
dass die Informationen der Signaturerkennungen aus verschiedenen
Antivirtools oder Virenüberprüfungen stammen.

Eine Fehlererkennung passiert schon hin und wieder...
1. dann müsstest du jede Menge Fehlererkennungen haben
2. Deshalb machen wir ja weitere Scans, um die Sache
zu überprüfen.

mfg Cleriker

Ok, hier ist der eScan-log:

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 

Microsoft Windows XP [Version 5.1.2600]

> 

Fri Feb 09 22:33:46 2007 => Virus Database Date: 2/3/2007

Sat Feb 10 01:12:26 2007 => Virus Database Date: 2/3/2007

Sat Feb 10 01:12:50 2007 => Virus Database Date: 2/3/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

Fri Feb 09 22:34:36 2007 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Fri Feb 09 22:34:37 2007 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken.

Fri Feb 09 22:35:06 2007 => System found infected with spylax Trojan (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.

Fri Feb 09 22:35:06 2007 => System found infected with medload Adware (C:\WINDOWS\system32\objsafe.tlb)! Action taken: No Action Taken.

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

Sat Feb 10 01:00:18 2007 => File C:\WINDOWS\system32\CISVCS.EXE infected by "Trojan-Dropper.Win32.Agent.og" Virus! Action Taken: No Action Taken.

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

Fri Feb 09 23:24:31 2007 => File C:\hp\bin\KillWind.exe tagged as "not-a-virus:RiskTool.Win32.PsKill.p". Action Taken: No Action Taken.

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

Fri Feb 09 22:34:36 2007 => Offending file found: C:\WINDOWS\gpinstall.exe

Fri Feb 09 22:34:37 2007 => Offending file found: C:\WINDOWS\system32\objsafe.tlb

Fri Feb 09 22:35:06 2007 => Offending file found: C:\WINDOWS\unvise32.exe

Fri Feb 09 22:35:06 2007 => Offending file found: C:\WINDOWS\system32\objsafe.tlb

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

Fri Feb 09 22:34:56 2007 => Offending Folder found: C:\Dokumente und Einstellungen\username\Eigene Dateien\eigene bilder\comics\autos

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

Fri Feb 09 22:34:32 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\dbi !!!

Fri Feb 09 22:34:33 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Und hier der HijackThis-log:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 22:31:30, on 9.2.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\HijackThis\HJT1991.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de7.hpwis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe

O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - 

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Und je länger ich in dem PC drinrumscanne und wühle, desto klarer wird mir, dass ich ihm nicht mehr vertraue. Morgen lad ich mir die notwenigen Updates auf einem anderen Rechner runter, alles was wichtig ist und dann wird Tabula rasa gemacht.
Ich verlier die Geduld mit meinem PC und diesen ekligen Viechern, wie auch immer die da reingekommen sein sollten (nein, nicht über Tauschbörsen, wers nicht glaubt, hat eben Pech @MightyMarc)

Dann bau ich mir die Kiste neu auf und mach diesmal alles besser und sicherer. Schließlich lief der PC am Anfang ohne SP1 (da gab es noch kein SP2)... Soll er ruhig mal ne Frischzellenkur bekommen. Schaden kann es nicht.

Die letzten Scans mach ich nicht mehr, das lohnt sich nicht, nochmal stundenlang zu warten, da hau mich lieber ne Runde aufs Ohr.

Lieben Dank Cleriker für Deine Unterstützung und Geduld! :daumenhoc

Zitat:

Zitat von Elbspatz (Beitrag 253185)

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\system32\objsafe.tlb
C:\WINDOWS\unvise32.exe

Lösche diese Dateien mit Killbox (alle Dateien auf einmal; erst die Anleitung durchlesen!)

Zitat:

...wers nicht glaubt, hat eben Pech @MightyMarc...

Ich glaube daran, dass meine Aussage "Aber irgendeinen anderen Blödsinn wirst Du schon getrieben haben, sonst wäre Deine Mühle nicht befallen." richtig ist. Ich hoffe Du bist des Englischen mächtig. Hier ein kleiner aber feiner Hinweis, der in der Beschreibung von zwei der bei Dir gefundenen Spyware-Programmen zu lesen ist:

Zitat:

This adware must be manually installed.

Quelle 1
Quelle 2

Um es kurz zu machen: Du hast fragwürdigwe Software oder Software aus fragwürdiger Quelle über den Administratoraccount installiert. Das ist Blödsinn, sogar höherer Blödsinn.

Zitat:

Dann bau ich mir die Kiste neu auf und mach diesmal alles besser und sicherer. Schließlich lief der PC am Anfang ohne SP1 (da gab es noch kein SP2)... Soll er ruhig mal ne Frischzellenkur bekommen. Schaden kann es nicht.

Morgen Elbspatz,

ich habe mir schon gedacht, dass du irgendwann die Lust verlierst,
genau wissen zu wollen, was auf dem System so los ist.
Dann hast du ja jetzt 2 Computer, an denen du dich mit
einem Neu Aufsetzen des Systems abreagieren kannst.
Vergesse jedoch nicht, bei deinem Rachefeldzug SP2 mit
rauf zu spielen. Sonst hocken wir bald wieder hier.

mfg Cleriker

Hallo,
du mußt übrigens auch nicht in Tauschbörsen aktiv sein,es genügt den Client zu installieren......

Zitat:

was installed silently with older versions of Kazaa

ist aus dieser Beschreibung genommen...

Zitat:

Brilliant Digital

*Mal in die Glaskugel schau*
Wenn der "Elbspatz" weiterhin so durch`s Netz tollt,wird ihn die Katze bald fressen....
Diesmal hat der Spatz "nur" ein paar Federn gelassen.....

Zitat:

dass du irgendwann die Lust verlierst,
genau wissen zu wollen, was auf dem System so los ist.

:D
Wenn man in einen Hundehaufen tritt,muß man doch nicht wissen wie der Hund heißt, der ihn hingemacht hat,oder ?
:D
Irrlicht

Also, ich hab es geschafft, der Rechner ist nach Eurer Anleitung neu installiert, mit SP2(was er ja vorher schon hatte!), allen Updates (die er auch vorher schon hatte), Schutzfunktionen und Passwörtern versehen und nun hoffentlich etwas sicherer als vorher. (ja ich war trottelig genug, keine eingeschränkten Benutzerrechte vergeben zu haben, das passiert mir nicht mehr)

Nein, ich hatte keinen Client installiert, Irrlicht. Oder sagen wir mal, nicht wissentlich. Und ich "tolle" auch nicht durchs Netz. Ich hab nur ein paar wenige Webseiten, die ich regelmäßig besuche und keine davon ist illegal oder eine sonstig geartete Börse. Das einzige, was mir einfällt, sind Google-Bildersuchen, da ich gern Fotocollagen mache und dann nach Bildern im Internet stöbere. Wer weiß, ich werde auf jeden Fall vorsichtiger sein. Und im Notfall weiß ich, wo ich Hilfe finde...

Ja, Cleriker, ich hatte einfach keinen Nerv mehr, nächtelang vor dem PC zu sitzen und diversen Scans zuzusehen, um dann am nächsten Tag im Büro fast im Sitzen einzupennen. Daher nun die Radikallösung ohne noch lange mehrere Programme zu installieren. Sorry, aber ich glaube trotzdem, es ist besser so.

Danke für die nette Hilfe und ich hoffe, ich brauch sie nicht gar so schnell wieder. :daumenhoc

Gruß Elbspatz