|
Problem! Das System spinnt rum! Erstmal wollte ich mich mehr oder weniger dafür bedanken das so ein Forum ins Leben gerufen wurde um Leuten wie mir weiter zuhelfen. Werde versuchen meinen Betrag zu leisten ! Ich habe folgendes Problem: Auf einmal spinnt mein System rum -> Es kommt ein Zischen und Rauschen aus den Boxen und der Rechner lässt sich kaum hochfahren. Er stürzt während des Prozess so gut wie immer ab. Zuerst dachte ich es liegt an der Datei wdfmgr.exe aber virustotal hat nichts gefunden. Bitte mal auswerten! Hier DER HJT LOG Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:09:46, on 09.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Eset\nod32kui.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\rundll32.exe D:\Programme\DAEMON Tools\daemon.exe D:\programme\TuneUp Utilities 2007\MemOptimizer.exe D:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nod32kui] "D:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://D:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180212949453 O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe -- End of file - 5510 bytes DANKE FÜR DIE HILFE |
Hallo Teoron. Suche bitte unter Beachtung der Hinweise meiner Signatur nach folgender Datei: " c:\programme\bonjour\mdnsnsp.dll " und lade sie bei Virustotal hoch. Danach machen wir dann weiter.. Gruß Undoreal |
der rechner lässt sich jetzt nur noch im angesicherten modus starten die datei und das verzeichnis existieren garnicht! eScan läuft noch und der hat schon sachen gefunden darunter shang.xing backdoor, whenu.savenow, smitfraud hijackbrowser |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.1 Sprache: German Virus-Datenbank Datum: 9/9/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen. System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen. System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei F:\System Volume Information\_restore{31F09FAD-0F37-4074-82EE-139510905B06}\RP109\A0026557.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File D:\System Volume Information\_restore{33357562-640F-4E3A-A839-9AF0286286C8}\RP102\A0061184.exe//data0004//data0008 markiert als "not-a-virus:AdWare.Win32.180Solutions". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei F:\Anw\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei F:\Anw\proggen\servu\Serv-U 4.1.0.3 Setup.exe/SERVUDAEMON.EXE markiert als not-a-virus:Server-FTP.Win32.Serv-U.4103. Keine Aktion vorgenommen. File J:\camilla schissel\SmileyCentralPFSetup2.2.60.9.ZNfox000.exe/mwsSetup.CommonCodebase.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.av". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\DOKUME~1\Admin\LOKALE~1\Temp\war3_install.exe Offending file found: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\war3_install.exe Offending file found: C:\WINDOWS\system32\svkp.sys ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\acccore\caches\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 225915 Gefundene Viren: 12 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 54 Dauer des Scans bisher: 02:29:11 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 1:20:46,09 Batchende: 1:21:03,93 |
-Deaktiviere die Systemwiederherstellung auf allen Laufwerken. -Deinstalliere Java über die Systemsteuerung. -Deinstalliere mirc. -Folge dieser Anleitung. -Fixe mit Hijackthis folgende Einträge: * O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 * * O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing * * R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local * -Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen). -Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Räume abermals mit cCleaner auf. 6.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. -LspFix - Reparieren WINSOCK Im WINSOCK von Windows werden Funktionen gesammelt (Bibliothek) welche zum Zugriff auf Netzwerkkomponenten nötig ist. Winsock ergänzt Windows um das TCP/IP-Protokoll und ist für die Verbindung des PCs mit dem Internet zuständig. Sie wird oftmals durch spezielle schädliche Software (Webhancer, NewDotNet) als auch vom ISP (Internet Service Provider) zerstört. - Hilfe biete in diesem Fall das Tool -> LspFix - nach dem Start erscheint diese Auswahl: http://www.cevrik.sk/FORUM/ndn/lspfix.jpg -mache mal bitte einen Screenshot und stelle uns den zur Verfügung. Dann berichte mal was sich am System getan hat.. Das war's dann erstmal.. ^^ Gruß Undoreal |
wie fixe ich mit hijack die einträge????? |
Du markierst im Hauptfenster die entsprechnden Einträge (Haken setzten) und drückst wenn du alle markiert hast den Button "Fix checked" |
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ipjonkel ******************* Script file located at: \??\C:\WINDOWS\system32\hyqfrfbq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file F:\Anw\mirc616.exe//data0001.bin for deletion Deletion of file F:\Anw\mirc616.exe//data0001.bin failed! Could not process line: F:\Anw\mirc616.exe//data0001.bin Status: 0xc0000033 Could not open file F:\Anw\proggen\servu\Serv-U 4.1.0.3 Setup.exe/SERVUDAEMON.EXE for deletion Deletion of file F:\Anw\proggen\servu\Serv-U 4.1.0.3 Setup.exe/SERVUDAEMON.EXE failed! Could not process line: F:\Anw\proggen\servu\Serv-U 4.1.0.3 Setup.exe/SERVUDAEMON.EXE Status: 0xc0000033 Could not open file J:\camilla schissel\SmileyCentralPFSetup2.2.60.9.ZNfox000.exe/mwsSetup.CommonCodebase.exe for deletion Deletion of file J:\camilla schissel\SmileyCentralPFSetup2.2.60.9.ZNfox000.exe/mwsSetup.CommonCodebase.exe failed! Could not process line: J:\camilla schissel\SmileyCentralPFSetup2.2.60.9.ZNfox000.exe/mwsSetup.CommonCodebase.exe Status: 0xc000003a File C:\DOKUME~1\Admin\LOKALE~1\Temp\war3_install.exe not found! Deletion of file C:\DOKUME~1\Admin\LOKALE~1\Temp\war3_install.exe failed! Could not process line: C:\DOKUME~1\Admin\LOKALE~1\Temp\war3_install.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\war3_install.exe not found! Deletion of file C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\war3_install.exe failed! Could not process line: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\war3_install.exe Status: 0xc0000034 File C:\WINDOWS\system32\svkp.sys not found! Deletion of file C:\WINDOWS\system32\svkp.sys failed! Could not process line: C:\WINDOWS\system32\svkp.sys Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Hier schonmal avenger logfile |
So der Rechner ist beim eScan voll abgschmirt jetzt hatte er aber zuvor was neues gefunden: trojan-downloader.bat.ftp.ab Trojan Downloader |
SO ALLES NOCHMAL VON NEU hab formatiert und windows so gut es geht noch eurer anleitung angesetzt ... nichts desto trotz findet escan wieder einen ganz anderen virus/wurm Possible Fujacks-type Worm hier die HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:44:25, on 11.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE D:\Programme\Eset\nod32kui.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE D:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Surfen\Desktop\HiJackThis202.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [nod32kui] "D:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 1705 bytes DANKE!!!!! |
Wenn du unsere Anleitung befolgt hättest dann würde sich auf deinem System die aktuelle Version des I-Net Explorers finden .. ;) Ein formatierter Rechner ist immer sauber! Die Possible Fujacks-type Worm wir dein False-Positiv sein. Gruß Undoreal |
hab ja versucht nach der anleitung zu gehen aber da hat nix mehr funktioniert so richtig, diesen fujacks dingens hab ich weggekriegt in dem ich in der registry unter mountpoints2/shell/autorun/command den wert der "g:\setup" war einfach gelöscht habe, jetzt zeigt escan nur noch kleinere fehler, habe aber bereits ma ccleaner und adaware drüber laufen lassen.... die komischen geräusche in den boxen sind dennoch noch da und er war mittlerweile wieder abgstürzt..... obwohl nix mehr gefunden wurde und bei installationen tut sich der rechner ungewöhnlich schwerer als es eigentlich sonst immer war, bei winamp installation hat der schon faxen gemacht :-( vielleicht hab ich ein hardware problem??? soundkarte am arsch gegangen? |
Zitat:
Hast du deinen Rechner mal gereinigt? Ist das Netzteil in Ordnung? Evtl. können die Boxen-Geräusche auch von einer ausgelutschten Steckeraufnahme kommen. Die 3,5mm Klinke sind besonders anfällig. Gruß Undoreal |
an der klinke lag das nicht, das komische war ja vor der formatierung das die geräusche dann nicht aus den boxen sondern aus dem pc speaker kamen ... deswegen war ich überzeugt das es ein virus/wurm ist... aber die geräusche sind immer noch da(zumindest aus den boxen) und rechner stürzt ab hab meine x-fi ma ausgebaut und lass den rechner mal so laufen, bisher läuft es, hab auch auch nicht viel gemacht wa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board