Trojaner-Board - Windows Aufbau-Problem oder?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Aufbau-Problem oder? (https://www.trojaner-board.de/31950-windows-aufbau-problem.html)

Windows Aufbau-Problem oder?

Hallo Leute ;)

ich habe wiedermal ein sehr seltsames Problem:

Ich war bis gestern ganz normal im Netz. Ich drehte meinen Rechner ab und wollte einige Stunden später den Rechner wieder an machen. Ich bekomme ganz normal die Anmeldemaske, gebe mein Passwort ein - wie immer - und der Rechner lädt - ganz normal -! Und jetzt kommt, er baut mir lediglich den Hintergrund auf und ladet keinerlei Taskleiste, keine Icons NIX kam mehr. Kann sich das jemand erklären? Sämtliche Startversuche im abgesicherten Modus schlugen fehl. Ich dachte mir, ich bin ganz schlau und fahr mitn Betriebssystem nocheinmal drüber - sprich reparieren! Geht auch nicht, der Rechner baut mir zwar den Hintergrund auf, aber keine Icons, keine Zugriffe auf nur irgendetwas.

Ich habe mittlerweile auf einer anderen Partition ein Betriebssystem installiert, mein Problem ist nur, ich habe auf gewisse Dateien keinen Zugriff, diese ich aber dringend benötige. Wenn ich jetzt den User lösche, dann ist auch alles weg, ich brauche dringend Zugriff auf etwaige Dateien und meine emails. Kann man da noch irgendetwas machen?

Ich konnte mir zwar einen User mit Admin Rechten auf dieser Partition anlegen, habe aber auf die von mir benötigten Dateien auch keinen Zugriff. Kann mir jemand weiterhelfen bzw. einen Tip geben? Ich wäre Euch sehr dankbar, zumal ich wirklich nicht weiss, was da los sein kann?

Virenscann verlief negativ. War alles ganz normal *heul*

Ich danke Euch im Voraus für Eure Mühe :bussi:!

Liebe Grüße

flaemmchen :heulen:

Hallo flaemmchen, gib nicht gleich auf.
Kannst du unter dem User mit Adminrechten auf der infizierten Partition mal ein HJT-Log machen und hier hineinstellen? Das wäre ein Anfang.
Wir wissen ja noch nicht einmal mit welchem Betriebssystem du arbeitest.
Und.. überleg mal bitte, hast du evtl. gestern, vor dem Abschalten vom PC, E-Mails empfangen?
PP

Hi PP :huepp:

so schauts aus :balla:

Oh sorry (Anfänger halt!) Windows XP mit SP2

Hmmmm *nachdenk*, das kann schon sein, dass ich eine email erhalten habe. Jedoch ist mir nichts besonderes aufgefallen.

Kann ich nicht den Zustand von gestern wieder bekommen? *gg*
Ich habe ja so eine Systemwiederherstellung oder Überwachung usw. Die haben ALLE nix gemeldet.

Danke im Voraus!!!!

Lg

flaemmchen

Logfile of HijackThis v1.99.1
Scan saved at 20:47:05, on 4.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PccGuide.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\manu.FLAEMMCHEN\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.bitacademy.cc/content/bitmedia/de/it03bg/awlm/awswax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157391905750
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133380246500
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp08.photoprintit.de/microsite/1188/defaults/activex/ImageUploader3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A109938B-4A13-4A6E-9D07-9B43A392A9E5}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Prime95 Service - Unknown owner - C:\Programme\Prime95\prime95.exe (file missing)
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

Hallo flaemmchen,
eine Zeile in deinem HJT-Logfile ist mir ins Auge gefallen.

O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
lass diese Datei bei Virustotal untersuchen:
PP

Hallo mein Retter :lach:,

DU BIST EIN GENIE :daumenhoc, wenn ich das so sagen darf.

Wie hast Du das gewusst? Es funktioniert - EINWANDFREI.

Unglaublich!!!!

DANKE (obwohl ich der Meinung bin, dass das viel zu wenig ist). Aber Du bist ja soooooooooooooooo weit weg. Also wirklich, ich bin begeistert, DANKE, DANKE, DANKE

Liebe Grüße

flaemmchen

Was ist denn das Ergebnis des Scans gewesen?

Gruß :daumenhoc
Yopie

@flaemmchen,
ooops, ich war noch gar nicht fertig ;o)
.. aber wenn du meinst :x

Was hast du denn entdeckt/getan/verändert?
Laß es uns bitte wissen.
Sooo leicht kommst du nicht davon!
Jedenfalls, allewetter bist du eine, die sich lieb bedanken kann!
PP

Hi PP-Held und andere :D

Ich habe die Zeile "lass diese Datei bei Virustotal untersuchen:PP" gar nicht gelesen, da meine Auflösung so komisch war. Ich habe eigentlich nur die "Anweisungen" befolgt, mit HJT genau diesen Eintrag gefixt und fertig. Siehe da, ES HAT FUNKTIONIERT!!!! *freuuuu*

Weisst, Du hast mir sehr sehr sehr viel Arbeit erspart - DANKE!

Wie?? Du warst noch gar nicht fertig, hab ich da noch was zu befürchten??? *gg*

An Yopie: PP war mein Scan :bussi: :aplaus: :bussi:

Liebe Grüße

flaemmchen

P.S.: Wenn ich noch was wissen wollt, ich bleib extra länger auf, damit ich mich weiter freuen kann :bussi:

Flaemmchen, nutze die Gelegenheit... säubere dein System, von allem temporären Mist und mach ein Image deiner Partition C:\.
Dann bist du gaaaaanz klug.
Und.... vllt. kannst du deine Freude als Falter zum Ausdruck bringen.
Schrulli würde sich seeehr freuen.
PP

Hallihallo PP,

ja mach ich gerne, wenn Du mir sagen kannst, wie ich das mache???

Säubern mit was? Wie genau mach ich ein Image?

Mit Deiner Hilfe werde ich vielleicht klüger :lach:

Irgendwie ists ja jetzt auch blöd, dass ich auf 4 Partitionen 3x WinXP habe. Kriegt man das Zeug auch wieder weg ohne das auf dieser Partition die Daten verloren gehen??

Darf man hier fremd gehen, sprich Skype oder so? Vielleicht hast ja Lust. Ich bin unter flaemmchen1978 erreichbar im Skype und Yahoo.

Ich kann ja dann hier alles ausführlich posten, falls das von Interesse ist.

Liebe Grüße

flaemmchen

Image:
Dazu machst du eine Partition möglichst blank.
Auf jeden Fall frei von Systemdateien.
Und auf diese freie Partition "spiegelst" du deine bereinigte Partition C:\.
Ich habe mich für Acronics entschieden.
Das soll jetzt keine Werbung sein.
Belies dich einfach noch ein bischen und laß dir für die Entscheidung Zeit.

Fremdgehen ist lieb gemeint ;o)
aber Skype und Messenger sind nicht so mein Ding.
Doch ich laß mir was einfallen, versprochen!
Laß dich überraschen.

Zum Falten:
Wenn du dir mal überlegst, wie lange dein Rechner läuft, und wieviel Prozent er davon im Leerlaufprozeß am Leben erhalten wird, dann kannst du dir vorstellen, wieviel Rechenzeit auf der Welt ungenutzt "verbraten" wird.
Schau dir im Taskmanager mal den Leerlaufprozess an!
Und das Projekt Folding@Home ist einerseits ein nichtkommerzielles, allgemeinnützliches Projekt und zum Anderen schmiedet es unser Team 2804 zusammen.
"Falten verbindet"

PP

Hi PP und @ll,

oki, dann lassen wir uns beide überraschen :huepp:

Ich DANKE Dir (PP) und wünsch Euch allen noch eine gute Nacht :bussi:

liebe Grüße

flaemmchen