Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Absturz bei WinUpdate(SP3) + SpyBot Durchlauf (https://www.trojaner-board.de/54494-absturz-winupdate-sp3-spybot-durchlauf.html)

juneline 22.06.2008 12:07
Absturz bei WinUpdate(SP3) + SpyBot Durchlauf
 
Hallo,

habe seit geraumer Zeit ein Problem:
Mein PC stürzt ab sobald ich Windows updaten will (beim SP 3), als ich das System auf Schädliches untersuchen wollte, haben AntiVir und AdAware nichts gefunden, bei SpyBot Search & Destroy ist der Rechner ebenfalls nach ca. 3/4 abgestürzt und es gab Bluescreen. Da ich mir nicht mehr zu helfen wusste habe ich jetzt das komplette Sytem formatiert. Trotzdem musste ich bei Versuch Windows Updates runterzuladen feststellen, dass dies noch nicht geht, ebenso wie SpyBot. Statt Absturz mit Bluescreen fährt er sich jetzt einfach runter :heulen:

Das Problem dabei ist, dass inzwischen wenn das passiert der PC auch schon für einiger Zeit nicht mehr angeht, ich befürchte also böse Schäden :koch: wenn der Fehler nicht bald behoben wird. Ob (wie vor der Formatierung) das Abstürzen + Bluescreen jetzt auch noch bei anderen Programmen stattfindet weiß ich nicht, da wie gesagt komplett platt gemacht und somit keine anderen Progs vorhanden.

Hier einmal die Hijack Logfile, die Auswertung im Internet zeigt aber m. E. nichts besonderes, oder?!

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Antivir\AdAware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Progs\Antivir\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1214126032399
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7D1869-4F51-4C73-9935-927A697BF3D7}: NameServer = 89.246.64.8 62.220.18.8
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Antivir\AdAware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe




****
Bitte dringend um Hilfe und Rat was ich jetzt tun kann :confused:

D A N K E schonmal an alle :daumenhoc

undoreal 22.06.2008 12:48
Halli hallo juneline.

- Deinstalliere bitte AdAware. http://www.trojaner-board.de/51579-a...tallieren.html

- Konfiguriere AntiVir aggressiv und update es.

- Räume mit cCleaner auf.

- Wechsel in den abgesicherten Modus.
So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

- Führe dort einen Vollscan mit AntiVir durch.

- Räume mit cCleaner auf.

- Starten den Rechner im normalen Modus neu und versuche abermals dein System auf das SP3 zu patchen. Hast es dir von der MS HP runtergeladen?

PS: Poste bitte noch den Kopf des HJT logs.

juneline 22.06.2008 20:16
Hallo Undoreal,

hier erstmal der Hijack-Kopf:

Logfile of HijackThis v1.99.1
Scan saved at 12:43:22, on 22.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

****

Die Sachen habe ich probiert. Bei Antivir wird eine übersprungene Datei angezeigt (pagefile.sys) im abgesicherten Modus, im Normalmodus wie unten eingefügt (also 2 übersprungene):

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\

***

Habe bei Einstellungen schon "alle Datein" ausgewählt... Seltsamerweise gibt es die Dateien auch so gar nicht (also auf C).

Die ganzen Updates von Windows konnte ich inzwischen jetzt allerdings runterladen. Beim SpyBotScan fährt der PC allerdings immernoch runter :schmoll: und nach dem "Absturz" ist der PC auch für min 5Min völlig lahmgelegt.

irrlicht 22.06.2008 20:41
Hallo,
deaktiviere den Tea Timer von Spybot S&D bevor du zu updaten versuchst !
Der soll die Regitry bewachen und vor Veränderungen warnen.Diese Veränderungen könnten vom Update herrühren...
Jetzt kämpft das Update mit dem Teatimer uund bei Unendschieden wirds dunkel am Monitor...:)
Irrlicht

juneline 23.06.2008 07:53
nee das kann es nicht sein:

1. Hab ich den Teatimer gar nicht installiert, läuft dementsprechend auch gar nicht...
2. ist SpyBot ja schon fertig mit Update, das Runterfahren kommt immer nach so ca. 3/4 der Überprüfung.

Außerdem betrifft das auch andere Programme, z. B. CloneDVD, wo beim Herstellen von Sicherheitskopien auch das Programm nach einiger Zeit vor Beendigung des Vorgangs den PC runterfährt - immer -.

Außerdem wüsst ich gern was das nun für seltsame Dateien sind, die Antivir immer überspringt (s. u.) :confused:

Lucky 23.06.2008 08:02
Sei so nett und mache mal ein HijackThis Log mit der neuen Version 2.0.2. Danke.

Zitat:
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Das sind Windows Dateien die in Benutzung sind, daher ist die Meldung normal. Erste ist für den Ruhezustand zuständig und zweite ist die Auslagerungsdatei.

juneline 23.06.2008 12:42
gut zu wissen mit den Dateien, Danke. Bin jetzt leider bis 22.00 auf Arbeit :( werde morgen das neue Hijack runterladen und die Logfile posten ...

juneline 24.06.2008 07:49
Morgen :)

hier die neue HJT-Logffile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:47:25, on 24.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Progs\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Antivir\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PicLens plug-in for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\PicLens.dll
O4 - HKLM\..\Run: [avgnt] "D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "D:\Progs\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Programme\No More Cookies\No More Cookies.exe
O9 - Extra 'Tools' menuitem: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Programme\No More Cookies\No More Cookies.exe
O9 - Extra button: Launch PicLens - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\PicLens.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Progs\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Progs\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1214126032399
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7D1869-4F51-4C73-9935-927A697BF3D7}: NameServer = 89.246.64.8 62.220.18.8
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 4376 bytes


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131