Trojaner-Board - PC nicht mehr zu retten?:(

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PC nicht mehr zu retten?:( (https://www.trojaner-board.de/56772-pc-mehr-retten.html)

Tutmir leid wenn das vielleicht so rüber gekommen ist aber ich wollte nur das Problem mit den ständigen Abstürzen versuchen zu lösen, keinesfalls die anderen Schadprogramme auf seinen Computer analysieren oder vom Formatieren abraten
Ich habe auch oben bereits geschrieben das Formatieren garnicht schlecht wäre
Vorallem was da noch alles in seinem System rumgeistert :eek:

Bei den Mengen an Schädlingen, die dort im Wettstreit stehen, wundert es nicht nicht die Spur, dass die Kiste andauernd abstürzt. Sogar gut, dann kann sie nicht allzuviel Schaden verursachen.

Sooo hier jetzt der neue Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:55, on 26.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{07446E5A-CE9A-4F12-B3AD-CC6C92DEDA2C}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 2849 bytes

Das Log sieht gut aus :daumenhoc

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

SP3 und IE 7 noch drauf, dann hat sich die Sache.

Noch eins:

isass.exe = böse
lsass.exe (mit L) = gut

mfg

IE schon erledigt, wobei ich meistens Mozilla Firefox benutze.
SP3 mach ich gleich noch :)

Ansonsten nix böses mehr zu erkennen?
Ne Fehlermeldung hab ich 'noch' nicht bekommen.. Na mal abwarten :D

Zitat:

IE schon erledigt, wobei ich meistens Mozilla Firefox benutze.

Das ist gut, der muss leider trotzdem aktuell gehalten werden. :schmoll:

Zitat:

Ansonsten nix böses mehr zu erkennen?

Alles gut, so kleine Registrys sind mir immernoch am Liebsten. :Boogie:

Zitat:

Ne Fehlermeldung hab ich 'noch' nicht bekommen.. Na mal abwarten

Mal doch den Teufel nicht an die Wand. :lach:

mfg

Mhh ich poste hier nochmal einen HiJack log, da mein Pc seit heute morgen schon wieder rumhängt. Krieg zwar keine Fehlermeldung oder sonstiges aber des laaaaggt sowas von ^^

Das scheint aber erst zu sein seitdem ich Ad Aware und AntiVir drauf habe! Habe beide durchlaufen lassen, haben aber nix gefunden. Cookies usw hab ich alle gelöscht. Habe dann schon ne Testversion von Kaspersky rüberlaufen lassen (nachdem ich AntiVir mal deinstalliert habe), hat aber auch nix gefunden. Als ich dann Kaspersky wieder deinstalliert hab, neugestartet hab und Antivir rauf find des mitm hängen gleich wieder an... Kanns sein dass sich das Programm mit irgendwas nicht verträgt? Habe ja schließlich immer AntiVir Guard aktiv (und die Windows Firewall auch!)
Naja hier mal der log^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:26, on 28.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1447B7F8-AD58-4881-9FD0-98EBFBB3E7D0}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 3901 bytes

Das Log ist sauber, Ad-Aware ist Kinderkram, das kannst du deinstallieren.
AV-Programme sind bekannt dafür, das sie sich tief ins System einnisten, aber bei AntiVir ist mir eine Systemverlangsamung nicht aufgefallen.
Ansonsten kannst du ja mal eine CCleaner-Prozedur durchführen.

mfg

Zitat:

Zitat von Dark Viruz (Beitrag 357826)

Mhh das is ja schonmal super, danke. :)

Allerdings krieg ich jetzte (als ob ichs geahnt habe *lach*), mal wieder ne Fehlermeldung. und zwar dass Generetic Host for Win32 ein Problem festgestellt hat und beendet werden muss. :eek:So 5 minuten später verabschiedet sich dann mein DSL und der Pc muss neugestartet werden ... Da der Hijack Log ja sauber ist würde ichn Virus jetze mal ausschließen. ;)
Hab schon gegoogled da hieß es, dass es wohl auch an Druckertreibern usw liegen kann, Drucker hab ich aber noch gar nicht angeschlossen. *grüübel*
Langsam glaub ich echt der PC will net dass mir langweilig wird. :lach:

Du kannst auch mal das machen, damit kann man tiefer ins System schauen:
Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

[Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe

Das ist der Übeltäter. Den hatte ich heute, nachdem ich Alice DSL Treiber installiert habe. Den related NVIDMedia Center, hatte ich auch in den Alice Programm files.
Es haben versagt: avg, a-square. Spybot hat die registry blockiert, aber der Trojaner hat ständig das Netzwerk mit Senden, empfangen belegt.

Mit Löschen unter windows war dem nicht beizukommen!!!

Finally have ich eine Linux Minimal Version von CD gestartet. Dann die Platte gemountet und dann üner den Midnight Commander bach der Datei, die 4 mal vertreten war, suchen lassen. dort direkt gelöscht.
Danach ging mein windows wieder normal.... Viel Spaß...

Anmerkung: unter netstat -a , hatte ich eine Dauerverbindung zur Dömäne ovh.net...... Das ist ein kostenloses Peering Netzwerk.
Jetzt nachdem allles wieder im Lot ist, sind die verschwunden und die netsat -a, zeigt übliche connections an.