Forum
Tipps
News
Menu-Icon

PC freirt nach Anmeldung ein

Hallo!

habe folgendes Problem, manchmal, nicht immer, aber doch recht häufig friert mein PC nachdem ich mich angemeldet habe ein, es geht nichts mehr, ausser den Task-Manager zu öffnen. Dies tritt manchmal auch auf nachdem ich schon einige Zeit angemeldet bin.

Habe einen:

Athlon 64 X2 3800+
1024 MbRAM
GForce7800GTX
Creative Soundkarte, keine Ahnung welche genau
DVD/RW Brennerlaufwerk

Windows ServicePack 2
AntiVir
Windows Firewall

Mein mit HiJackThis erstelltes Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 13:18:59, on 27.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Philip\Eigene Dateien\Zeuchs\SicherheitsKram\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw6_sc_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A21A1CB-4501-4301-9E2F-CEC22F557F28}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F8A5DC6-5E77-4386-A261-09375DF615A0}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{865DAD15-0A13-46F6-96F2-DAA05308A1A2}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe


Hoffe hier kann mir jemand weiterhelfen und bedanke mich schonmal im Vorraus.

Gruß
Phil



Antworten zu PC freirt nach Anmeldung ein:

O17 - HKLM\System\CCS\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91,85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CCS\Services\Tcpip\..\{1A21A1CB-4501-4301-9E2F-CEC22F557F28}: NameServer = 85.255.113.91,85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91,85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CCS\Services\Tcpip\..\{4F8A5DC6-5E77-4386-A261-09375DF615A0}: NameServer = 85.255.113.91,85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91,85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CCS\Services\Tcpip\..\{865DAD15-0A13-46F6-96F2-DAA05308A1A2}: NameServer = 85.255.113.91,85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91,85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91 85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CS1\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91,85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91 85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CS2\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91,85.255.112.180' nicht, fixen.
  O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180   
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '85.255.113.91 85.255.112.180' nicht, fixen

Nicht Fixen !!!
Erstelle noch mal ein Logfile mit der Aktuellen HiJackThis Version 1.99.1 und poste es!
Downloadlink:
http://www.mmdirect.de/downloads/hijackthis_199.zip

Es gibt zwar keinen Anhaltspunkt für eine Malware Infektion, aber trotzdem sollte zur Kontrolle eine Überprüfung mit den kostenlosen Online-Scanner vorgenommen werden. Für einen schnellen Check des kompletten Systems bieten diese
Online-Scanner gute Dienste. Übrigens, alle laufen nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Ewido Online Scanner
Zum Teil in Englisch und für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
(Gut bei der Spyware / Adware Erkennung und Beseitigung –
Eventuellen Meldungen von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.

Hallo,
alle O17-Einträge zeigen auf einen Ukrainischen Provider ,der uns nicht ganz unbekannt ist.....
Dieses hier :
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
und dieses :
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
bei "Jotti" oder "Virustotal" mal checken lassen.
Wenn das ohne Befund ist,sollte ein EScan gemacht werden.
Sir Reklov

Danke für die Antworten! Die beiden IP Addressen könnten von den beiden anderen PCs stammen die auch über meinen Router ins Internet gehen.

Habe alle drei Onlinescanner drüber laufen lassen, ewido hat einiges gefunden, jedoch hat es beim Löschvorgang einen "Error" festgestellt, da downloader.agent.uj nicht gelöscht werden konnte,im Moment scannt er ein zweites Mal und der taucht in 15 verschiedenen Pfaden aufMoment . activescan hat hauptsächlich Cookies gefunden, jedoch auch eine Setup Datei die in meinen Eigenen Dateien unversteckt und offensichtlich gesessen ist, diese habe ich gelöscht.
Die beiden Dateien, die ich mit VirusTotal und Jotti untersucht habe sind in Ordnung.

Hier das neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:26:56, on 27.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Philip\Eigene Dateien\Zeuchs\SicherheitsKram\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw6_sc_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A21A1CB-4501-4301-9E2F-CEC22F557F28}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F8A5DC6-5E77-4386-A261-09375DF615A0}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{865DAD15-0A13-46F6-96F2-DAA05308A1A2}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{01F20C2F-BF57-4696-8942-4A6F82B96B50}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe


Wundersamerweise ist das System während der gesamten Scanvorgänge kein einziges Mal eingefroren, was ja mein ursprüngliches Problem darstellt. Bei dem Phänomen hat der Leerlaufprozess 99%, also ganz normal, aber ich kann nichts machen, Startmenü lässt sich nicht öffnen und neustarten geht ur über TaskManager. Ich habe das Gefühl ,dass es mit dem Autostart zu tun hat, denn er startet Programme wie AntiVir oder Internetverbindung, manchmal gehts danach weiter, manchmal hängt er sich währenddessen auf, oder wenn ich ein Icon auf dem Desktok anwählen will.

« Letzte Änderung: 27.08.06, 19:17:44 von kleiner Mann »

Wissen wir was gefunden Wurde?
Wo sind die Scanprotokolle?
Diese Infos sind sehr Wichtig für eine Hilfe!

Also, was wurde wo und wann gemeldet?
- Virusname?
- Datei?
- Speicherort?


Lade dir die Vollversion von Ewido als Setup herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/
(Eventuellen Meldungen von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)

Führe erneut einen vollständigen Check nach der folgenden Anleitung aus,
um eine optimale Überprüfung mit dem Tool zu gewährleisten!

1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Poste das ausführliche Scanergebniss hier!!!

Ich habe gerade festgestellt, dass ich unmöglich alle Berichte in einen Post bekomme, daher kommen die jetzt nach und nach, ich denke ihr versteht das.

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

 + Erstellt um:   21:21:01 27.08.2006

 + Scan-Ergebnis:   



[316] VM_00D60000 -> Downloader.Agent.uj : Fehler während der Säuberung.
[340] VM_009C0000 -> Downloader.Agent.uj : Fehler während der Säuberung.
[940] VM_009E0000 -> Downloader.Agent.uj : Fehler während der Säuberung.
:mozilla.43:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.


::Berichtende

__________________________________________________
ewido anti-spyware online scanner
   http://www.ewido.net
__________________________________________________


Name: Downloader.Agent.uj
Path: [896] VM_00E60000
Risk: High

Name: Downloader.Agent.uj
Path: [920] VM_01090000
Risk: High

Name: Downloader.Agent.uj
Path: [268] VM_00390000
Risk: High

Name: Downloader.Agent.uj
Path: [296] VM_00900000
Risk: High

Name: Downloader.Agent.uj
Path: [320] VM_00910000
Risk: High

Name: Downloader.Agent.uj
Path: [360] VM_00930000
Risk: High

Name: Downloader.Agent.uj
Path: [376] VM_00850000
Risk: High

Name: Downloader.Agent.uj
Path: [460] VM_00940000
Risk: High

Name: Downloader.Agent.uj
Path: [496] VM_009E0000
Risk: High

Name: Downloader.Agent.uj
Path: [588] VM_003E0000
Risk: High

Name: Downloader.Agent.uj
Path: [660] VM_00A20000
Risk: High

Name: Downloader.Agent.uj
Path: [2708] VM_00F80000
Risk: High

Name: Downloader.Agent.uj
Path: [2852] VM_009E0000
Risk: High

Name: Downloader.Agent.uj
Path: [3344] VM_003B0000
Risk: High

Name: Downloader.Agent.uj
Path: [628] VM_01320000
Risk: High

Name: TrackingCookie.Euroclick
Path: :mozilla.40:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.41:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.42:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.44:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.45:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: :mozilla.46:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Burstnet
Path: :mozilla.53:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Burstnet
Path: :mozilla.54:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Burstnet
Path: :mozilla.55:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.56:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.57:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.58:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: :mozilla.59:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: :mozilla.60:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: :mozilla.61:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.62:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.65:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.66:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.67:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.68:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.69:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.70:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.71:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.72:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.73:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.83:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: :mozilla.84:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: :mozilla.85:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: :mozilla.86:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: :mozilla.87:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: :mozilla.88:C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\Mozilla\Firefox\Profiles\vkiezgwg.default\cookies.txt
Risk: Medium

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{07765C97-1F18-4DAA-9D68-22B2E1BF9B08}\RP314\A0043758.exe
Risk: High

Hallo,
hier ein Link zur Prüfung des Providers :http://www.iks-jena.de/cgi-bin/whois
Trage eine Nummer ein wie die :

Zitat
 NameServer = 85.255.113.91, 85.255.112.180
Achte auf die Kommatrennung,da beginnt die Nummer neu....

Einen hat er genannt...
 
Zitat
downloader.agent.uj
Wäre mir Grund genug das System neu aufzusetzen,zumal "Acronis" bei ihm läuft... 8)
Solltest du Bankgeschäfte oder Ebay-Transaktionen tätigen,würde ich sogar unbedingt dazu raten....
Sir Reklov

Activescan hat nur Cookies gefunden.

Bidefender:

Geprüfte Dateien
   

 Status

C:\System Volume Information\_restore{07765C97-1F18-4DAA-9D68-22B2E1BF9B08}\RP290\A0028223.COM
   

Infiziert: BAT.Revenge

C:\System Volume Information\_restore{07765C97-1F18-4DAA-9D68-22B2E1BF9B08}\RP290\A0028223.COM
   

Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{07765C97-1F18-4DAA-9D68-22B2E1BF9B08}\RP290\A0028223.COM
   

Gelöscht
   

 

 
   

 
   

 

 
   

 

Hallo,
eine kleine Chance sehe ich noch....
Lade dir "Smitrem" nach dieser Anweisung und führe das aus :

http://www.trojaner-board.de/showthread.php?t=21709

Suche und lade dir "Regseeker" und säubere die Registrierung,danach ein neues Hijack-Log und berichte was gefunden/getan wurde durch die Proggis.
Sir Reklov

Also die IPs sind mir unbekannt. Wie ist hier vorzugehen?

An einer Neuinstallation des Systems führt nichts vorbei?
Würde das logischerweise am liebsten vermeiden. Ich achte normalerweise darauf bei Internetbanktransaktionen und Ebay die Cookies und Passwörter zu löschen, hoffe das hat schlimmes verhindern können.

Wäre toll wenn du mir erklären könntest, wa "Acronis" ist :)
Ok sehe gerade deinen neuen Post, probiere das gleich aus.

Hallo,


Aber gerne erkläre ich dir was auf deiner Kiste läuft.... ;D
Hier :
 

Zitat
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
Das ist ein Programm um ein Image deines Systems zu erstellen.So wie du aber danach fragst,denke ich nicht das du das absichtlich installiert hast bzw.weißt wie es funktioniert... ;D
Klar sind dir die Ip`s unbekannt... ;D die hast ja auch nicht du oder dein Internetanbieter insatalliert.. 8)
 
Zitat
Ich achte normalerweise darauf bei Internetbanktransaktionen und Ebay die Cookies und Passwörter zu löschen, hoffe das hat schlimmes verhindern können.
Hatt es nicht.Dein ISP = Internet Provider Service =derjenige bei dem du einen Vertrag unterschrieben hast,der dich ins Netz bringt.Beispiel AOL,Telekom 1&1.Du hast einen aus der Ukraine  :o.Der bringt dich nur deshalb ins Netz,weil er deine Bankdaten und Passwörter abgreifen will... ;D gelegentlich sollst du auch noch als Spamschleuder mißbraucht werden.. ;)
Mir wäre damit Banksachen zu tätigen,viel zu unsicher.In ein System das über Fremde geleitet wurde ,die somit Zugriff auf meine Kiste haben,hätte ich kein Vertrauen mehr... :'(
Einen sicheren vertrauenswürdigen Zustand läßt sich nur mit einer Neuinstallation erzielen.
Aber es ist deine Kiste,du mußt damit leben... ;D
Sir Reklov

Aber wie kann das passieren dass ich meinen Provider wechsle, hab dass jedenfalls nicht wissentlich getan, der Provider sollte eigentlich Telekom sein... soll ich für die beschriebenen Scans den Pc wieder vom Router trennen?

Hallo,
 

Zitat
hab dass jedenfalls nicht wissentlich getan, der Provider sollte eigentlich Telekom sein.
Doch hast du ! Allerdings hat der Trojan Downloader "agent uj",den ISP für dich gewechselt... ;D
Du hast ihn nur runtergeladen und ausgeführt...Bevor du fragst..mit irgend einer Datei die du dir irgendwo runtergeladen hast (ein Spiel,ein Bild über Email,ein Anhang,)es gibt jede Menge Möglichkeiten...und auf eine davon bist du reingefallen.....

 
Zitat
soll ich für die beschriebenen Scans den Pc wieder vom Router trennen?

 ??? Was genau meinst du ? Trennen ist immer gut,wenn die benötigten Programme schon geladen sind.Laufen lassen,dazu braucht man keine Verbindung.
Ich schau morgen wieder nach dir,jetzt ruft meine Matraze mich... ;)
Sir Reklov

Nur mal der Vollständigkeit gesagt, dein Provider (ISP) ist schon noch die Telekom, aber dein Internetverkehr wird über die Ukraine umgeleitet!

Kommen wir aber zur Malware Downloader.Agent.uj zurück.
Das Ding ist mir vor einiger Zeit schon über den Weg gelaufen!
Auch da konnte nur Ewido ihn im Speicher entdecken sonst nirgendwo.
Panda und Bitdefender fanden nix.
Ergebnis damals und auch hier, ein Rootkit muss am Werk sein!

Benutze deshalb unbedingt von F-secure den Rootkit Scanner Blacklight:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Sscanne nur damit, führe keine Änderung aus!
Poste das Ergebnis!
Dann schauen wir weiter was gemacht werden muss.


« Dateianhänge aus Thunderbird kommen manchmal als .dat anwww.freenigma.com Mailverschlüsselung 4 free ??? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Zugriffszeit
In Milisekunden angegebene Zeit, die das Speichermedium zum Erreichen der gesuchten Daten braucht. Die Zeit ist abhängig vom technischen Verfahren des Mediums sowie ...

Reaktionszeit
In der Elektronik versteht man unter der Reaktionszeit die Zeit, die ein Flachbildschirm benötigt, um die Farbe und die Helligkeit eines Bildpunktes zu ändern. ...

Athlon
Athlon ist die eingetragende Bezeichnung für einen Prozessor der Firma AMD (Advanced Micro Devices, Inc.), einem US-amerikanischen Chip-Hersteller, der den Produktna...