Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Win XP: PC startet häufig neu & AntiVir lässt sich nicht updaten (Hijack-Log anb

Seit ca. 3 Tagen gibt es schon bei mir das Problem und ich habe schon alles Mögliche versucht doch es lässt sich einfach nicht beheben. Ich bitte um Eure Hilfe! :-(

Hier ist der Hijack-Log:

Logfile of HijackThis v1.99.0
Scan saved at 20:49:50, on 12.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\NoPopUp 2001\nopopup.exe
C:\PROGRA~1\CLOCKS~1\Sync.exe
C:\WINDOWS\System32\system.exe
C:\Programme\MPQphone\MPQphone.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#27859
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#27859
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#27859
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#27859
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=145872
R3 - Default URLSearchHook is missing
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - (no file)
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - (no file)
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2001\nopopup.exe /autorun
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: auto-bit.lnk = C:\sysprep\bit\bit.exe
O4 - Startup: MPQphone.lnk = C:\Programme\MPQphone\MPQphone.exe
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {0873478E-E67A-4876-B0A9-9A36D3AB3602} - http://www.thepaymentcentre.com/build/vviewer.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//cyberfreehost/main.chm::/testnewload.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe



Antworten zu Win XP: PC startet häufig neu & AntiVir lässt sich nicht updaten (Hijack-Log anb:

hi,
das problem habe ich auch!

erst dachte ich, das wär ein hardware-problem.
hab dann einige sachen ausgewechselt (GK, Netzteil) hat nicht geholfen.
dann auf einer sep partition win98 inst. und es funzt, also softwarefehler.
hab mich in foren ausgiebig umgesehen (auch hier unter softwarehilfe)
und keiner konnte mir helfen.
aber vielleicht rebarmt sich jetzt jemand...

Log hier einstellen , auswerten und fixen:
http://www.hijackthis.de/
Falls kein Firewall-Prog vorh.: Win-Firewall
einschalten . Systemupdate auf neuesten Stand machen .

sorry die frage, aber was macht hijackthis eigendlich?

was heisst Log einstellen, auswerten und fixen

Hallo Autor: rafoy !

Mit dem Tool Hijackthis machst du zunächst eine Auswertung deiner Startseiteneinträge, Autostart-Programmeinträge, BHO-Programmerweiterungen usw.
Eine gute Anleitung ist z.B. hier:
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Es gibt auch diese automatische Auswertung wie oben gesagt. Diese ist aber immer mit Vorsicht zu betrachten, diese Datenbank ist noch nicht komplett und kommt immer wieder zu Falschmeldungen. Deswegen muß immer manuell nachgearbeitet werden. Mensch schlägt Maschine!  Und selbst dann gibt's immer noch Irrtümer und  Fehleinschätzungen und niemand kennt alle Programme dieser Welt, dass ist die praktische Erfahrung .
Du kannst wie gesagt zunächst dort per copy&paste das Log  einstellen , auswerten lassen (unten Button analyze drücken).
Links anhaken = fixen =  heißt löschen des Eintrages:

In deinem Falle erbringt die automatische Auswertung verdammt viele böse Sachen, ua. einen Dialer wie den Troj/Bdoor-S Wurm! Dies ist eine böse Sache, hat sog. Backdoor-Funktionen--> siehe:
http://www.sophos.de/virusinfo/analyses/trojbdoors.html
Er ermöglicht einem remoten Anwender Fernzugriff auf den infizierten Computer.
D.h. dein PC ist in fremder Hand, sofort vom Netz nehmen und das beste wäre eine komplette Neuaufsetzung,sprich Format C. Der einzige Weg, um absolut wieder sicher zu sein für die Zukunft.

Falls Du dennoch versuchst zu "säubern", dann lade dir zunächst Ad-ware (v.1.05) und Spybot (v.1.3) herunter und update beide.

Boote  dann im  abgesicherten Modus (www.tu-berlin.de/www/software/virus/savemode.shtml ), deaktiviere die Systemwiederherstellung (http://www.bsi.de/av/texte/wiederher_xp.htm) und
scanne mit Ad-ware  und Spybot.

Mach dann folgende Schritte:
beende mit dem Taskmanager folgende (soweit dort vorhanden):
- C:\PROGRA~1\Save\Save.exe
- C:\PROGRA~1\CLOCKS~1\Sync.exe
- C:\WINDOWS\System32\system.exe

Gehe dann (ebenfalls im abgesicherten Modus!) zum  HJT-tool und mache Haken (links) bei den folg. Einträgen:
1.) alle  R1 Einträge + alle R 0 + alle R 3
    (diese sind alle böse): insgesamt 7 Stück
2.) O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL
3.)     O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - (no file)
4.) O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file
5.) O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - (no file)
6.) O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - (no file)
7.) O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
8.)       O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
9.) O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
10.) alle 016 Einträge (sind 3 Stück).

Starte dann den PC im Normalmodus, mache dann nochmals einen AV-Scan + HJT-Check.

Ist deine Entscheidung! Nur angesichts eines Backdoor-Befalles stellt sich die Frage einer Neuaufsetzung. Ist wurden durch ihn Systemeinträge verändert, die nicht mehr nachvollziehbar sind. Ausserdem wird dein PC von fremder Hand "gesteuert" + Dialer.

Hallo!

Ich habe dieses Wochenende mein Win98 durch ein Win2000 und schließlich durch ein XP Prof. ersetzt.
Ich hatte das gleiche Restart-Problem.
Angeblich ist es der Sasser Wurm:
C:\WINDOWS\system32\lsass.exe


Geholfen hat:
Reihenfolge beachten!!!!

XP neu aufsetzen mit Formatierung von C:\ und D:\
Servicepack 1 und 2 installieren!!!
Firewall installieren (ZoneAlarm)
Antivirenprogramm installieren (AnitVir)
Internet installieren
Sofort:
Firewall updaten
Antivirenprogramm updaten

Seitdem funktioniert alles!

LG! [email protected]


« Braucht man wirklich eine Firewall wenn man....Seite mit Buchstaben und Zahlen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...