Hartnäckiger Virus!

Dein Logfile ist unvollständig!

habe ich mein Pc komplett formatiert, doch er ist immer noch da!

Heyho,

nun lieber ein deutliches Wort als keines!


Was den Log angeht hab ich die Anleitung im FAQ nochmal durchgeschaut aber mir wird bei Hijack nicht mehr ausgespuckt. Also wüsste ich nicht was genau fehlt am Log selbst!?


~Leo~ 

Nein er ist schon wieder da. Und warum. Weil du brain.exe nicht benutzt. Sorry aber das muss ich mal so deutlich sagen, ist nicht böhse gemeint 

Wenn Hijackthis nicht mehr ausspuckt kann man nix dran machen wa.

In dem Log ist zumindest nix zu erkennen.

Woher willst du wissen dass du wirklich einen Schädling auf deinem PC hast ???

 

Nunja wir haben Zuhause ein Netzwerk von 3 Pc's (natürlich hab ich mein Pc derzeit seperat)

Mein Pc ist der einzigste mit dem Problem, dass ich oben ja schon beschrieben hatte.

Ansonsten welche andere möglichkeiten bleiben da noch?

Ich hab keine Glaskugel 

Im Logfile ist nix zu erkennen, Antiviren scan hast du bestimmt auch schon gemacht oder ???

Das ist ja gerade das große Problem!

Wenn ich einen solchen Scan mache startet mein Pc neu sobald das Programm wohl in die Nähe des Virus (oder was es nun sein mag) kommt. Deshalb weiß ich ja nichteinmal welcherlei Art Virus es ist weil ich nicht dazu komme ein externer Scan von Nortons Online Scanner hatte aber auch nichts gefunden!

Aber das es kein "normales" Pc Problem ist erkenn ich ja daran das wenn er durch diesen Virus Neustarten irgendein unnormaler Soun vo nden Boxen kommt was defenitiv keine Pieptöne des Bios sind.

 

Geh in den Abgesicherten Modus zum scannen.

(also Pc neustarten, dann die ganze zeit f8 drücken bis ein Auswahlmenü kommt, wo der Abgesicherte Modus beisteht.

Da machst du einen Scan!

So

ich habe nun mit Antivir im abgesichertem Modus mein Pc durchforstet allerdings wurde nichts gefunden! Dann habe ich Spybot durchgejagt, allerdings stürtzte mein Pc 2mal an der ungefähr gleichen Stelle ab!


Tju was nun ? ..

~Leo~


 

Ladt dir mal Combofix runter und erstelle damit ein Logfile:

http://virus-protect.org/artikel/tools/combofix.html

ComboFix 08-03-26.1 - Flex 2008-03-27 14:46:08.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.726 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Flex\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-02-27 bis 2008-03-27  ))))))))))))))))))))))))))))))
.

2008-03-27 13:58 . 2004-08-04 00:57   221,184   --a------   C:\WINDOWS\system32\wmpns.dll
2008-03-27 13:54 . 2006-08-21 10:14   128,896   -----c---   C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-03-27 13:54 . 2006-08-21 10:14   23,040   -----c---   C:\WINDOWS\system32\dllcache\fltmc.exe
2008-03-27 13:54 . 2006-08-21 13:26   16,896   -----c---   C:\WINDOWS\system32\dllcache\fltlib.dll
2008-03-27 13:30 . 2008-03-26 15:08   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator.FELIX\Vorlagen
2008-03-27 13:30 . 2008-03-26 14:59   <DIR>   dr-------   C:\Dokumente und Einstellungen\Administrator.FELIX\Startmenü
2008-03-27 13:30 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator.FELIX\Netzwerkumgebung
2008-03-27 13:30 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator.FELIX\Lokale Einstellungen
2008-03-27 13:30 . 2008-03-26 14:59   <DIR>   d--------   C:\Dokumente und Einstellungen\Administrator.FELIX\Favoriten
2008-03-27 13:30 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator.FELIX\Druckumgebung
2008-03-27 13:30 . 2008-03-26 14:59   <DIR>   dr-h-----   C:\Dokumente und Einstellungen\Administrator.FELIX\Anwendungsdaten
2008-03-27 12:44 . 2008-03-27 12:44   <DIR>   dr-------   C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-27 12:31 . 2008-03-26 15:08   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-27 12:31 . 2008-03-26 14:59   <DIR>   dr-------   C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-27 12:31 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-27 12:31 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-27 12:31 . 2008-03-26 14:59   <DIR>   d--------   C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-27 12:31 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-27 12:31 . 2008-03-27 13:04   <DIR>   dr-h-----   C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-27 12:26 . 2008-03-27 12:26   <DIR>   d--------   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-27 11:23 . 2007-07-09 14:11   584,192   -----c---   C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-03-27 11:22 . 2008-03-27 11:22   <DIR>   d---s----   C:\Dokumente und Einstellungen\Flex\UserData
2008-03-27 02:20 . 2008-03-27 02:20   <DIR>   d--------   C:\WINDOWS\Sun
2008-03-27 02:19 . 2008-03-27 02:19   <DIR>   d--------   C:\Programme\Java
2008-03-27 02:19 . 2008-03-27 02:19   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Java
2008-03-27 02:19 . 2008-02-22 02:33   69,632   --a------   C:\WINDOWS\system32\javacpl.cpl
2008-03-27 01:55 . 2008-03-27 01:55   <DIR>   d----c---   C:\WINDOWS\system32\DRVSTORE
2008-03-27 01:55 . 2008-03-27 01:55   <DIR>   d--------   C:\Dokumente und Einstellungen\Flex\Contacts
2008-03-27 01:52 . 2008-03-27 01:54   <DIR>   d--------   C:\Programme\Windows Live
2008-03-27 01:52 . 2008-03-27 01:54   <DIR>   d--hsc---   C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-27 01:52 . 2008-03-27 01:52   <DIR>   d--------   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-27 01:30 . 2006-10-13 11:23   163,584   -----c---   C:\WINDOWS\system32\dllcache\nwrdr.sys
2008-03-27 01:30 . 2006-10-13 13:35   146,432   -----c---   C:\WINDOWS\system32\dllcache\nwprovau.dll
2008-03-27 01:30 . 2006-10-13 13:35   65,536   -----c---   C:\WINDOWS\system32\dllcache\nwwks.dll
2008-03-27 01:30 . 2008-03-27 01:30   0   --a------   C:\WINDOWS\nsreg.dat
2008-03-27 00:51 . 2008-03-27 14:06   <DIR>   d--h-----   C:\WINDOWS\$hf_mig$
2008-03-27 00:49 . 2008-03-27 00:49   <DIR>   d--------   C:\Programme\Spyware Doctor
2008-03-27 00:49 . 2008-03-27 00:49   <DIR>   d--------   C:\Dokumente und Einstellungen\Flex\Anwendungsdaten\PC Tools
2008-03-27 00:49 . 2008-03-27 02:02   <DIR>   d-a------   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-27 00:49 . 2007-12-10 14:53   81,288   --a------   C:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-27 00:49 . 2007-12-10 14:53   66,952   --a------   C:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-27 00:49 . 2008-02-01 12:55   42,376   --a------   C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-27 00:49 . 2007-12-10 14:53   29,576   --a------   C:\WINDOWS\system32\drivers\kcom.sys
2008-03-27 00:44 . 2008-03-27 14:43   <DIR>   d--------   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-27 00:43 . 2008-03-27 00:43   <DIR>   d--------   C:\Programme\SpywareBlaster
2008-03-27 00:43 . 2008-03-27 00:49   <DIR>   d--------   C:\Programme\Spybot - Search & Destroy
2008-03-27 00:43 . 2005-08-25 18:18   118,784   --a------   C:\WINDOWS\system32\MSSTDFMT.DLL
2008-03-27 00:43 . 2005-08-25 18:19   115,920   --a------   C:\WINDOWS\system32\MSINET.OCX
2008-03-27 00:42 . 2008-03-27 13:22   <DIR>   d--------   C:\Temp
2008-03-27 00:42 . 2008-03-27 00:42   <DIR>   d--------   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-03-27 00:37 . 2008-03-27 00:37   <DIR>   d--------   C:\WINDOWS\system32\GroupPolicy
2008-03-27 00:35 . 2008-03-27 00:42   <DIR>   d--------   C:\Programme\Hitman Pro
2008-03-27 00:35 . 2006-02-28 13:43   1,077,344   --a------   C:\WINDOWS\system32\mscomctl.ocx
2008-03-27 00:24 . 2004-07-17 11:40   19,528   --a------   C:\WINDOWS\000001_.tmp
2008-03-27 00:13 . 2008-03-27 00:13   0   --a------   C:\WINDOWS\ativpsrm.bin
2008-03-26 14:59 . 2008-03-26 15:08   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   dr-------   C:\Dokumente und Einstellungen\Default User\Startmenü
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   dr-h-----   C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   d--------   C:\Dokumente und Einstellungen\Default User\Favoriten
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   d--h-----   C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-03-26 14:59 . 2008-03-27 00:29   <DIR>   dr-------   C:\Dokumente und Einstellungen\All Users\Startmenü
2008-03-26 14:59 . 2008-03-26 14:59   <DIR>   d--------   C:\Dokumente und Einstellungen\All Users\Favoriten
2008-03-26 14:59 . 2008-03-27 01:50   <DIR>   dr-------   C:\Dokumente und Einstellungen\All Users\Dokumente
2008-03-26 14:58 . 2008-03-27 14:06   <DIR>   d--------   C:\WINDOWS\system32\CatRoot2
2008-03-26 14:58 . 2008-03-27 00:26   <DIR>   d--------   C:\WINDOWS\system32\CatRoot
2008-03-26 14:58 . 2008-03-26 14:59   <DIR>   dr-h-----   C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-03-26 14:58 . 2008-03-27 12:28   <DIR>   dr-h-----   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-03-26 14:58 . 2008-03-27 13:30   <DIR>   d--------   C:\Dokumente und Einstellungen
2008-03-26 14:58 . 2003-04-02 13:00   1,086,182   -ra------   C:\WINDOWS\SET3.tmp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 14:28   ---------   d--h--w   C:\Programme\InstallShield Installation Information
2008-03-26 14:28   ---------   d-----w   C:\Programme\ATI Technologies
2008-03-26 14:23   ---------   d-----w   C:\Programme\Analog Devices
2008-03-26 14:22   ---------   d-----w   C:\Programme\Intel
2008-03-26 14:22   ---------   d-----w   C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-26 14:13   ---------   d-----w   C:\Programme\microsoft frontpage
2008-03-26 14:11   ---------   d-----w   C:\Programme\Online-Dienste
2008-03-26 14:10   ---------   d-----w   C:\Programme\Gemeinsame Dateien\Dienste
2003-07-31 09:53   147,456   ----a-w   C:\WINDOWS\inf\EL2K_XP.sys
2003-07-31 09:50   448,768   ----a-w   C:\WINDOWS\inf\EL2K_N64.sys
2003-07-31 09:43   147,456   ----a-w   C:\WINDOWS\inf\EL2K_2K.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 16:28 790528]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 09:42 585728]
"TCASUTIEXE"="TCAUDIAG.exe" [2003-07-16 08:34 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-27 12:28 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R2 tcaicchg;tcaicchg;C:\WINDOWS\System32\tcaicchg.sys [2000-06-06 11:08]
R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\system32\DRIVERS\TCAITDI.sys [2001-09-04 04:22]
S3 hitmanpro2;Hitman Pro 2 Driver;C:\Programme\Hitman Pro\hitmanpro2.sys [2006-11-03 12:02]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 14:47:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 14:47:30
ComboFix-quarantined-files.txt  2008-03-27 13:47:28
               7 Verzeichnis(se),  7,782,330,368 Bytes frei
               9 Verzeichnis(se),  7,776,579,584 Bytes frei
.
2008-03-27 13:06:46   --- E O F --- 
 

Kann ich auch nix auffällig sehen!

 

Hm,

na das gibt es doch langsam nicht..

Doch was ich da nun? Software findet den Virus net bzw Windows stürtzt dann ab.

Logs scheinen alle Ok zusein..

was bleib da noch?

Theoretisch müsste ich ne andere Platte einbauen (die andere dann raus) und schauen ob die Probleme dann noch sind .. dann müsste es aber eher ein Problem Biosbereich sein oder? *grübel*
 

Wenn dein Pc bei Anwendungen ausgeht, würde ich mir mal die Temperaturen angucken.

Mit Hardwaremonitor,everest oder speedfan.

Ich würde erstmal den automatischen Neustart abschalten,dann bekommst Du einen Bluescreen mit Fehlermeldund und die mal Posten.

Start,Systemsteuerung,System,Erweitert,Starten-Wieder herstellen,Einstellungen,da den Haken weg bei automatisch Neustart durchführen.

mfg  Burgeule

Hab den Autostart rausgenommen

werd trotzdem das mit der Temperatur mal mir  noch zusätzlich anschauen und mal mit Spybot den bzw Abstürzen lassen

 

HM ok was mich hier wundert ist das mein CPU bei über 60C° läuft normal wären eher 40C° soweit ich weiß o.O

gemessen mit Hardwaremonitor

Temperaturen sind noch okay.

Kenne mich mit den Spannungen nicht so aus, aber könnte sein dass bei deinem PC starke Spannungsschwankungen sind.

Also ich hab ein Leistungsfähriges Netzteil und die Spannungsschwankungen sind minimal und noch ok

Die CPU Temperatur macht mir trotzdem sorgen..

Die Temperaturen sind wirklich normal. Ich habe wenn die kiste mal was brummt sogar über 70. 

Es kommt auch immer auf den Prozessor an!!

Leopolth bei dir ist es noch okay, ich würde trotzdem einen neuen Kühler kaufen und die Wärmeleitpaste erneuern.

@schalker würde auch mal über nen neuen Kühler nachdenken!!

Ja jetzt kommen wir der Sache entschieden näher!

Als ich Spybot durchlaufen ließ ging der CPU bis 100C° dann autmomatisches Ausschalten des Pc's

ich hab mir das gerade mal angeguckt.. ich glaub ich muss das alles mal entstauben..

Doch selbst wenn ich Kühler erneuer und die Paste auch (die Paste wird eh ne heikle Sache hab da was spezielles drauf..)

bleib das Problem das da ein komisches Geräusch kommt was weder von der Hardware Stammt noch eines der Signale vom Bios ist und das ist defenitiv nicht normal. 

100°  Da muss auf jeden neue Paste und ein neuer Kühler drauf.

Paste :

Artic Silver V

Zu deinem Problem weiß ich leider nix mehr.

Na ich weiß das der Freund meiner Mutter als er mir den Pc zusammenstell eine spezielle Paste draufmachte die aber auch CPU und Kühler direkt Verbindet so das es fest miteiannder ist (halt davon eh nix aber man war ja unwissend^^)

Neuen Kühler ist an der Stelle klar

aber was zum Teufel ist halt dieses Geräusch! ^^

Naja Danke trotzdem für deine Hilfe

Das ist bestimmt ein Wärmepad,dass geht trotzdem mit ab 

Nein das war eine Paste!

So bin mal mein Pc entstauben und reinigen

Nein das war eine Paste!

So bin mal mein Pc entstauben und reinigen

Na ich hab erstmal mein Kühler von der dicken Staubschicht befreit und siehe da 45C° im Normalbetrieb

Ich denk das klingt sehr gut

Werde das trotzdem mal beobachten

SOa also danke nochmal bis zum nächsten Virus *grins*