Unbekannter Crash

Hallo liebe Community,

Ich habe Gestern ein wenig im Internet gesurft und nach einer Möglichkeit gesucht, Painkiller - Resurrection uncut zu bekommen.

Bin dann auf eine Trainersite gestoßen. Darin war beschrieben, ich sollte mir die Demo laden und eine Datei ins Hauptspielverzeichnis kopieren. Kein Problem, super dachte ich.

Ich konnte mir diese Demo jedoch nicht laden. Ca. bis 500 Mb ging alles gut, dann bekam ich eine Absturzmeldung von Firefox. Dann habe ich es nochmal ausprobiert. Wieder mit dem gleichen Ergebnis. Ich habe andere Link's getestet. Das Selbe. Ich habe es mit Opera versucht, und dann über den JDwonloader, alles sind nach einer gewissen Zeit abgestürzt.

Heute habe ich es nochmal versucht, wieder das Selbe Problem.

---->>>Jetzt ist Firefox schon drei mal abgestürzt ohne das ich die Demo geladen habe. <<<----

Könnte vielleicht mal jemand versuchen die demo zu laden, um sicherzustellen das es nicht daran liegt?

Denn sogar der JDwonloader ist abgestürzt bei dieser Datei, ist doch komisch...:

http://www.4players.de/4players.php/d…ierte_Demo.html

http://www.chip.de/downloads/Demo…n_13012455.html

http://www.pcwelt.de/downloads/Spie…emo-587703.html

Um nur ein paar Links mit der Demo zu nennen.

Ich habe mir eben einen extra Downloadmanager geladen, nach über 50% bekam ich eine Fatal Error Meldung und der Download musste abgebrochen werden.

Würde euch vielleicht ein Hijackthis Bericht helfen...???

Desweiteren werde ich das was about:crashes ausgespuckt hat mal posten:

https://crash-stats.mozilla.com/report/index/b…31-f3e5b2111104

EDIT: kurz nach dem Beitrag hier schon wieder abgestürzt, es passiert jetzt regelmäßig. Das stand im Fehlerbericht:

AdapterDeviceID: 7288
AdapterVendorID: 1002
Add-ons: {20a82645-c095-46ed-80e3-08825760534b}:0.0.0,jqs@sun.com:1.0,{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.10,{f36c6cd1-da73-491d-b290-8fc9115bfa55}:2.2.0,{1018e4d6-728f-4b20-ad56-37578a4de76b}:4.1.8,foxyproxy@eric.h.jung:3.3,{972ce4c6-7e08-4474-a285-3208198ce6fd}:7.0.1
AvailableVirtualMemory: 1157832704
BuildID: 20110928134238
CrashTime: 1320424273
EMCheckCompatibility: true
FramePoisonBase: 00000000f0de0000
FramePoisonSize: 65536
InstallTime: 1319134238
Notes: AdapterVendorID: 1002, AdapterDeviceID: 7288, AdapterDriverVersion: 8.593.100.0
D3D10 Layers? D3D10 Layers-
D3D9 Layers? D3D9 Layers-

ProductName: Firefox
ReleaseChannel: release
SecondsSinceLastCrash: 1434
StartupTime: 1320422956
SystemMemoryUsePercentage: 63
Theme: classic/1.0
Throttleable: 1
TotalVirtualMemory: 2147352576
Vendor: Mozilla
Version: 7.0.1
Winsock_LSP: PCTOOLS over [MSAFD Tcpip [TCP/IP]] : 2 : 1 :
PCTOOLS over [MSAFD Tcpip [UDP/IP]] : 2 : 2 :
PCTOOLS over [MSAFD Tcpip [RAW/IP]] : 2 : 3 :
MSAFD Tcpip [TCP/IP] : 2 : 1 :
MSAFD Tcpip [UDP/IP] : 2 : 2 :
MSAFD Tcpip [RAW/IP] : 2 : 3 :
RSVP UDP Service Provider : 6 : 2 :
RSVP TCP Service Provider : 6 : 1 :
PCTOOLS CONTENT FILTER PROVIDER : 2 : 1 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{BDCB5702-B155-4ADB-8215-C6FA7B354E04}] SEQPACKET 0 : 2 : 5 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{BDCB5702-B155-4ADB-8215-C6FA7B354E04}] DATAGRAM 0 : 2 : 2 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FABDF470-1494-4BF2-9CD9-9057D0518D90}] SEQPACKET 3 : 2 : 5 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FABDF470-1494-4BF2-9CD9-9057D0518D90}] DATAGRAM 3 : 2 : 2 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{D4BE709E-EDE2-4A33-8D0F-26E6CA1C8301}] SEQPACKET 1 : 2 : 5 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{D4BE709E-EDE2-4A33-8D0F-26E6CA1C8301}] DATAGRAM 1 : 2 : 2 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{C65D6952-1C27-435E-B808-2B5F51BBA0D1}] SEQPACKET 2 : 2 : 5 :
MSAFD NetBIOS [\Device\NetBT_Tcpip_{C65D6952-1C27-435E-B808-2B5F51BBA0D1}] DATAGRAM 2 : 2 : 2 :

Diese Meldung enthält Informationen über den Status der Anwendung zum Zeitpunkt des Absturzes.

Danke schon im Vorraus,

Marc

Virenschutz: AntiVir
Firewall: Windows Security (Firewall)
SpyBot Search & Destroy
XP Antispy

-> Im abgesicherten Modus (weder Firefox noch System) hab ich es noch nicht versucht, werd ich gleich mal testen.

Provider kann ich mir nicht vorstellen, andere Downloads laden auch. Komisch ist nur das die Tool's (JDownloader und der externe Downloadmanager) bei der Datei abstürzen. Ohne das File läuft der JDownloader problemlos durch (über Stunden).

Ich prüfe meine Prozesse und Autostarts täglich mit mehreren Programmen (WinSonar, CCleaner, Security Task Manager) und mir ist nichts aufgefallen. Habe Heute nochmal AntiVir und Spybot drüber laufen lassen und die haben nur meine üblichen Programme gefunden die ich zu Testzewecken und zur eigenen Überwachung verwende (ich passe schon auf das der Prozess nach der Anwendung nicht mehr läuft und die zugehörigen Ports wieder geschlossen sind)

Ich mach jetzt mal den Suchdurchlauf und poste das Ergebnis:

Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org

Datenbank Version: 8088

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05.11.2011 02:45:14
mbam-log-2011-11-05 (02-45-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|P:\|)
Durchsuchte Objekte: 247447
Laufzeit: 34 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.
c:\skdfhiosjhf (Trojan.SpyEyes) -> No action taken.

Infizierte Dateien:
p:\connecting-ordner\programme\ausführbare programme und installationen\mspass\mspass.exe (PUP.PSW.MessenPass) -> No action taken.
p:\warez installs und zips\Folders\BLABLABLA professional\KG\ZENSIERT :twisted: .exe (RiskWare.Tool.CK) -> No action taken.
c:\dokumente und einstellungen\Be\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Be\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> No action taken.
c:\skdfhiosjhf\config.bin (Trojan.SpyEyes) -> No action taken.

02:06:14 Be MESSAGE Protection started successfully
02:06:20 Be MESSAGE IP Protection started successfully
02:43:19 Be DETECTION C:\Dokumente und Einstellungen\Be\Anwendungsdaten\Microsoft\conhost.exe Trojan.Agent ALLOW
02:43:23 Be DETECTION C:\Dokumente und Einstellungen\Be\Anwendungsdaten\Microsoft\conhost.exe Trojan.Agent ALLOW
02:43:24 Be DETECTION C:\Dokumente und Einstellungen\Be\Anwendungsdaten\Microsoft\conhost.exe Trojan.Agent ALLOW

conhost.exe habe ich erstellt, ist ein umbenanntes .txt Dokument. Ich habe es schreibgeschützt und im Ordner gelassen nachdem ich die echte conhost.exe gelöscht habe. Damit sich diese Software nicht nochmal in den Ordner setzt. Hab nämlich keine Ahnung woher das Ding kam.

Firefox stürzt momentan nicht mehr ab. Hab den Browser jetzt über ne Stunde geöffnet. Jedoch habe ich es mit Opera nochmal versucht und Opera ist bei der Demo abgestürzt. Da passt doch was nicht!?! Das ist echt komisch.

Hey, warum jetzt diese Feindseligkeiten?

Ich habe kein anderes Problem, bis auf das jede Anwendung die diese Demo ziehen soll abstürzt. Alles andere funktioniert prima.

Zitat von MaximaleEleganz

Du weißt selbst am besten, warum du dein eigenes Log zensierst; so macht das allerdings keinen Sinn!

Warum ist das so schlimm das ich den Log an einer Stelle zensiert habe? Ich weis doch was es ist und ich weis das es für diese Analyse nicht von Bedeutung ist.

Zitat von .Ulli

Bei bislang nicht bekannten Lücken des Systems werden alle Tools versagen, bis die Lücke bekannt ist und entsprechende Gegenmaßnahmen eingeleitet wurden

Das musst du mir jetzt bitte erklären. Um ein Problem zu lösen braucht man nun mal Werkzeug. Ich könnte die Registry ja auch manuell durchstöbern aber das ist Zeitaufwendiger. Außerdem habe ich keine .txt Datei im Kopf auf der tausende Bezeichnungen schädlicher Software zu finden sind.

Zitat von Docc

Da ist nichts mehr zu machen. Dass mehrere Antivirenprogramme nichts bringen, kannst du an deinem Log ablesen. Vor allem aber ist dein Problem hausgemacht (Stichwort "Warez"). Lerne daraus, und setze das System neu auf. Bis dahin setze den Rechner offline, damit du nicht andere Rechner auch noch infizierst.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones)

Keine Ahnung was das ist, ich habe es behoben und der Schlüssel ist weg.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes)
c:\skdfhiosjhf (Trojan.SpyEyes)

Behoben

Infizierte Dateien:
p:\connecting-ordner\programme\ausführbare programme und installationen\mspass\mspass.exe (PUP.PSW.MessenPass)

Ein Programm zum auslesen von Passwörtern alter ICQ Versionen, wird nicht installiert, hat einen Prozess und schreibt keinen Schlüssel in die Reg. Zählt eben als unerwünschte Software das es PW's auslesen kann.

p:\warez installs und zips\Folders\BLABLABLA professional\KG\ZENSIERT.exe (RiskWare.Tool.CK) <--- ich weis was es ist, ich weis warum er es nicht mag...

c:\dokumente und einstellungen\Be\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent)

eine ursprüngliche .txt Datei die ich selbst als .exe getarnt habe damit sich der eigentliche Schädling nicht wieder in diesen Ordner setzten kann.

c:\dokumente und einstellungen\Be\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace)

Behoben

c:\skdfhiosjhf\config.bin (Trojan.SpyEyes)

Behoben

Ich mache jetzt nochmal einen Suchdurchlauf, poste das Ergebnis noch einmal.

Warum soll ich denn jetzt mein komplettes System neu aufsetzten?

Ich möchte doch nur ein paar Möglichkeiten in Erfahrung bringen, was ich unternehmen kann, um diese Demo zu laden!?

Nein, ich betreibe kein Onlinebanking.

Nunja, die ganze Sache nervt mich jetzt etwas.

Gibt es irgendwo eine ganz allgemeine Defintion von Spyeyes?

Habe Malwarebytes jetzt nochmal drüber laufen lassen und bis auf meine eigenen Programme welche auf P: sind, nichts mehr gefunden. Die Partition (C:) mit dem OS ist also ok.

Ich könnte das System jetzt einfach neu aufsetzten, aber ich verstehe es noch nicht. Besagte Schädlinge laufen über bestimmte Ports, haben Prozesse die im Hintergrund laufen und Schlüssel, welche sich in der Registry finden lassen.

Ich und diverse Programme können nichts finden, was darauf hinweist das irgendwelche Software mit dem Internet connected.

Das ist nicht euer Problem und ihr könntet euch natürlich einfach sagen, tja kleiner Pech gehabt, ist ja nicht mein Rechner.

Ich fände es trotzdem sehr schön wenn mir jemand erklären könnte warum es trotzdem sinnvoll ist, das System neu aufzusetzten.

thx

Nun wird die ganze Sache klarer. . .

Der Gedanke das etwas auf dem PC ist, das "mithört" ist schrecklich... wird mich wohl die nächsten Tage dazu zwingen das System neu aufzusetzten.

Das ist zwar nervig und ärgerlich und bereietet mir schlechte Laune, da mein momentanes Wissen nicht ausreicht, um das System zu retten, ohne die besagten Schritte einzuleiten, ich habe aber wohl keine andere Chance wenn ich sicher gehen möchte das niemand Unfug mit meinen Daten treibt.

Danke an alle, die mir so hartnäckig die Augen öffnen "mussten"

mfG,

Marc

* nicht mit administrativen Rechten surfen!

Ist damit gemeint, dass ich nicht als Computeradministrator surfen soll?

Wie surfe ich denn als normaler Benutzer? Auf meinem PC soll es definitiv immer nur ein Benutzerkonto geben. Das des Administrators, meins.

Kann ich die Andinistrativen Rechte irgendwo ausschalten und ggf. wieder an?

Momentan melde ich mich immer als Computeradministrator an, ein Konto, kennwortgeschützt.

Danke, wieder etwas gelernt.

Nun sind auch zwei Benutzerkonten sinnvoll

ein ausgesprochen kompetentes Forum!

Das Hauptproblem war ja eigentlich, das Firefox keine Demo eines Game's laden konnte ohne abzustürzen. Dann stellte ich fest das Opera, der JDownloader und ein ext. Donwloadmanager das auch nicht konnten ohne abzustürzen.

Dann sind die Browser ohne Donwload abgestürzt und jetzt kann ich mit Firefox diverse Internetseiten nicht mehr besuchen, mit Opera schon.

Malwarebytes hat zwei Schädlinge gefunden über die ich mir nicht bewusst war, und die Mitglieder haben mich jetzt überzeugt, das ich dem System nicht mehr vertrauen kann.

Ich werde den PC morgen formatieren.

Dabei werde ich wie hier beschrieben vor gehen:

http://malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen

Ich habe mich für Knoppix entschieden.

Dazu habe ich jedoch noch ein paar Fragen:

Die .ISO Datei von KNOPPIX habe ich jetzt mit ImgBurn auf ne CD gebrannt.

Ich habe eine Festplatte in meinem PC, diese ist in zwei Partitionen unterteilt.

C: und D:

Auf C: befindet sich das OS

Auf D: sind ein Paar sensible Daten und Programme gespeichert und installiert.

Datenträger D: ist mit TrueCrypt verschlüsselt.

In der Beschreibung von Malte Wetz wird für mich nicht klar, ob ich die Wahl habe nur die Partition mit dem OS mit Nullen zu überschreiben oder ob die ganze Platte platt gemacht wird.

Ich besitze noch eine externe Festplatte, auf die könnte ich schon alle Daten von D: rüberziehen.

Ich habe das noch nie mit dieser Methode gemacht, sondern einfach mit mit der Windows CD formatiert, also von der CD gebootet.

Nach dieser KNOPPIX Methode ist mein Datenträger aber immernoch partitioniert oder?

Ich habe keine Ahnung und bin mir etwas unsicher, auch was er da mit den Befehlen beschreibt:

Überschreiben Sie alle Festplatten komplett mit Nullen. Der Befehl:

fdisk -l

zeigt die Kennungen aller Festplatten an (z.B. /dev/sda, /dev/sdb, usw. oder auch /dev/hda, /dev/hdb usw.). Die Ziffern hinter den Kennung sind die Partition auf den Platten. Falls Sie von einem USB-Stick gebootet haben, wird der ebenfalls als Festplatte angezeigt werden. Anhand der Daten wie Größe, Anzahl der Partitionen, etc. können Sie recht gut erkennen, welche Platte welche ist.

Der folgende Befehl löscht alle Daten auf der angegebenen Platte! Wenn Sie noch etwas sichern wollen, müssen Sie das vorher erledigen. Danach sind die Daten unwiederbringlich verloren!

Für jede dieser Platten geben Sie nun ein:

dd if=/dev/zero of=/dev/sda

wobei /dev/sda sukkzessive durch die Kennungen der Platten ersetzt wird. Der Befehl wird die Festplatten komplett überschreiben und alle darauf befindlichen Daten löschen. Den Bootsektor und eventuelle Bootsektorviren mit eingeschlossen. Das kann je nach Größe der Platten eine ganze Weile dauern, während der scheinbar nichts weiter passiert. Lassen Sie sich nicht davon irritieren.

Den Bootsektor? Hat das etwas damit zutun das ich später eventuell nicht mehr booten kann? Das würde doch bedeuten ich kann mein System nicht mehr aufspielen!?

Habt ihr da noch ein paar nützliche Tipps oder etwas wissenswertes für mich?

thx