gemeingefährliche Background Viren >hijakckthis logfile<

Dieses Thema im Forum "Windows" wurde erstellt von Flieger-Ass, 15. April 2007 .

Schlagworte:
  1. 15. April 2007
    Hi !

    Ich habe habe jetzt massive pc-probleme bekommen.

    die äußern sich so:


    -mein pc funktionierte erst nach 10 neustarts wieder so,dass ich etwas machen konnte.

    -da sprogramm "mimlock" macht probleme,wie gibt einfach frei ohne kennwort oder akzepitiert manchaml garkeins mehr.

    -es gibt einen svhost prozess im taskmanager der immer um die 100k schluckt und die cpu sehr ausgelastet is.


    den beende ich immer,damit mein icq überhaupt funktioniert.

    LUSTIG daran: wenn ich VORHER itunes starte kann ich musik hören.

    wenn ich itunes DANACH starte geht keine musik mehr, weder im itunes noch alle anderen winamp etc.

    youtubevideos sind seither IMMER ohne sound.

    ich weiß nicht,ob es and en skins liegt,die ich geladen habe, den
    kurz danach war es so schlimm.

    Die FAQ's von Spotting habe ich beachtet und keine Virengefährdeten skins geladen.


    anbei ist meine aktuelle logfile ( svhost-prozess bereits beendet)
    von den svhosts gibts mehrere, der eine,der beendet werdn muss ist bei kategorie "system"
    wie weiss man denn,was alles viren sind und was nicht?

    ichwill die wirklich entfernen bruache allerdings eine genau anleitung,wie ich vorgehen soll,denn
    ich bin nicht geübt in neuinstallationen/sondermenüs rundum pc's etc.
    :angry:
    -----------------------------------------------------------------------------------------------------------------------------------


    Logfile of HijackThis v1.99.1
    Scan saved at 21:30:35, on 15.04.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\atiptaxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Programme\WLAN Monitor\wlconfig.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\sndvol32.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\QIP\qip.exe
    C:\Programme\WLAN Monitor\accwpac.exe
    C:\Programme\iTunes\iTunes.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Dokumente und Einstellungen\Martin\Desktop\AntiSpyware Programme\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {55AF5679-349E-4FDF-8128-9F16FAA7AAE6} - C:\WINDOWS\system32\WMSUI32d.DLL
    O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing)
    O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
    O4 - HKLM\..\Run: [VSPDXP] C:\Programme\VSPD XP\vspdconfig.exe /quiet
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [htm log bolt web] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\multi soap htm log\eq second.exe
    O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
    O4 - HKCU\..\Run: [noun 1] C:\DOKUME~1\Martin\ANWEND~1\DRAWBA~1\owns inside.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: Lautstärkeregelung.lnk = C:\WINDOWS\system32\sndvol32.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe
    O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
    O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
    O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - MSN Games - Free Online Games
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09bf92203b3bbf2f5705/netzip/RdxIE601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123627549031
    O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123627536968
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - MSN Games - Free Online Games
    O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
    O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O18 - Filter: text/html - {7284FB3D-9B8A-4068-AD26-872B36741E91} - C:\Programme\MessageBlocker\MsgBlock.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
     
    + Multi-Zitat Zitieren
  3. 15. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    Tut mir leid habe jetzt gerade keine Zeit aber jag das File mal hier durch.
    Ein paar schädliche Sachen zeigt er dir dort an 8o .
     
    + Multi-Zitat Zitieren
  4. 15. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    Klingt für mich nicht wirklich nach 'm Virus, sondern eher, dass du Mist gebaut hast (kein Ton mehr bei youtube usw.) und bei deinem HijackThis Logfile sehe ich auch nichts, was nach Virus aussieht.

    Ich würde dir mal raten eine Systemwiederherstellung zu machen (zu dem Zeitpunkt bevor du diese Skins installiert hast) und schauen, ob alles wieder geht. Ansonsten überleg mal, ob du irgendwelche Programme/Treiber/... installiert hast kurz bevor dein PC Probleme gemacht hat.

    mfg,
    m00pd00p
     
    + Multi-Zitat Zitieren
  5. 15. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    Hust,

    schau dir das logfile erneut an.

    also fliegerass, wie ich sehe hat sich seit deinem letzten problem nichts verändert.
    du hast weiterhin die zweifelhaften "eq second.exe" und "owns inside.exe" in deinem autostart.
    und es gibt immer noch den zango eintrag. ...

    wahrscheinlich wirst du auch weiterhin per windows explorer diese nicht finden können, und solange man nicht weiß, was dahinter steckt, kann man nicht gezielt helfen. google selbst liefert inzwischen zwar mehr zu den dateinamen aber nichts definitives und sehr viel anderssprachiges.

    ok, ich mache es einfach für dich

    FORMATIERE

    jmd beizubringen, wie es jetzt weitergeht würde länger dauern als den virus zu identifizieren, und geeignete entfernungsmaßnahmen verständlich zu machen.

    wenn du das nicht willst, wende dich mit exakt diesem ersten post an dieses forum.
    Viren, Trojaner & Malware Forum - Security Forum
    die leute dort(, vor allen dingen der user sabrina) sind um einiges besser wenn es darum geht hijackthislogfiles auszuwerten, und die richtigen schritte zur entfernung zu treffen.

    nur ein paar tips dazu.

    1. erstelle das logfile komplett, ohne einen prozess vorher beendet zu haben.

    2. der svhost - prozess basiert auf einer datei. diese datei testest du bei Jotti online malware scan oder virustotal online scan und die ergebnisse hängst du dort dran.

    3. wenn du skins geladen hast, musst du schon sagen von wo. es reicht nicht, wenn du sagst wo du nicht geladen hast. außerdem musst du sagen, wie du die skins eingebunden hast. (ich nehme mal an durch ein patchen der uxtheme.dll. aber dies sind kleine details, die auch helfen können.

    4. meine faqs können nur einen pc schützen, der sauber ist. wenn ein bereits infizierter pc damit behandelt wird, helfen sie auch nicht mehr.

    mfg
     
    + Multi-Zitat Zitieren
  6. 16. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    1. Frage:wie mache ich die datei ausfindig,die für den schlechten svhost-prozess zuständig ist?
    2. Frage: Wenn ich formatieren soll,dann brauche ich einen Tipp,wie ich all meine Musik,Filme,Bilder und Dokumente sichern kann... Da brauche ich theoretisch eine Festplatte,auf die alles kopiert werden kann...

    zu den skins:

    Ich habe die uxtheme gepatched unter dem link,den Du angegeben hast.
    ich habe 3 original windows skins geladen und den rest von devientart.
    da hast du gesagt,dass man risikofrei laden kann.
    bei den anderen seiten,wo du empfohlen hast, zu testen (bei jotti und co.) habe
    ich erst garnicht geladen.

    Ich werde jetzt also eine neue Logfile erstellen und in diesem Forum eintragen.

    eine systemwiderherstellung kann ich nicht machen,da kein einziger punkt vorhanden ist.
    (geiler virus ,ne?)
     
    + Multi-Zitat Zitieren
  7. 16. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    sehr wahrscheinlich hier

    C:\WINDOWS\System32\svhost.exe

    aber das würdest du dann auch im hijackthislogfile sehen können.

    2. ich nehme mal an, du hast nur eine partition.

    dann gilt es, zunächst alle existentiell wichtige daten werden auf DVD gebrannt.
    alles für schule/beruf/finanzen/ etc etc

    das ist etwas, dass man relativ häufig machen sollte

    danach schaut man sich in meiner faq den beitrag zum partitionieren an.
    befolgt die tips, die man vor der partitionierung der systempartition machen soll
    - defragmentieren, pc nach fehlern durchsuchen, etc
    und man verkleinert die systempartition mit der gparted cd
    und erstellt von dem freien platz eine neue partition
    dann können soviele daten wie möglich rübergeschoben werden.
    danach der vorgang wieder von vorne.
    defragmentieren, freien speicher dabei nach hinten
    und mit gparted die nächste partition von der systempartition abkanzeln.

    dabei dürfte normalerweise nichts passieren. garantieren kann man es aber nicht.

    wenn du dann windows neu installierst musst du nur die systempartition löschen.

    wichtig, KEINE programme auf diesen partitionen sichern.
    und bevor du die partition dann mit dem explorer nach der neuinstallation öffnest mit einem antiviren und antispyware scanner durchsuchen. welcher ist dabei gal.
     
    + Multi-Zitat Zitieren
  8. 17. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    So,also in dem Security-forum hat mir niemand geantwortet...

    Hier mein Thread PC-Spinnerei nimmt katastr. Ausmaß an(Symptome/hijackfile anbei) - Spyware Hilfe

    Partitionen gestalten sich schwierig,da ich von 60GB nur ca.500mb noch frei habe.

    Kann ich nicht einfach alle Daten auf ne Externe sichern und dann einfach das windows neu installen?

    Ich habe mir den Selbstversuch von Spotting mal durchgelesen und werde erst alle Sicherheitsmaßnahmen treffen,bevor ich dann den Pc das erste Mal ans Netz hänge.

    Übrigens funktioniert mein PC mittlerweile wieder ganz gut...das is sehr seltsam
    fragt sich auch wie lange noch...

    Könnte noch einen Tipp gebrauchen,was ich beachten soll, damit mein PC nicht gleich wieder so eine Malware bekommt,sobald das neue Windows wieder drauf ist.
     
    + Multi-Zitat Zitieren
  9. 17. April 2007
    AW: gemeingefährliche Background Viren >hijakckthis logfile<

    natürlich kannst du auch alles auf eine externe festplatte ziehen.

    ich gebe dir aber außerdem den tipp, mindestens 15 % (bzw. ungefähr 2 GB) freien speicher auf der systempartition übrig zu behalten.

    der artikel in der faq nennt sich

    Hier das wesentlichste zusammengefasst.

    mfg

    edit, und wenn du formatiert hast, gebe den leuten im forum bitte eine meldung. das sorgt bei manchen von ihnen für ein schlechtes gewissen, denn du hast wieder reingeschaut, sie aber nicht versucht zu helfen. -> beim nächsten mal werden sie helfen.
     
    + Multi-Zitat Zitieren
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten