#1 15. April 2007 Hi ! Ich habe habe jetzt massive pc-probleme bekommen. die äußern sich so: -mein pc funktionierte erst nach 10 neustarts wieder so,dass ich etwas machen konnte. -da sprogramm "mimlock" macht probleme,wie gibt einfach frei ohne kennwort oder akzepitiert manchaml garkeins mehr. -es gibt einen svhost prozess im taskmanager der immer um die 100k schluckt und die cpu sehr ausgelastet is. den beende ich immer,damit mein icq überhaupt funktioniert. LUSTIG daran: wenn ich VORHER itunes starte kann ich musik hören. wenn ich itunes DANACH starte geht keine musik mehr, weder im itunes noch alle anderen winamp etc. youtubevideos sind seither IMMER ohne sound. ich weiß nicht,ob es and en skins liegt,die ich geladen habe, den kurz danach war es so schlimm. Die FAQ's von Spotting habe ich beachtet und keine Virengefährdeten skins geladen. anbei ist meine aktuelle logfile ( svhost-prozess bereits beendet) von den svhosts gibts mehrere, der eine,der beendet werdn muss ist bei kategorie "system" wie weiss man denn,was alles viren sind und was nicht? ichwill die wirklich entfernen bruache allerdings eine genau anleitung,wie ich vorgehen soll,denn ich bin nicht geübt in neuinstallationen/sondermenüs rundum pc's etc. :angry: ----------------------------------------------------------------------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 21:30:35, on 15.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\atiptaxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\wdfmgr.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\sndvol32.exe C:\WINDOWS\System32\alg.exe C:\Programme\QIP\qip.exe C:\Programme\WLAN Monitor\accwpac.exe C:\Programme\iTunes\iTunes.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Martin\Desktop\AntiSpyware Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = Free-Mail, Nachrichten & Unterhaltung - Startseite - Arcor Magazin R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {55AF5679-349E-4FDF-8128-9F16FAA7AAE6} - C:\WINDOWS\system32\WMSUI32d.DLL O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing) O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [VSPDXP] C:\Programme\VSPD XP\vspdconfig.exe /quiet O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [htm log bolt web] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\multi soap htm log\eq second.exe O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKCU\..\Run: [noun 1] C:\DOKUME~1\Martin\ANWEND~1\DRAWBA~1\owns inside.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Lautstärkeregelung.lnk = C:\WINDOWS\system32\sndvol32.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - MSN Games - Free Online Games O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09bf92203b3bbf2f5705/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123627549031 O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123627536968 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - MSN Games - Free Online Games O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - {7284FB3D-9B8A-4068-AD26-872B36741E91} - C:\Programme\MessageBlocker\MsgBlock.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe + Multi-Zitat Zitieren
#2 15. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< Tut mir leid habe jetzt gerade keine Zeit aber jag das File mal hier durch. Ein paar schädliche Sachen zeigt er dir dort an 8o . + Multi-Zitat Zitieren
#3 15. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< Klingt für mich nicht wirklich nach 'm Virus, sondern eher, dass du Mist gebaut hast (kein Ton mehr bei youtube usw.) und bei deinem HijackThis Logfile sehe ich auch nichts, was nach Virus aussieht. Ich würde dir mal raten eine Systemwiederherstellung zu machen (zu dem Zeitpunkt bevor du diese Skins installiert hast) und schauen, ob alles wieder geht. Ansonsten überleg mal, ob du irgendwelche Programme/Treiber/... installiert hast kurz bevor dein PC Probleme gemacht hat. mfg, m00pd00p + Multi-Zitat Zitieren
#4 15. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< Hust, schau dir das logfile erneut an. also fliegerass, wie ich sehe hat sich seit deinem letzten problem nichts verändert. du hast weiterhin die zweifelhaften "eq second.exe" und "owns inside.exe" in deinem autostart. und es gibt immer noch den zango eintrag. ... wahrscheinlich wirst du auch weiterhin per windows explorer diese nicht finden können, und solange man nicht weiß, was dahinter steckt, kann man nicht gezielt helfen. google selbst liefert inzwischen zwar mehr zu den dateinamen aber nichts definitives und sehr viel anderssprachiges. ok, ich mache es einfach für dich FORMATIERE jmd beizubringen, wie es jetzt weitergeht würde länger dauern als den virus zu identifizieren, und geeignete entfernungsmaßnahmen verständlich zu machen. wenn du das nicht willst, wende dich mit exakt diesem ersten post an dieses forum. Viren, Trojaner & Malware Forum - Security Forum die leute dort(, vor allen dingen der user sabrina) sind um einiges besser wenn es darum geht hijackthislogfiles auszuwerten, und die richtigen schritte zur entfernung zu treffen. nur ein paar tips dazu. 1. erstelle das logfile komplett, ohne einen prozess vorher beendet zu haben. 2. der svhost - prozess basiert auf einer datei. diese datei testest du bei Jotti online malware scan oder virustotal online scan und die ergebnisse hängst du dort dran. 3. wenn du skins geladen hast, musst du schon sagen von wo. es reicht nicht, wenn du sagst wo du nicht geladen hast. außerdem musst du sagen, wie du die skins eingebunden hast. (ich nehme mal an durch ein patchen der uxtheme.dll. aber dies sind kleine details, die auch helfen können. 4. meine faqs können nur einen pc schützen, der sauber ist. wenn ein bereits infizierter pc damit behandelt wird, helfen sie auch nicht mehr. mfg + Multi-Zitat Zitieren
#5 16. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< 1. Frage:wie mache ich die datei ausfindig,die für den schlechten svhost-prozess zuständig ist? 2. Frage: Wenn ich formatieren soll,dann brauche ich einen Tipp,wie ich all meine Musik,Filme,Bilder und Dokumente sichern kann... Da brauche ich theoretisch eine Festplatte,auf die alles kopiert werden kann... zu den skins: Ich habe die uxtheme gepatched unter dem link,den Du angegeben hast. ich habe 3 original windows skins geladen und den rest von devientart. da hast du gesagt,dass man risikofrei laden kann. bei den anderen seiten,wo du empfohlen hast, zu testen (bei jotti und co.) habe ich erst garnicht geladen. Ich werde jetzt also eine neue Logfile erstellen und in diesem Forum eintragen. eine systemwiderherstellung kann ich nicht machen,da kein einziger punkt vorhanden ist. (geiler virus ,ne?) + Multi-Zitat Zitieren
#6 16. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< sehr wahrscheinlich hier C:\WINDOWS\System32\svhost.exe aber das würdest du dann auch im hijackthislogfile sehen können. 2. ich nehme mal an, du hast nur eine partition. dann gilt es, zunächst alle existentiell wichtige daten werden auf DVD gebrannt. alles für schule/beruf/finanzen/ etc etc das ist etwas, dass man relativ häufig machen sollte danach schaut man sich in meiner faq den beitrag zum partitionieren an. befolgt die tips, die man vor der partitionierung der systempartition machen soll - defragmentieren, pc nach fehlern durchsuchen, etc und man verkleinert die systempartition mit der gparted cd und erstellt von dem freien platz eine neue partition dann können soviele daten wie möglich rübergeschoben werden. danach der vorgang wieder von vorne. defragmentieren, freien speicher dabei nach hinten und mit gparted die nächste partition von der systempartition abkanzeln. dabei dürfte normalerweise nichts passieren. garantieren kann man es aber nicht. wenn du dann windows neu installierst musst du nur die systempartition löschen. wichtig, KEINE programme auf diesen partitionen sichern. und bevor du die partition dann mit dem explorer nach der neuinstallation öffnest mit einem antiviren und antispyware scanner durchsuchen. welcher ist dabei gal. + Multi-Zitat Zitieren
#7 17. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< So,also in dem Security-forum hat mir niemand geantwortet... Hier mein Thread PC-Spinnerei nimmt katastr. Ausmaß an(Symptome/hijackfile anbei) - Spyware Hilfe Partitionen gestalten sich schwierig,da ich von 60GB nur ca.500mb noch frei habe. Kann ich nicht einfach alle Daten auf ne Externe sichern und dann einfach das windows neu installen? Ich habe mir den Selbstversuch von Spotting mal durchgelesen und werde erst alle Sicherheitsmaßnahmen treffen,bevor ich dann den Pc das erste Mal ans Netz hänge. Übrigens funktioniert mein PC mittlerweile wieder ganz gut...das is sehr seltsam fragt sich auch wie lange noch... Könnte noch einen Tipp gebrauchen,was ich beachten soll, damit mein PC nicht gleich wieder so eine Malware bekommt,sobald das neue Windows wieder drauf ist. + Multi-Zitat Zitieren
#8 17. April 2007 AW: gemeingefährliche Background Viren >hijakckthis logfile< natürlich kannst du auch alles auf eine externe festplatte ziehen. ich gebe dir aber außerdem den tipp, mindestens 15 % (bzw. ungefähr 2 GB) freien speicher auf der systempartition übrig zu behalten. der artikel in der faq nennt sich Hier das wesentlichste zusammengefasst. mfg edit, und wenn du formatiert hast, gebe den leuten im forum bitte eine meldung. das sorgt bei manchen von ihnen für ein schlechtes gewissen, denn du hast wieder reingeschaut, sie aber nicht versucht zu helfen. -> beim nächsten mal werden sie helfen. + Multi-Zitat Zitieren