Eins vorneweg: Ich habe nur Anwender-Erfahrung bei Computern.
Mit Viren u.dgl. habe ich bisher (zum Glück) nichts zu tun gehabt. Ich habe den Norton Antivirus 2003 installiert und halte die Virendefinitionen stets auf dem neuesten Stand. Das klappte bisher ganz gut.

Seit kurzem habe ich aber das folgende Problem: Nach einem Weilchen springt die CPU-Auslastung aus heiterem Himmel auf 100% und bleibt dort (im Leerlauf!). Gemäss Task-Manager verursacht der Prozess "rundll32.exe" 99% der CPU-Auslastung. Beheben lässt sich dies nur durch einen Neustart - beim Herunterfahren kommt dann jeweils das Fenster "Programm beenden...", obwohl kein Programm offen war.

Was könnte die Ursache sein? Virus? Trojaner?
Der Norton Antivirus findet nichts...
Vielen Dank für die Hilfe!

Also downlaod hir mal das Programm
(hijackthis) runter:

http://www.net-integration.net/tools/hijackthis.html

lass es durch laufen und speicher das lodfiel und poste es hier!!!

Zitat:

Zitat von RoCk_Me

Also downlaod hir mal das Programm
(hijackthis) runter:

http://www.net-integration.net/tools/hijackthis.html

lass es durch laufen und speicher das lodfiel und poste es hier!!!

sorry falsch geschreiben:

http://www.net-integration.net/tools/hijackthis.html

Also das sieht so aus:

Logfile of HijackThis v1.98.2
Scan saved at 15:32:19, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\WINDOWS\System32\Drivers\SAP\FD.exe
C:\Programme\Xpoint\PE\Skin\rrpcsb.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Xpoint\PE\pcrecsa.exe
C:\Programme\Handspring\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Xpoint\xpadmin\xpadmin.exe
C:\PROGRA~1\Xpoint\agent\Xpagent.exe
C:\PROGRA~1\Xpoint\EEClient\xpclient.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\Xpoint\SAS\jre\bin\javaw.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
F:\Antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nzz.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [frymxins] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [Rapid Restore] C:\Programme\Xpoint\PE\Skin\rrpcsb.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Handspring\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44297DA} - http://bannerfarm.ace.advertising.co...1141040727.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11e7dae1...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EA7D44-4496-4A28-9356-A8A3A6A4B74E}: Domain = unisg.ch
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAAB0DB-3528-4CE4-93C7-9DB75A82283A}: Domain = unisg.ch

Jetzt kannst du auf:
http://www.hijackthis.de/index.php

und dein ergebnis in diesen feld kopieren !!
!!!

Habe ich gemacht:

viele gut, viele unbekannte, zwei unnötige (aber ungefährlich), drei eventuell böse - von letzteren kann ich zwei ausschliessen.
dieser sieht mir aber suspekt aus:

O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44297DA} - http://bannerfarm.ace.advertising.co...er1141040727.E XE

Was soll ich tun?

Warum ist mein Log eigentlich so lang? Die anderen sind meist deutlich kürzer -habe ich so viele laufende Prozesse? Wie kann ich das ändern?

Vielen Dank für die Hilfe!

Hallo Marcus,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

--> bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PS W.EXE
C:\Programme\Xpoint\PE\Skin\rrpcsb.exe
C:\Programme\Xpoint\PE\pcrecsa.exe

C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\TpKmpSVC.exe

C:\PROGRA~1\Xpoint\xpadmin\xpadmin.exe
C:\PROGRA~1\Xpoint\agent\Xpagent.exe
C:\PROGRA~1\Xpoint\EEClient\xpclient.exe

--> teile uns das Ergebnis der Überprüfung mit.

--> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.nzz.ch/
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44297DA} - h**p://bannerfarm.ace.advertising.c...r1141040727.EXE

--> erst genau überprüfen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EA7D44-4496-4A28-9356-A8A3A6A4B74E}: Domain = unisg.ch

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

--> Erstelle ein neues Hijack This Logfile und poste es.

SD

Werde ich machen - danke.

Meine Uni hat mal ein mail verschickt und "dringend davon abgeraten", das SP2 herunterzuladen, da sonst diverse Programme nicht mehr funktionieren würden.

Was heisst "fixen": Da ich einen IBM habe, kommt mir "IBM Java Console" eigentlich vertrauenswürdig vor...

Die Domain "unisg.ch" kenne ich - ist die Domain meiner Uni - trotzdem fixen?

Danke.

Habe noch eScan laufen lassen - ergab das folgende:

File C:\...\Setup.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken
File C:\...\downloader.exe infected by "TrojanDownloader.Win32.Mosw" Virus. Action Taken: No Action Taken.
File C:\...\regpe.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken.
File C:\...\mvmpc.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken.

Was ist zu tun?
Danke.

Betreffend:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.nzz.ch/

"www.nzz.ch" ist schon meine Startpage (Neue Zürcher Zeitung, bin Schweizer) - trotzdem fixen?

Merci.

@ Marcus,

was hat die Untersuchung der von mir zum prüfen genannten Dateien ergeben? Bitte teile uns das Ergebnis des Online-Scans mit und lösche diese Datein vorläufig (noch) nicht.

Zitat:

Zitat von Marcus

Meine Uni hat mal ein mail verschickt und "dringend davon abgeraten", das SP2 herunterzuladen, da sonst diverse Programme nicht mehr funktionieren würden.

--> dann solltest Du Dich an den Rat der Uni halten.

Zitat:

Zitat von Marcus

Was heisst "fixen":

--> Anleitung zu HijackThis

Zitat:

Zitat von Marcus

Da ich einen IBM habe, kommt mir "IBM Java Console" eigentlich vertrauenswürdig vor...

--> O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file), File ist unvollständig, bitte fixen.

Zitat:

Zitat von Marcus

1) Die Domain "unisg.ch" kenne ich - ist die Domain meiner Uni - trotzdem fixen?
2) "www.nzz.ch" ist schon meine Startpage (Neue Zürcher Zeitung, bin Schweizer) - trotzdem fixen?

--> nein, bitte nicht fixen, da sie bekannt ist und noch gebraucht wird.

Zitat:

Zitat von Marcus

File C:\...\Setup.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken
File C:\...\regpe.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken.
File C:\...\mvmpc.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken.
Danke.

--> zeitliche Bestände, brauchen nicht gelöscht werden.

Zitat:

Zitat von Marcus

File C:\...\downloader.exe infected by "TrojanDownloader.Win32.Mosw" Virus. Action Taken: No Action Taken.

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

SD

Von den untersuchten Dateien waren alle ok, ausser zwei:

1. C:\Programme\BroadJump\Client Foundation\CFD.exe:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)

2. C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PS W.EXE:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Was ist zu tun?

Gruss & Dank
Marcus

Nichts, die zwei Dateien sind schon OK.

OK, habe soweit alle Tipps befolgt. Die CPU-Auslastung (100%) ist bis jetzt nicht mehr aufgetaucht - mal sehen, ob's anhält.

Jedenfalls herzlichen Dank für die Tipps!
Super Forum!

Grüsse aus der Schweiz
Marcus

Noch eine Frage:
Der Norton Antivirus soll ja nur ungenügend schützen (warum ist er dann eigentlich noch Marktführer...?).

Welches Programm soll ich mir zulegen, wenn ich "eines für alles" will, das mich wirksam vor jeglicher Malware (das ist doch der Oberbegriff für Viren, Trojaner, Würmer u.dgl., oder?) schützt, einfach (!) zu bedienen ist und zudem mein System nicht völlig ausbremst? Oder habe ich da gleich drei Wünsche auf einmal? Gibt es da ein Kinder Überraschungs-Ei Pendant?

Wenn nicht, welche Kombination aus Programmen ist zu empfehlen?

Vielen Dank für die Hilfe
Marcus