Hallo,

ich habe Probleme bei z.B. Battlefield Vietnam, Riddick, u.a.
Alle ca 3 Sekunden ruckt es minimal. Ich poste mal meine Logfile - vielleicht findet ja jemand was, wäre mir echt eine Hilfe.
Mein Antivir XP funktioniert auch nicht mehr, schließt sich sofort wieder nach öffnen.

Logfile of HijackThis v1.99.0
Scan saved at 10:46:00 PM, on 1/23/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\aaa_faber\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\rocco\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://herry/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: ICOOExternal Class - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - C:\Programme\ICOO Loader\addons\icooue.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ICOODManager Class - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - C:\Programme\ICOO Loader\addons\icoou.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [logdirsys] C:\WINDOWS\System32\winhost32expoler.exe
O4 - HKLM\..\Run: [hostdiscx] C:\WINDOWS\System32\cryptwin.exe %srun%
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Config File] C:\config.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {FD5E125D-8FBF-4E01-9559-27D0D01EF058} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {FD5E125D-8FBF-4E01-9559-27D0D01EF058} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B9B6D21-58BE-4900-8D9F-8DBA31274B47}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8B9B6D21-58BE-4900-8D9F-8DBA31274B47}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe

Na, das schaut ja gar nicht gut aus
Überprüfe mal bei http://virusscan.jotti.org/

Zitat:

C:\WINDOWS\System32\winhost32expoler.exe
C:\WINDOWS\System32\cryptwin.exe
C:\config.exe

Falls du die Dateien nicht findest, nimm folgende Einstellungen im Windows-Explorer vor:

Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Thx für die Tipps!

Die Einstellungen waren bereits im Explorer.

Ich kann die 3 "verdächtigen" Dateien im Explorer unter dem angegebenen Pfad trotzdem nicht finden.

Gibt es noch eine Möglichkeit da ran zu kommn?

Zusatz: im Taskmanager rödelt die CPU immer bis 10-16% Auslastung, obwohl kein Prozess angezeigt wird.

Es ist auch möglich, dass die Datein nicht mehr existieren. Meiner Meinung nach handelt(e) es sich dabei mit Sicherheit um Malware. Damit wir wissen was sonst noch auf deinem PC "unterwegs" ist führe dies aus:

Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

File C:\WINDOWS\System32\reginv.dll infected by "Backdoor.Win32.Prorat.191" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\services.exe infected by "Backdoor.Win32.Prorat.19.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winkey.dll infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system\sservice.exe infected by "Backdoor.Win32.Prorat.19.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fservice.exe infected by "Backdoor.Win32.Prorat.19.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\services.exe infected by "Backdoor.Win32.Prorat.19.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\clsobern.isc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\reginv.dll infected by "Backdoor.Win32.Prorat.191" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winkey.dll infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\zippedsr.piz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.


Die hat er alle unter system32 gefunden...kann man da noch was machen, oder bleibt da nur noch format c: ?

Da du unter anderem folgenden Backdoor auf deinem System , solltest du am besten nach Cidres Anleitung vorgehen.
So leids mir tut.

Edit:Fehlerhafte Verlinkung Rückgängig gemacht

ich habe blos auch noch das Problem das AntiVir nicht mehr läuft (auch nicht im Abgesichertem) .

Solch ich AV deinstallieren und einen anderen Virenscanner versuchen (Neuinstallation von AV hat nix gebracht)?

Oder hilft dann echt nur format c:?

Dein System sollte, wie es oben steht neu aufgesetzt werden.
Hatte gerade einen Link falsch gesetzt.Klick nochmal auf "Cidres Anleitung"

Jo THX,

so ein shit

danke für Eure Hilfe!