Hallo Zusammen,

eigentlich kenne ich mich "relativ" gut mit Pcs aus nur jetzt bin ich fast am verzweifeln.
Ich habe AntiVir als Virenscanner nur dieser muss ich immer manuell aktivieren beim Neustart egal was ich mache. Er ist trotzdem nach jedem neustart deaktiviert (Antivir Guard).
Neuinstallationen usw brachten keine Besserung!
Suchlauf brachte keine Virenfunde
Wenn ich AVG installiere und den Pc neustarte bekomme ich den Pc nur noch im Wiederherstellungsmodus zum starten oder im Abgesicherten Modus.
Also alles sehr verdächtig.

Was kann ich also tun?

Ich hoffe mir kann irgendwer weiterhelfen weil ich den Pc doch tag täglich benutzen muss und Angst habe das er irgendwann gar nicht mehr anspringt weil alles zerhauen wurde und meine Daten futsch sind.

@ Stubenfliege

Zitat:

Ich habe AntiVir als Virenscanner nur dieser muss ich immer manuell aktivieren beim Neustart egal was ich mache.

Schau mal unter Start --> Einstellungen --> Systemsteuerung --> Verwaltung --> Doppelklick --> Dienste -->Doppelklick
Bei dem Dienst AntiVirService sollte Automatisch ausgewählt sein, wenn nicht darauf doppelklicken und ändern.

Es kann aber trotzdem auch mit einem Virus zusammenhängen erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Zitat:

Zitat von Gigamail

@ Stubenfliege


Schau mal unter Start --> Einstellungen --> Systemsteuerung --> Verwaltung --> Doppelklick --> Dienste -->Doppelklick
Bei dem Dienst AntiVirService sollte Automatisch ausgewählt sein, wenn nicht darauf doppelklicken und ändern.

Also das ist auf automatisch gewesen.
Das andere werde ich jetzt mal machen und das Ergebniss dann Posten.
Bin schon gespannt was da dann rauskommt!

Logfile of HijackThis v1.99.1
Scan saved at 19:21:21, on 15.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\ATKKBService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\Mozilla Firefox\firefox.exe
I:\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_01\bin\javaw.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [NBJ] "F:\Ahead\Nero BackItUp\nbj.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116008351959
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


So das wars ja schon.
Wie ich sehe stimmt da was nicht mit dem Virenscanner, nur was ist das Problem nur??

Problem liegt hier

Zitat:

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

---> Added by the W32/RBOT-XB WORM!
Das ist ein aktiver Backdoor und um wieder ein sicheres System zu haben solltest du dein System neu aufsetzen
Schau auch mal hier
oder hier
Hilfe zum Neuaufsetzen

Anderst habe ich gar keine Chance außer neu Aufsetzen?

IMHO also nicht, es kann keiner genau sagen was bis jetzt schon an deinem System verändert wurde (oder nicht) um wieder sicher unterwegs zu sein solltest du deine Daten sichern dabei auf ausführbare Dateien verzichten und dann Neuaufsetzen und wie in der Anleitung beschrieben vor der ersten Internetbegegnung absichern. Hier mal noch was der Virus alles kann:

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
lese mal über Kompromittierung

Zitat:

Zitat von Gigamail

Problem liegt hier ---> Added by the W32/RBOT-XB WORM!
Das ist ein aktiver Backdoor

Genaugenommen ist das "nur" der Starteintrag. Er zeigt aber, dass ein Backdoor zumindest aktiv gewesen ist! An der Empfehlung zur Neuinstallation ändert das nichts.

Gruß
Yopie

Das ist echt bitter, dann weiß ich ja was ich am wochenende tun muss :-(

Wie kann man sich denn sowas einfangen?
Ich hatte noch nie einen Virus oder sonstiges deswegen frag ich.

Seit wann hast du SP2 und alle anderen Updates installiert?

Gruß
Yopie

Ich habe den Pc seit knapp 3 Wochen. SP2 / + alle Updates wurde sofort mit ANtiVir installiert.
Das Problem ist mir dann vor 2 wochen mal aufgefallen.
Hoffe ich komm noch mal drum herum und kann ihn so löschen und dann nochmal alles testen. Vielleicht hatte ich dann nochmal glück.

Ich sehe übrigens keine Infektion aufgrund der CThelper. Die gehört wohl eher zur Soundblaster...

Gruß
Yopie

Nur wo kommt dann mein Problem her? Es kann ja nicht einfach so da sein oder?!

bzw. kann ich es irgendwie noch testen ob mein System befallen ist?

Ich lass gered Bitdefender (der Onlinescanner) durchlaufen vielleicht wird da was gefunden.

Was habt Ihr noch für Tipps?

Du kannst es mal mit http://www.trojaner-board.com/showthread.php?t=17492 versuchen.

Gruß
Yopie

Ich verstehe das jetzt auch nicht CTHELPER.EXE die gehört doch zu Creative und ich glaube kaum das die einen Backdoor Trojaner in ihrer Software haben.

Aber du kannst ja die CTHELPER.EXE bei JOTTI überprüfen lassen.