hallo liebe hijack-gelehrten,

seit einiger zeit habe ich beim herunterfahren meines systems ein eigenartiges problem: nach dem klick auf "Ausschalten" schließen sich alle evtl noch offenen fenster und programme und es erscheint eine fehlermeldung mit der information, die anwendungen "pv.exe" bzw. "cmd.exe" können aufgrund irgendeiner .dll-datei nicht initialisiert werden...
hab schon ausgiebig gegoogelt und auch hier im forum gesucht, konnte aber nichts finden, was mir weitergeholfen hätte.
hier mein log:

Logfile of HijackThis v1.99.1
Scan saved at 17:15:18, on 21.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\NetMeter\NetMeter.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\WINDOWS\update\start.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\*°*°*°*°*°*°*°\Desktop\HijackThis.exe
C:\WINDOWS\update\pv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h°°p://w°w.google.d°/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120415674359
O17 - HKLM\System\CCS\Services\Tcpip\..\{852340CD-D58B-4EA5-BD5E-35B81C3A1AE0}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


DANKE schonmal

Hallo,

scann die Dateien online bei Jotti und/oder virustotal ( in meiner Signatur verlinkt), könnte der hier sein, was sehr schlecht wäre.

Poste das Ergbnis hier.

Gruß

Schrulli

danke für den hinweis:



Datei: pv.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
PrcView gefunden
Kaspersky Anti-Virus
not-a-virus:Monitor.Win32.PrcView.3724 gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

UND

Datei: cmd.exe
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden


und was mach ich nun mit der pv.exe?

Hallo,

was ist damit?

C:\Programme\PeerGuardian2\pg2.exe

Hast Du folgende Dateien gescannt

PRISMSTA.EXE
C:\WINDOWS\system32\ntvdm.exe

wenn nein mach es bitte noch.
Die pv.exe kannst Du löschen.

[edit]hallo raman [/edit]

Gruß

Schrulli

Nimm mal diesen Eintrag mit Hilfe von HijackThis raus,
O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat
starte neu und schreib, was sich alles in diesem Ordner befindet:
C:\WINDOWS\update

Die ess.bat wird der Grund sein, das cmd.exe und ntvdm.exe laufen.....

nun:

Datei: ntvdm.exe
Status: OK

Datei: PRISMSTA.exe
Status: OK

Datei: pg2.exe
Status: INFIZIERT/MALWARE
>VBA32 Backdoor.Win32.PcClient.cm gefunden

hätt ich nie gedacht, in peer guardian?! soll ich das jetzt neuinstallieren, drüberinstallieren, ganz weglassen?

das ursprüngliche problem scheint nun aber tatsächlich behoben zu sein! ich bedanke mich ganz herzlich bei euch beiden

Hallo,

kann sich um einen false positive handeln.
Wo hast Du die Datei scannen lassen?

Check sie bei Jotti oder virustotal gegen, beide in meiner Signatur verlinkt.

Poste das Ergbnis.

Gruß

Schrulli

jotti sagt (übrigens anderes ergebnis als beim ersten scan, den ich in meinem letzten post teilweise zitiert hatte):

Datei: pg2.exe
Auslastung:
0% 100%
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Backdoor.PcClient.30 (paranoid heuristics) gefunden (mögliche Variante)


virustotal sagt:

This is a report processed by VirusTotal on 03/24/2006 at 17:39:00 (CET) after scanning the file "pg2.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.24.2006 no virus found
Avast 4.6.695.0 03.24.2006 no virus found
AVG 386 03.24.2006 no virus found
Avira 6.34.0.54 03.24.2006 no virus found
BitDefender 7.2 03.24.2006 no virus found
CAT-QuickHeal 8.00 03.24.2006 no virus found
ClamAV devel-20060202 03.23.2006 no virus found
DrWeb 4.33 03.24.2006 no virus found
eTrust-InoculateIT 23.71.110 03.23.2006 no virus found
eTrust-Vet 12.4.2133 03.24.2006 no virus found
Ewido 3.5 03.24.2006 no virus found
Fortinet 2.71.0.0 03.24.2006 no virus found
F-Prot 3.16c 03.23.2006 no virus found
Ikarus 0.2.59.0 03.24.2006 no virus found
Kaspersky 4.0.2.24 03.24.2006 no virus found
McAfee 4725 03.23.2006 no virus found
NOD32v2 1.1456 03.23.2006 no virus found
Norman 5.70.10 03.24.2006 no virus found
Panda 9.0.0.4 03.24.2006 no virus found
Sophos 4.03.0 03.24.2006 no virus found
Symantec 8.0 03.24.2006 no virus found
TheHacker 5.9.7.119 03.24.2006 no virus found
UNA 1.83 03.23.2006 no virus found
VBA32 3.10.5 03.24.2006 no virus found

Hallo,

sieht ok aus, dennoch solltest Du Dir bewußt sein, das solcherlei Programme immer viel Übel mit sich bringen, auch wenn sie selbst keine Sicherheitslücken aufmachen ( Hallo wildone )

Gruß

Schrulli