hullo alle zusammen :0

mein PC war von anfang an ein pures virennest, und ich habe blind auf norton vertraut, und dachte mir wird schon so klappen. keine firewall, ausser die von dem sicherheitscenter, die hier bei winXP pro dabei war. bis ich dann angefangen habe mir wirklich gedanken um mein system zu machen, bzw. eigentlich sind die heftigsten probleme von frueher bestens beseitigt. wenn ich so in meinen eigenen HJT log (man kann aber auch nie sicher sein...) schau, und die programme alle einzeln durchgehe, find ich nichts, was ich nicht kenne/bedenklich finde.
hab nun KAV6.0 und zonealarm (gratisversion).

auf jedenfall, bei mir verhaelt sich die explorer.exe "C:\WINDOWS\Explorer.EXE" seltsam; wenn der computer fuer eine weile still steht, dann faengt der richtig laut zum laden an, und sobald ich ran gehe, die maus bewege, oder schnell den taskmanager aufmache um reinzuschaun (geht sehr, sehr schnell), dann braucht die glatt volle 50% der CPU, und ich frage mich, was zur hoelle laedt der bitte?
der PC steht ja still, bildschirmschoner oder dergleichen habe ich ueberhaupt keine aktiviert, das einzige, was ist, dass der monitor automatisch sich nach ner stunde ausschaltet. aber das massive laden geht ja schon ab und zu nach 15 minuten schon los.
aber das passiert irgendwie nicht immer, nur hier und da; aber nur wenn der pc still steht.

neben dem ganzen, ich hab ja auch xampp ab und an um zu arbeiten, da faengt der rechner ploetzlich dauernd an zum laden, und wenn ich in den taskmanager schaue, dann springt die pv.exe wortwoertlich wie n flummi durch die ganze programmliste. schliesst sich, taucht dort auf, schliesst sich, taucht da auf etc. aber innerhalb von sekunden und das konstant, dem koennen meine augen fast kaum folgen. und das verursacht natuerlich ziemlich viel rumgelade und verzoegerung um ganzen system. ich weiss ja nicht, ehrlichgesagt, wofuer die pv.exe dient, aber im verzeichnis apache/bin muesste sie eigentlich dort genau liegen, wo sie sollte. nur das verhalten find ich...komisch. und ich hab irgendwo gelesen, dass es sich um einen backdoor oder so handelt, aber daran glaub ich nicht so richtig, nur das verhalten..?!
wenn das ein xampp/apache internes problem ist...uhh, einfach ignorieren.

was mich jedenfalls interessiert ist, was da mit explorer.exe los is, und ueberhaupt, das ist die einzige datei, bei der die endung in caps ist...und ach, was auch immer. bin dankbar fuer jede hilfe, und wie lauft das mim HJT log posten, nur zur sicherheit - ich hab hier so viele seltsame keys aber im log drinnen, fallen die unter persoenliche daten, die ich rausschneiden sollte?

@SRV

Zitat:

mein PC war von anfang an ein pures virennest

daran glaubst du selbst nicht wirklich: jeder PC ist von Anfang an sauber.

Zitat:

ich habe blind auf norton vertraut

Klar, Norton ist nicht das Beste, aber man darf keinem Antivirus-Programm wirklich vertrauen, KAV6 inklusive. Mehr dazu: http://cidres-security.de/virenscanner.html

Zitat:

keine firewall, ausser die von dem sicherheitscenter, die hier bei winXP pro dabei war.

Diese reicht völlig aus, sobald man sich für eine Desktop-Firewall generell entscheidet. ZA ist übrigens IMO die schlechteste Lösung, die man sich leisten kann. Mehr dazu: http://cidres-security.de/firewall.html

Zitat:

was mich jedenfalls interessiert ist, was da mit explorer.exe los ist

Aus deiner Beschreibung lässt es leider nicht eindeutig festzustellen. Ein HJT-Log wäre vllt. hier nicht schlecht.

erstmal danke fuer die antwort.

hnn, sagen wir; das war kein direkter "anfang", aber als ich den PC wirklich fuer die arbeit zu verwenden begonnen habe, ist mir aufgefallen wie schnell ich viren uebers internet mir zuvor eingefangen habe.

beim identifizieren von einzelnen verdaechtigen datein habe ich online scanner verwendet; bin auch schon durch einige virenscanner bisjetzt durchgegangen in der zeit. bin grade so am "testen" von kapersky, ich spring sehr schnell ab. hab bevor ne weile lang auf antivir auch vertraut.

anbei, hier nun der HJT log-

Logfile of HijackThis v1.99.1
Scan saved at 16:05:26, on 30.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Adobe\Photoshop CS\Photoshop.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [[miranda IM webpage URL]
R3 - URLSearchHook: Yahoo! Toolbar - {xxx-xxx-xxx} - (no file)
O2 - BHO: AcroIEHlprObj Class - {xxx-xxx-xxx} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {xxx-xxx-xxx} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe [[wacom grafik tablet]]
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {xxx-xxx-xxx} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {xxx-xxx-xxx1} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {xxx-xxx-xxx} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {xxx-xxx-xxx} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {xxx-xxx-xxx} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {xxx-xxx-xxx} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {xxx-xxx-xxx} (DeskUpdate - Activex Control) - [[link zur fujitsu siemens page]]
O17 - HKLM\System\CCS\Services\Tcpip\..\{xxx-xxx-xxx}: NameServer = [[IP,IP]]
O18 - Protocol: msnim - {xxx-xxx-xxx} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Dokumente und Einstellungen\---\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - C:\Dokumente und Einstellungen\---\xampp\mysql\bin\mysqld-nt.exe" "--defaults-file=C:\Dokumente und Einstellungen\---\xampp\mysql\bin\my.cnf" mysql (file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Dokumente und Einstellungen\---\service.exe

@SRV

Zitat:

als ich den PC wirklich fuer die arbeit zu verwenden begonnen habe, ist mir aufgefallen wie schnell ich viren uebers internet mir zuvor eingefangen habe.

Ja, es geht ziemlich schnell, wenn man für einen PC, der für Arbeit verwendet werden soll, die Spielzeuge, wie Miranda und MSN-Messenger betreibt.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{xxx-xxx-xxx}: NameServer = [[IP,IP]]

Geheimhaltung ist immer gut, dann aber könntest du diese Zeile beim Posten komplett weglassen.
Im Log habe ich nichts Auffälliges entdeckt. Wenn du viel Zeit hast - arbeite noch die eScan-Anleitung durch. Wenn du eilig hast- folge der Anleitung zum Neuaufsetzen: beide sind in meiner Signatur verlinkt.

MSN war irgendwie mit dem system dabei, verwenden tu ich den nicht; dann muesste ich doch sicher sein; denke ich. hab leider nur begrenzt ahnung von irgendwas, kann schon sein, dass durch miranda sicher auch einiges aufmerksam wird. neben arbeits PC ist das ja auch ne privatmaschine.

ahh, folgendermassen ist bei mir beim scannen nun eingegangen-

Backdoor.Win32.RAdmin.j
Datei: C:\System Volume Information\_restore{D8F6524C-4F6C-4C81-AC7D-D17B52D84D9E}(2)\RP1\A0004292.exe/PE_Patch.Morphine/Morphine

Backdoor.Win32.HacDef.084
Datei: C:\System Volume Information\_restore{D8F6524C-4F6C-4C81-AC7D-D17B52D84D9E}(2)\RP1\A0004293.exe/PE_Patch.Morphine/Morphine

Virus Worm.Win32.VB.an
Datei: C:\System Volume Information\_restore{D8F6524C-4F6C-4C81-AC7D-D17B52D84D9E}(2)\RP1\A0004311.exe/CryptFF

radmin? also ich hatte den mal drauf, aber entfernt (scardupd.exe)...
irgendwie kommt alles, was ich loesche sowieso immer wieder. habs bereits auch im abgesicherten modus eliminieren versucht. aber dauernd nur die in den ordnern von da oben ("system volume information").