hallo, habe seit ich mein system neu aufgespielt habe (xphome/sp2) dass problem, dass sich der antivir nach jedem systemstart deaktiviert und das system ansonsten auch recht instabil läuft. zudem habe ich den pandasoft onlinecheck versucht, wobei sich der internet explorer aufgehängt hat. habe in foren gelesen, dass ich hier das hijjack log posten soll. bin für jede hilfe dankbar

Logfile of HijackThis v1.99.1
Scan saved at 11:51:07, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Eumex 704PC LAN\Capictrl.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\$NtUninstallKB885222$\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wpabaln.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Eumex 704PC LAN\HNetCtrl.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\spider.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DirectX Service (DirectTezs) - Unknown owner - c:\windows\system32\directx.exe

@polter

Zitat:

c:\windows\system32\directx.exe

Bitte überprüfe die Datei bei www.virustotal.com
Wenn diese Beschreibung stimmt, musst du dein System neu aufsetzen.

hallo,
erst mal vielen dank für die superschnelle hilfe,
habe mir die beschreibung angesehen, allerdings keine der aufgeführten fehlermeldungen erhalten.
virustotal sagt, dass eine infektion von antivir erkannt werden müsste, der erkennt bei mir allerdings nichts. was soll ich tun?

Zitat:

Zitat von polter

virustotal sagt, dass eine infektion von antivir erkannt werden müsste

Wenn aber Antivir infiziert ist, wird es auch keine Meldung mehr bringen (können!). D.h. der Trojaner/Wurm/Virus kann deinen Antivirenscanner verändern, deshalb deaktivert dieser sich auch immer!

Zitat:

der erkennt bei mir allerdings nichts. was soll ich tun?

Lass die Datei nochmal bei Virustotal auswerten, und kopiere die Auswertung in einen Beitrag. (mit der Maus die Auswertung markieren, kopieren und in einen Beitrag einfügen)

Ich selbst denke nicht das du ohne eine komplette Neuinstallation den Schädling entfernen kannst!!!

Gruß
Sunny

@ordell, ja das warst du

Hallo,

hier liegt ein Mißverständnis vor. Entscheidend ist, was sagen jotti/virustotal zu der Datei? Wird sie als infiziert erkannt, und wenn ja, poste die Meldungen. Es spielt keine Rolle, welche Meldungen Antivir auf deinem Rechner ausgibt, das Programm ist u.U. nicht mehr vertrauenswürdig.

edit: @sunny - war zu langsam

hallo, dank euch allen erstmal,
virustotal hatte mir von etwa 5 virenscannern eine virenmeldung rausgeworfen. welche weiß ich leider nicht mehr, aber antivir war dabei. hab in irgend nem anderen forum gelesen, dass man die datei mit hijjackthis mit delete an nt service unter mist tools wegkriegt. das klappte nicht wirklich.
dann bin ich unter delete a file on reboot.. gegangen. die datei ist weg, antivir läuft wieder normal und ich hab noch nix schlechtes gemerkt?

war das jetzt gut oder eher nicht so clever?

wie kann ich rauskriegen, ob ich noch einen virus habe? welcher scanner erkennt den sonst noch?

danke

Zitat:

Zitat von Sunny

(mit der Maus die Auswertung markieren, kopieren und in einen Beitrag einfügen)

DU solltest doch das Ergebnis der Auswertung posten! (zum 3.mal!!!)
Wenn ihr schon Hilfe in einem Forum sucht, dann lest die Hilfestellungen auch richtig durch und befolgt sie. (sonst ist meine/unsere Hilfestellung sinnlos )

Ich an deiner Stelle würde das System trotzdem neu aufsetzen, zumal der Schädling dein Antivirenscanner beeinflusst bzw. verändert hat. Und wer weiß was noch alles ..

Gruß

Hallo,

poste ein neues Hijackthis-log. Mach mal einen online-scan bei Kaspersky oder Panda (Internet-explorer mit ActiveX notw.) und poste den Bericht.

Ob dein System sauber ist, bleibt wohl ein Glücksspiel, da niemand weiß, welcher Schädling bei dir aktiv war. Versuche in der Chronik deines Browsers die Ergebnisseite von virustotal zu finden und poste sie, falls noch vorhanden.

Gruß