Trotz Kaspersky

Laithy · 21.11.2006, 11:28

Hallo,

trotz neuester Kasperskyversion hab ich immer noch nen Worm oder ähnliches auf meinem Recher.
Heute hab ich über 30.000 Mail als "undelivery" bekommen - möcht nicht wissen was da rausgegangen ist...

EScan bekomme ich nicht zum Laufen. Habs den ganzen Vormittag versucht...

Für eure Hilfe wäre ich wirklich dankbar. Bin schon ziemlich fertig deswegen, da auch meine Festplatte in die Knie geht und Aussetzer hat.
Sie klackt so in 4-5 Minutenabständen und der ganze Rechner friert für ein paar Sekunden ein, manchmal auch ganz...

Anbei mein HijackThis Log
im normalen Modus

Logfile of HijackThis v1.99.1
Scan saved at 11:20:10, on 21.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\crypserv.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
E:\Microsoft ActiveSync\WCESCOMM.EXE
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\PalickSoft\HDD Temperature\HDDTSvc.exe
C:\Programme\Logitech\Video\FxSvr2.exe
I:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ScanSoft\PaperPort\PopUp\SmartUI.exe
E:\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$ACT7\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ScanSoft\PaperPort\Pplinks.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\WinRAR\WinRAR.exe
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\Rar$EX00.141\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - e:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: XBTB06353 Class - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\KIDDAT~1\kidda.dll (file missing)
O2 - BHO: Act.UI.InternetExplorer.Plugins.AttachFile.CAttachFile - {D5233FCD-D258-4903-89B8-FB1568E7413D} - mscoree.dll (file missing)
O2 - BHO: ContentSaver Browser Helper Object - {E6B64F67-B100-4636-8D51-D113E1F5FF93} - D:\Programme\ContentSaver\CSShell.dll
O3 - Toolbar: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - C:\Programme\Kidda Toolbar\kidda.dll (file missing)
O3 - Toolbar: ContentSaver-Symbolleiste - {4D63CEBE-B169-426C-B092-C130C498B6E6} - D:\Programme\ContentSaver\CSShell.dll
O3 - Toolbar: ContentSaver-Bearbeitungsleiste - {86B09C4E-4137-4863-B585-380205F1F774} - D:\Programme\ContentSaver\CSShell.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [F-Secure Manager] "E:\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "E:\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [APL] "I:\Programme\ACT\ACT for Win 7\APL.exe"
O4 - HKLM\..\Run: [kav] "e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = I:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Brother SmartUI PopUp.lnk = C:\Programme\ScanSoft\PaperPort\PopUp\SmartUI.exe
O4 - Global Startup: FRITZ!fax.lnk = E:\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = E:\FRITZ!\IWatch.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: ContentSaver: Bild speichern - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#101
O8 - Extra context menu item: ContentSaver: Bild speichern unter... - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#108
O8 - Extra context menu item: ContentSaver: Link-Adresse speichern unter... - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#110
O8 - Extra context menu item: ContentSaver: Markierte Ziele speichern unter... - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#111
O8 - Extra context menu item: ContentSaver: Markierung speichern - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#104
O8 - Extra context menu item: ContentSaver: Markierung speichern unter... - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#109
O8 - Extra context menu item: ContentSaver: Seitenbereich (Frame) speichern - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#102
O8 - Extra context menu item: ContentSaver: Seitenbereich (Frame) speichern unter... - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#106
O8 - Extra context menu item: ContentSaver: Ziel speichern - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#103
O8 - Extra context menu item: ContentSaver: Ziel speichern unter... - res://D:\PROGRA~1\CONTEN~1\csshell.dll/#107
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Picture in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~4\Office\1033\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - C:\Programme\Kidda Toolbar\kidda.dll (file missing)
O9 - Extra 'Tools' menuitem: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - C:\Programme\Kidda Toolbar\kidda.dll (file missing)
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Attach Web page to ACT! contact - {6F431AC3-364A-478b-BBDB-89C7CE1B18F6} - mscoree.dll (file missing)
O9 - Extra 'Tools' menuitem: Attach Web page to ACT! contact... - {6F431AC3-364A-478b-BBDB-89C7CE1B18F6} - mscoree.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3106143A-135D-49D5-9925-89D9A1E5F8F1}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: cs - {CF429874-C894-496D-A310-9BB12C16BE3C} - D:\Programme\ContentSaver\CSProtocol.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - E:\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown owner - E:\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - E:\Common\Database\bin\fbserver.exe
O23 - Service: fsbwsys - Unknown owner - E:\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe (file missing)
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - Unknown owner - E:\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - Unknown owner - E:\F-Secure Anti-Virus\Common\FSMA32.EXE (file missing)
O23 - Service: HDD Temperature (HDDTService) - PalickSoft - E:\Programme\PalickSoft\HDD Temperature\HDDTSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

Vielen Dank schon mal

Laithy

Rene-gad · 21.11.2006, 12:24

@Laithy

Zitat:

trotz neuester Kasperskyversion hab ich immer noch nen Worm oder ähnliches auf meinem Recher.

Hast du auch eine Virenmeldung bekommen?

Zitat:

EScan bekomme ich nicht zum Laufen.

Welche Version?

Zitat:

da auch meine Festplatte in die Knie geht und Aussetzer hat.
Sie klackt so in 4-5 Minutenabständen und der ganze Rechner friert für ein paar Sekunden ein, manchmal auch ganz...

Scheinbar hast du F-Secure "unsauber" deinstalliert. In jedem Fall sehe ich die die Einträge, die damit was zu tun haben. 2 AV-Wächter können jeden Rechner lahm legen.
Dagegen kann ich im Log keine auf Malware deutenden Einträge feststellen.
Versuche mal das System neu aufzusetzen. Es wird bestimmt schneller gehen, als die Suche nach einer schwarzen Katze im dunklen Raum, wobei man auch nicht sicher seien kann, dass mindestens eine Katze sich dort befindet

.

Laithy · 24.11.2006, 11:33

Oh, sorry..
Hab doppelt gepostet...

Also: System hab ich neu aufgestetzt.
Hab mit chrdsk einen Dateifehler repariert und XP neu installiert...

Nach wie vor das gleiche Problem...

Rene-gad · 24.11.2006, 11:39

@Laithy

Zitat:

Also: System hab ich neu aufgestetzt.
Hab mit chrdsk einen Dateifehler repariert und XP neu installiert...

Neee, nicht System neu aufgesetzt, sondern
Systempartition löschen, formatieren, installieren... Also: der Anleitung (Link in meiner Signatur) bitte haargenau folgen

.

Trotz Kaspersky

Log-Analyse und Auswertung: Trotz Kaspersky

Trotz Kaspersky

Trotz Kaspersky

Trotz Kaspersky

Trotz Kaspersky

Ähnliche Themen: Trotz Kaspersky

24.11.2006, 11:33	#3
Laithy	Trotz Kaspersky Oh, sorry.. Hab doppelt gepostet... Also: System hab ich neu aufgestetzt. Hab mit chrdsk einen Dateifehler repariert und XP neu installiert... Nach wie vor das gleiche Problem... __________________