Hallo,

ich habe in den letzten Tagen recht viel mit meinem PC kämpfen müssen, das Ding hat einfach komplett die Arbeit verweigert.
Zuerst wollte der PC plötzlich nicht mehr hochfahren, die Reparaturfunktion von Windows konnte ich nicht nutzen, weil dazu ein Administratorkennwort benötigt wird, von dem weder ich, noch Microsoft noch Dell etwas wissen, und CHKDSK hat sowieso nicht geholfen. Also habe ich parallel dazu ein zweites Windows installiert und festgestellt, dass die Bennenung der Festplatten vollkommen durcheinandergeraten war ( ich habe zwei Festplatten, eine C und eine, die in zwei Partitionen, nämlich G und H, eingeteilt ist. Windows war auf G ) Aus C war F geworden, aus G war C geworden und H war plötzlich E. In der Hoffnung, dass der Fehler dort liegen könnte, habe ich die Festplatten wieder wie gewohnt benannt, aber das alte Windows ging noch immer nicht - und geht auch jetzt nicht mehr, damit kann ich mich aber abfinden.
Zwischenzwitlich wollte der PC übrigens nicht starten, weil die "Battery Voltage Low" war - eine neue Batterie für's Mainboard hat aber geholfen.
Aber da das neu installierte Windows auf sehr altem Stand war, genauso wie das Kaspersky ( Antiviren-Programm ), das ich neu draufmachen musste ( Weil ich keine Ahnung habe, wie man einzelne Registry-Einträge vom alten auf das neue Windows übertragen kann ) und 'ne Firewall war natürlich erstmal auch nicht drauf.
In den paar Minuten, die das Kaspersky-Update benötigte, sind gleich ein paar eklige Viren auf den Rechner gekommen, die dafür sorgten, dass der PC alle 5 Minuten so langsam wurde, dass er neu gestartet werden musste, weil "System" 99% der Systemleistung verbrauchte.
Nachdem ich endlich eine Firewall draufgekriegt hatte und außerdem Spybot, war's plötzlich weg, dafür öffnen sich jetzt ständig irgendwelche Werbefenster im Internet-Explorer.
Ich habe die Antiviren-Software drüberlaufen lassen und es wurden 10 Viren gefunden, die allesamt erst nach der Reinstallation von Windows draufgekommen sind.
Namentlich waren es:
Exploit.Java.ByteVerify ( 4 mal )
BadJoke.Win32.Delf.m ( Beide laut Kaspersky potentiell gefährlich )
Trojan-Downloader.Java.OpenConnection.aa ( 3 mal )
Trojan-Spy.Win32.VBStat.j
und Trojan-Downloader.BAT.Ftp.ab
Der Mist wurde jetzt entfernt, aber das Problem mit dem IE bleibt bestehen.
Außerdem hängt sich die Explorer.exe sofort auf, sobald ich versuche, in den Eigenschaften der Netzwerkverbindungen auf "Erweitert" zu gehen.
Kann sich das jemand erklären?
Ach ja, HijackThis habe ich drüberlaufen lassen, mit folgendem Ergebnis:
H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\CTHELPER.EXE
H:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe
H:\Programme\Creative\MediaSource\Detector\CTDetect.exe
H:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
H:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\userinit.exe,
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "g:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "h:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTDVDDET] h:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] h:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] g:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem *
O4 - HKCU\..\Run: [Creative MediaSource Go] "H:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKCU\..\Run: [Creative Detector] h:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = H:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15028/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{512A664B-8289-431F-B6FD-41D39E5E90FF}: NameServer = 217.237.151.142 217.237.151.51
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - g:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - D:\WINDOWS\System32\mnmsrvc.exe (file missing)
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - D:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Remote Windows Services - Unknown owner - C:\WINDOWS\system32\vcmon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Was ist eigentlich "vcmon.exe"?

Im Internet Explorer sind auch einige Add-Ons gemeldet, die wohl die Ursache des Übels sein könnten; etwas von "Safer Networking Ltd." deren Werbung ständig geöffnet wird, dann "eogbhrgn.dll", dessen Deaktivierung die Probleme verringert und "vtsts.dll", was wohl auch nix gutes ist.
Das Problem ist, dass ich diese Sachen zwar deaktivieren, aber nicht löschen kann und dass sie nach jedem Neustart wieder aktiviert sind.
Wie kann ich die Teile endgültig loswerden?

So, vielen Dank schon mal an alle, die sich den mal wieder viel zu langen Text tatsächlich durchgelesen haben und natürlich vielen, vielen Dank für jegliche Hilfe!

Grüße,

Nicklaus.

Ach ja, noch etwas, das ich vergessen habe, zu erwähnen:
Seit dem das alte Windows nicht mehr starten wollte, öffnet sich bei jedem Neustart CHKDSK, überprüft jedes Mal irgendeine Partition und findet auch tatsächlich immer einige Fehler - diesmal sogar einen fehlerhaften Sektor auf C, das hatte ich bislang noch nie.
Kann das auch an irgendwelchen Viren liegen, oder könnte das evtl. etwas mit der Hardware zu tun haben?
Und es scheint W32/Tilebot-HX auf dem Rechner zu sein, wurde von so einem Entfernungs-Programm entdeckt und entfernt, ist aber trotzdem noch auf dem PC... Merkwürdig...
Das scheint auch die Ursache dieser vcmon.exe-Datei zu sein.

Danke!

Nicklaus.

Sagt mal, warum kann man seine Beiträge nicht immer editieren? Jetzt schreibe ich schon zum dritten mal in Folge...
Nach dem Löschen der vcmon.exe und Bearbeitung mit HijackThis konnte das Removal-Tool den Backdoor-Mist entfernen. Aber ich habe mehrfach gelesen, dass nach einer Infizierung mit solchen Programmen eigentlich eine Reinstallation von Windows nötig wäre - stimmt das etwa wirklich?
Darauf hätte ich ja mal wirklich überhaupt keine Lust...

Grüße und Entschuldigung für den nicht endenden Textfluss,

Nicklaus

Weil die Boardsoftware es maximal für 1h zuläßt, seine Beiträge zu editieren.

Zitat:

Zitat von Nicklaus

Ach ja, noch etwas, das ich vergessen habe, zu erwähnen:
Seit dem das alte Windows nicht mehr starten wollte, öffnet sich bei jedem Neustart CHKDSK, überprüft jedes Mal irgendeine Partition und findet auch tatsächlich immer einige Fehler - diesmal sogar einen fehlerhaften Sektor auf C, das hatte ich bislang noch nie.
Kann das auch an irgendwelchen Viren liegen, oder könnte das evtl. etwas mit der Hardware zu tun haben?
Und es scheint W32/Tilebot-HX auf dem Rechner zu sein, wurde von so einem Entfernungs-Programm entdeckt und entfernt, ist aber trotzdem noch auf dem PC... Merkwürdig...
Das scheint auch die Ursache dieser vcmon.exe-Datei zu sein.

Danke!

Nicklaus.

Hi Nicklaus,

Kann dir eventuell bei dem Problem helfen.
Das kann nämlich tatsächlich ein Hardwareproblem sein.
Die Festplatte wird überwacht, und wenn sie im Begriff ist sich aufzulösen, wenn also mehr als 5% als fehlerhaft markiert ist, muß Checkdisk bei jedem Neustart die Platte überprüfen.
Kontrolle: Schau mal in der Beschreibung der Festplatte, welche Parameter sie haben muß, und vergleiche das mit dem was Windows anzeigt.

Gruß Wally

Laut Beschreibung ist die Festplatte eine 80 GB EIDE Festplatte mit 7200 U/min und Ultra ATA-100, was auch immer das ist.
Laut Windows hat sie 79.990.845.440 Bytes, davon 12 KB in Fehlerhaften Sektoren. Aber auch die zweite, neue 250 GB-Platte wird regelmäßig untersucht, also sollte es, wenn es ein Hardwareproblem ist, eher am Kabel, Mainboard oder was auch immer liegen - die Wahrscheinlichkeit, dass beide Festplatten so langsam ins Jenseits driften, dürfte doch ziemlich gering sein.
Ansonsten habe ich eigentlich nur zwei Fragen:
1. Ist das System noch sicher, wenn Trojaner etc. drauf waren, nun aber von den dafür vorgesehenen Programmen entfernt worden sind?
und 2. Wie werde ich die elendigen Werbefenster los?

Danke,

Nicklaus,