hallo alle,

es dreht sich um folgendes. ich saß ganz normal an meinem rechner. auf einmal funktionierte die internetverbindung nicht mehr, und als ich den computer neu hochfahren wollte hat sich windows beschwert das er die prozesse sysfader.exe, server.exe und explorer.exe nicht killen kann.

einen hijack log habe ich auch erstellt. ich konnte nix besonderes darin erkennen, evtl seht ihr ja was was meine müden augen nicht erkennen.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 02:50:51, on 30.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
J:\LiveHabo-Win\LiveHabo.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lutz\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.vlc-download.n*t/danke.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {B7E33BBE-36DD-4B7D-8D53-275038C536F3} - C:\WINDOWS\system32\uniplatd.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [LiveHabo] J:\LiveHabo-Win\LiveHabo.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

weiterhin konnte ich mit antivir herausfinden, das ein zugriff auf die datei pagefile.sys nicht möglich ist.

die exe dateien habe ich gegoogelt, zu sysfader.exe kann es zum einen ein problem mit einer nvidia grafikkarte geben (was ich aber glaube ausschließen zu können) oder halt eine infektion.

auch ist in meiner systemsteuerung ein benutzer aufgetaucht den ich nicht angelegt habe, mit dem namen ASP.NET Machine A...

EDIT: ich habe vor kurzem zwar ein paar c++ compiler installiert, aber von asp.net war dabei nicht die rede

und unter der msconfig unter dem karteireiter dienste gibt es nun einen dienst namens Remote Packet Capture Protocol v.0 (experimantal) | Hersteller: Unbekannt.
den einzigen remotedienst den ich einmal drauf hatte hieß himachi. weiter hin habe ich noch ein .jar remote client für mein handy aber die entsprechende server software habe ich nicht installiert. deswegen denke ich das dieser eintrag auch bösartig ist. der dienst ist von mir deaktiviert worden.

wisst ihr was ich mir hier eingefangen habe ? muss ich mein system wirklich neu aufsetzen ? ich würd es lieber vermeiden aber wenn nicht dann nicht.

achso netstat -b -o gibt nur firefox zugriffe aus und verbindungen auf den ports:

TCP schoko-mit-mais:1097 localhost:18350 WARTEND 0 (schoko-mit-mais ist meine rechnerbezeichnung)
TCP schoko-mit-mais:1099 localhost:18350 WARTEND 0

so mehr informationen kann ich euch nicht geben. ich hoffe das reicht um mein problem zu behandeln.


vielen dank schon einmal im vorraus

mfg
rusty-spoon

EDIT:

entschuldigung ich sehe grade das ganze wurde von mir ins falsche forum gepostet. bitte verschieben liebe mods

EDIT2:

in meinem antivir quarantäne ordner befinden sich grade 8 dateien mit folgenden virenbezeichnungen:

trojan. - TR/Inject.AZ.3
dropper - DR/SdBot.537088
trojan. - TR/Crypt.XPACK.Gen
trojan. - TR/Crypt.ULPM.Gen
trojan. - TR/Peed.A.29

und ich habe einmal spybot durchlaufen lassen, und mit diesem programm einen autostart registry wert enfernt. ich glaube das ganze wurde von spybot als "A.Better.Internet" oder so gefunden

Hi,

was ist J:\LiveHabo-Win\LiveHabo.exe? Mal bei VirusTotal scannen lassen, Ergebnisse hierher kopieren.

Ebenso die C:\WINDOWS\system32\uniplatd.dll.

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten.

Kein Zugriff auf die pagefile.sys ist normal. Ebenso wie der neue Benuter, den die .NET Umgebung anlegt. Das Remote Packet Capture Protocol v.0 (experimental) ist ebenfalls ok, dient dazu, den Traffic der Netzwerkkarte belauschen zu können. Es sind allerdings auch Anwendungszwecke denkbar, die nicht ok sind, die Software selber aber ist es. Port 18350 ist der typische Port den der Antivir Guard und sein Kontrollprogramm für ihre Kommunikation nutzen.

Wo wurden denn die in der Quarantäne steckenden Dateien gefunden? Das steht doch auch da.

Gruß, Karl

das problem hat sich erledigt. ca eine halbe stunde nach meinem post hier war das system garnicht mehr ansprechbar so das ich es neu aufsetzten musste, da mir nichts anderes übrigblieb.

vielen dank aber trotzdem.

livehabo ist ein programm das für mich abfragt wie viele neue posts in einem forum das ich regelmässig besuche erstellt wurden.

ich denke dann kann der thread hier geschlossen werden.
vielen dank noch einmal

mfg
rusty-spoon

Ich glaub das Forum kenne ich

Da gehört öfter neu aufsetzen wohl dazu

Ach du Schande. Und du hast den Nerv hier zu posten oder was? :aplaus: da gehört schon was zu. ^^ viel Spaß noch und auf baldiges Wiedersehen

Gruß

Undoreal