|
Plagegeister aller Art und deren Bekämpfung: seltsames Verhalten des PC, Virus?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.05.2007, 10:31 | #1 |
| seltsames Verhalten des PC, Virus? Hallo, folgendes Problem: in regelmäßigen Abständen ca. alle 2h kommt bei meinem Windows XP Prof System die Meldung: "pv.exe kann nicht initialisiert werden". Gleichzeitig stürzt die ZoneAlarm Firewall ab und der Laptop ist zu 100% ausgelastet. Nicht einmal herunterfahren geht mehr. Keine Ahnung was das sein könnte: AntiVir findet keine Schädlinge. HijackThis Log scheit OK zu sein (siehe logfile unten) pv.exe habe ich nur eine in "C:\xampp\apache\bin"auf dem Rechner. Also nichts schlimmes. Es kann auch sein, dass sich der Apache mit der Zonealarm Firewall und dem anderen Krempel auf diesem PC irgendwie nicht verträgt. Trotzdem kommt mir das Verhalten seltsam vor. Fall irgendjemand irgendwelche Hinweise geben kann, wäre ich dankbar. Gruß, Markus _____________________________________________________ Logfile of v1.99.1 Scan saved at 21:29:43, on 30.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NetDrive\wdService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\WINDOWS\regedit.exe C:\xampp\xampp-control.exe C:\xampp\apache\bin\apache.exe C:\xampp\mysql\bin\mysqld.exe C:\xampp\apache\bin\apache.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\WinRAR\WinRAR.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\arbeit\LOKALE~1\Temp\Rar$EX00.681\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Skype.lnk = C:\Programme\Skype\Phone\Skype.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172333626979 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
01.05.2007, 10:36 | #2 |
| seltsames Verhalten des PC, Virus? Noch eine Info:
__________________Das Problem tritt auch auf, wenn ich absolut nichts am Laptop mache, d.h. einfach nur hochfahren und dann 2 Stunden stehen lasse. |
01.05.2007, 11:32 | #3 |
| seltsames Verhalten des PC, Virus? Lade doch die pv.exe mal bei Virustotal hoch. Ergebnis kannst du ja mal posten.
__________________Und wenn du mal XAMPP neu einspielst?
__________________ Geändert von jaycob (01.05.2007 um 11:38 Uhr) |
01.05.2007, 19:04 | #4 |
| seltsames Verhalten des PC, Virus? Danke für den Tipp mit Virustotal. Leider lässt sich die Seite heute abend nicht aufrufen. Muss es mal morgen wieder probieren. Wenn das Problem weiter besteht werd ich dann mal xampp neuinstallieren (wobei ich das erst vor ein paar Tagen getan habe) oder gleich den PC mit einem Image neu aufsetzten. |
01.05.2007, 19:08 | #5 |
| seltsames Verhalten des PC, Virus? Alternative zu Virsutotal: Online malware scan |
06.05.2007, 11:00 | #6 |
| seltsames Verhalten des PC, Virus? hab heute nacht mal Escan laufen lassten. Ergebnis: Es wurde noch ein Wurm Sober.... im Papierkorb gefunden. Mal schauen wie ich den zuverlässig wegbekomme. Ich denk das andere Zeug das gefunden wurde ist nicht so wichtig. ____________________________________________________ Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.01.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.1.9 Sprache: English ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 06 00:30:14 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. Sun May 06 00:30:22 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. Sun May 06 00:30:44 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken. Sun May 06 00:50:08 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. Sun May 06 00:50:14 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. Sun May 06 00:50:31 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken. Sun May 06 00:30:01 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. Sun May 06 00:30:02 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. Sun May 06 00:49:54 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. Sun May 06 00:49:56 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sun May 06 03:13:53 2007 => File D:\RECYCLER\S-1-5-21-4071580606-3964752466-530651458-1006\Dd2\Anwendungsdaten\Thunderbird\Profiles\te4jscho.default\Mail\Local Folders\Inbox//[From Max Mustermann <mustermann@gmx.de>][Date Sat, 25 Dec 2004 12:07:21 +0100]/text//[From Max Mustermann <mustermann@... infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sun May 06 01:05:56 2007 => File C:\Programme\DAEMON Tools\SetupDTSB.exe tagged as "not-a-virus:AdTool.Win32.WhenU.a". No Action Taken. Sun May 06 01:34:26 2007 => File C:\Programme\mIRC\mirc.exe tagged as "not-a-virus:Client-IRC.Win32.mIRC.621". No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Sun May 06 00:30:14 2007 => Offending file found: D:\Eigene Dateien\musterpfad\phppgadmin-3.2.1\display.php Sun May 06 00:30:22 2007 => Offending file found: D:\Eigene Dateien\musterpfad\phppgadmin\display.php Sun May 06 00:30:44 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll Sun May 06 00:50:08 2007 => Offending file found: D:\Eigene Dateien\musterpfad\phppgadmin-3.2.1\display.php Sun May 06 00:50:14 2007 => Offending file found: D:\Eigene Dateienmusterpfad\phppgadmin\display.php Sun May 06 00:50:31 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sun May 06 00:30:01 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy-1.0\docs\xref\org\codehaus\groovy\ast Sun May 06 00:30:02 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy\groovy-1.0\groovy-1.0\docs\xref-test\org\codehaus\groovy\ast Sun May 06 00:49:54 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy\groovy-1.0\groovy-1.0\docs\xref\org\codehaus\groovy\ast Sun May 06 00:49:56 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy\groovy-1.0\groovy-1.0\docs\xref-test\org\codehaus\groovy\ast ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 06 00:47:11 2007 => Total Critical Objects: 5 Sun May 06 03:19:10 2007 => Total Critical Objects: 8 Sun May 06 00:47:11 2007 => Total Disinfected Objects: 0 Sun May 06 03:19:10 2007 => Total Disinfected Objects: 0 Sun May 06 00:47:12 2007 => Total Objects Renamed: 0 Sun May 06 03:19:10 2007 => Total Objects Renamed: 0 Sun May 06 00:47:12 2007 => Total Deleted Objects: 0 Sun May 06 03:19:10 2007 => Total Deleted Objects: 0 Sun May 06 00:47:12 2007 => Total Errors: 99 Sun May 06 03:19:10 2007 => Total Errors: 105 Sun May 06 00:47:12 2007 => Time Elapsed: 00:17:16 Sun May 06 03:19:10 2007 => Time Elapsed: 02:31:25 Sun May 06 00:47:11 2007 => Total Objects Scanned: 48361 Sun May 06 03:19:10 2007 => Total Objects Scanned: 235756 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 06 00:28:09 2007 => Memory Check: Enabled Sun May 06 00:47:29 2007 => Memory Check: Enabled Sun May 06 00:28:09 2007 => Registry Check: Enabled Sun May 06 00:47:29 2007 => Registry Check: Enabled Sun May 06 00:28:09 2007 => System Folder Check: Enabled Sun May 06 00:47:29 2007 => System Folder Check: Enabled Sun May 06 00:28:09 2007 => System Area Check: Disabled Sun May 06 00:47:29 2007 => System Area Check: Disabled Sun May 06 00:28:09 2007 => Services Check: Enabled Sun May 06 00:47:29 2007 => Services Check: Enabled Sun May 06 00:28:09 2007 => Drive Check: Disabled Sun May 06 00:28:09 2007 => All Drive Check :Enabled Sun May 06 00:47:29 2007 => Drive Check: Disabled Sun May 06 00:47:29 2007 => All Drive Check :Enabled Sun May 06 00:28:09 2007 => All Drive Check :Enabled Sun May 06 00:47:29 2007 => All Drive Check :Enabled Batchstart: 11:35:24,67 Batchende: 11:37:51,12 |
06.05.2007, 11:03 | #7 | |
| seltsames Verhalten des PC, Virus?Zitat:
|
06.05.2007, 11:09 | #8 | |
| seltsames Verhalten des PC, Virus?Zitat:
|
06.05.2007, 11:19 | #9 |
| seltsames Verhalten des PC, Virus? Da das ding im Recycler liegt sollte es eig. nichts anrichten können |
08.05.2007, 08:48 | #10 |
| seltsames Verhalten des PC, Virus? Danke für den Hinweis. ich hab jetzt mal das Apache Forum durchstöbert. Dort wird exakt mein Problem des öfteren beschrieben. Über die Ursache des Problems bzw. die Beseitigung ist man sich noch nicht so ganz einig. In Diskussion sind als Ursachen: Troyaner: csrss.exe fehlerhaftes Windows Update ZoneAlarm v.7 Fehler im xampp Control Panel Einig ist man sich darüber, dass die "pv.exe" kein Virus ist. Ergebnis vom virustotal bei meiner pv.exe. Einer von den vielen Virenscannern erkannte die Datei als Troyaner. Ob das jetzt ein falsch positives ergebnis ist?? Mal noch ne blöde Frage: Escan ht mir mir Spyware festgestellt: Wie bekomme ich diese weg? Code:
ATTFilter System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. |
Themen zu seltsames Verhalten des PC, Virus? |
100%, adobe, avira, bho, download, explorer, firefox, firewall, free download, herunterfahren, hotkey, internet, internet explorer, log, logfile, monitor, mozilla, mozilla firefox, pdf, problem, programme, seltsames verhalten, system, temp, virus, virus?, windows, windows xp |