Habe folgendes Problem:

Nachdem sich mein PC gestern mehr oder minder aufgehängt hat & ich den Resetknopf gedrückt habe, braucht er nach dem Bootvorgang extrem lange um alle Programme zu starten bis ich arbeiten kann. Das Booten selbst klappt ohne Probleme doch sobald der Desktophintergrund erscheint, sehe ich nur den Rahmen der Windowsleiste & erst nach 10 - 15 Minuten kann ich arbeiten (reagiert ansonsten nicht).

Mein Hijackthis-log ist wie folgt:

Logfile of HijackThis v1.99.1
Scan saved at 14:35:46, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Crap\Kramkiste - die Achte\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search Results
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [WinLiveUpdate] E:\DAO\svchost.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


-----

Laut der Auswertung ist also E:\DAO\svchost.exe als schädlich eingestuft,
allerdings ist svchost.exe doch ein Systemprozess? Bzw. laut Google ein Keylogger,
help anyone?
Einfach mit HijackThis fixen oder wie sollte ich besser vorgehen?

Achja und mein Antivirenprogramm funktioniert seit gestern auch nicht mehr ..
weder Updates noch Systemüberprüfung, hatte bereits einmal einen Parasiten der
das Programm in irgendeiner Weise beschädigt hat - es wies zumindest die gleichen Symptome auf,
könnte das auch damit zusammenhängen?

Lass diese Datei bei Virustotal überprüfen und poste das ergebnis:
svchost.exe
Datei ins weisse Fensterchen kopieren, auf send klicken.

http://www.virustotal.com/en/indexf.html

Wenn ich das Programm ausführen will kommt eine Meldung:

'Error! File not Specified'
Abgesehen daovn, dass ichs nicht selbst downloaden kann weil ich weder downloaden noch uploaden kann (zumindest mittels Browser) qq'

edit:
ah, hab das online scaning gefunden, sorry :x
jedenfalls kommt die Meldung:

0 bytes size received / Se ha recibido un archivo vacio

edit #2:
okay nun scheint er was zu machen, ist grad dabei das file zu uppen,
ich poste dann das Ergebnis.

E:\DAO\svchost.exe auch probiert ?
Versuch die Systemherstellung zu deaktivieren: Start > Einstellung > Systemsteuerung > System > Systemwiederherstellung > Häckchen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren.
Boote Deinen Rechner hoch,aktiviere die Systemwiederherstellung wieder und versuch nochmals oben genannte Datei zu bei Virustotal zu scannen.

Wenn immer noch Probleme auftreten, lade Dir clearprog runter:
Downloads von shTools.de (1.4.2. Beta-Version), starten und häckchen bei "clera all".
Lade Dir anschliessend Spybot und Adaware herunter, wobei Du beide Programme updaten musst um die neusten Signierungen zu bekommen und gehe dann mit Deinem Rechner in den abgesicherten Modus (F8), scann mit Spybot und Adware Dein Sytem und lösche alles was die finden. Anschliessend
im normalen Modus gehen und nochmals mit beiden Programmen scannen, ebenfals alles löschen was die finden.
Wenn Du das gemacht hast, gehe bitte dieser Anleitung hier im Board nach :
http://www.trojaner-board.de/38066-e...ightymarc.html und poste das Ergebnis.

Gut, warten wir erst einmal das Ergebnis Deines scans ab !

Wenn ich versuche E:\DAO\svchost.exe zu uppen kommt die Meldung:
0 bytes size received / Se ha recibido un archivo vacio

und bei svchost.exe lädt er ewig (noch immer) und bis jetzt hat sich noch nichts weiter getan.

Ich werd deine Anweisungen ausführen, aber einfaches fixen mit HijackThis würde nichts bewirken? Hört sich nämlich alles ziemlich umfangreich an, als ob er Parasit ein hartnäckiger wäre..

edit: ist das upadten von spybot und adaware nicht kostenpflichtig?
hab ich zumindest so in Erinnerung

ansonsten mit nen tool prüfen ob kurzzeitig noch anderen exe-Dateien ausgeführt werden die dein Problem verursachen könnten. (zB. procexp)
Falls dir was auffällt posten

Scheinst ja ziemliche Probs mit Deinem Rechner zu haben. Hast Du etwa auf spanisch geklickt weil die Meldung "Se ha recibido un archivo vacio" kommt?

Du musst selber für Dich entscheiden, ob Du Dir diese Mühe machen möchtest oder meinst in der gleichen Zeit Dein Sytem einfach neu aufzusetzen zu können. In Deinem Log ist ein schädlicher Eintrag, aber leider kann man noch nichts genaueres dazu sagen. Man sollte nicht einfach unbedarft fixen.

Die svchost / svchost.exe ist ein Systemprozess. Mit ihrer Hilfe werden dll - Dateien ausgeführt. Unter START--->AUSFÜHREN gibt man cmd ein, Tasklist/svc ins Eingabefenster eingeben und die einzelnen Prozesse von svchost.exe werden aufgelistet.

Die Seite von Spybot-S&D! .... ist für lau.
Ad-aware - Download ... ist für lau.
Update`s nicht vergessen!

Nep, bin deinem Link gefolgt:

http://www.virustotal.com/en/indexf.html

beinhaltet ja schon, dass die Seite englisch angezeigt wird ^^
die Meldung scheint wohl einfach in beiden Sprachen angezeigt zu werden.

Wenn ich den Befehl eingebe kommt:

C:\Dokumente und Einstellungen\Julie>Tasklist/svc

Abbildname PID Dienste
========================= ===== =============================================
System Idle Process 0 Nicht verfügbar
System 4 Nicht verfügbar
smss.exe 504 Nicht verfügbar
csrss.exe 552 Nicht verfügbar
winlogon.exe 576 Nicht verfügbar
services.exe 620 Eventlog, PlugPlay
lsass.exe 632 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 800 DcomLaunch, TermService
svchost.exe 848 RpcSs
svchost.exe 916 AudioSrv, BITS, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, srservice,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
SavService.exe 960 SAVService
explorer.exe 1216 Nicht verfügbar
svchost.exe 1400 Dnscache
svchost.exe 1444 LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe 1564 Spooler
NMSAccess.exe 2036 NMSAccess
igfxtray.exe 224 Nicht verfügbar
hkcmd.exe 372 Nicht verfügbar
igfxpers.exe 400 Nicht verfügbar
rundll32.exe 440 Nicht verfügbar
jusched.exe 456 Nicht verfügbar
realsched.exe 500 Nicht verfügbar
SAVAdminService.exe 636 SAVAdminService
ctfmon.exe 892 Nicht verfügbar
msnmsgr.exe 1204 Nicht verfügbar
ALsvc.exe 1440 Sophos AutoUpdate Service
StarWindService.exe 1512 StarWindService
svchost.exe 1628 stisvc
wdfmgr.exe 1656 UMWdf
ALMon.exe 1664 Nicht verfügbar
alg.exe 2576 ALG
wuauclt.exe 3100 Nicht verfügbar
jucheck.exe 3192 Nicht verfügbar
usnsvc.exe 3684 usnjsvc
igfxsrvc.exe 4000 Nicht verfügbar
Skype.exe 3912 Nicht verfügbar
skypePM.exe 3744 Nicht verfügbar
Ragexe.exe 2928 Nicht verfügbar
firefox.exe 1928 Nicht verfügbar
cmd.exe 4676 Nicht verfügbar
tasklist.exe 4688 Nicht verfügbar
wmiprvse.exe 4728 Nicht verfügbar


Keine Ahnung ob's großartig was bringt die Liste hier zu posten, aber man kann's ja mal versuchen :x
Das heißt wenn ich das System einfach neu aufsetze wär das Problem auch behoben? Ich muss dazu sagen, dass meine interne Festplatte partitioniert ist:

auf C befindet sich Windows und auf E sitzt anscheinend der Virus/Wurm/whatever (E:\DAO\svchost.exe),
wenn ich neu aufsetze würde ich eigentlich nur C formatieren (hab ich immer so gehandhabt), es wär aber wohl notwendig die ganze Platte zu formatieren oder?

Na, das mit der Liste hättest Du nicht unbedingt posten brauchen.
Ich mach Dir nen Vorschlag, wird sonst zum Rattenschwanz hier:
Du deaktivierst die Sytemwiederherstellung wie unten besagt, bootest neu hoch,aktivierst die Systemwiederherstellung und machst einen e-scan nach Anleitung:
http://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html
,oki?

Hi,
wenn du die svchost.exe unter E:/ finden kannst, kannst du sie auch einfach mal in virus.exe umbenennen und dann versuchen virus.exe hochzuladen.
Gelegentlich reicht das schon um ein Ergebnis zu bekommen.

lg myrtille

Naja, es gibt irgendwie keinen Ordner auf E der DAO heißt, hab auch angehakt, dass mir alle geschützten und versteckten Dateien/Ordner angezeigt werden, aber nix zu finden :x

Zitat:

Na, das mit der Liste hättest Du nicht unbedingt posten brauchen.
Ich mach Dir nen Vorschlag, wird sonst zum Rattenschwanz hier:
Du deaktivierst die Sytemwiederherstellung wie unten besagt, bootest neu hoch,aktivierst die Systemwiederherstellung und machst einen e-scan nach Anleitung:
http://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html
,oki?

werd ich machen & das Ergebnis dann posten, vielen dank :x

hm mir ist eben noch was aufgefallen:



einfach mal deaktivieren und hinterher sehen ob das Problem nach dem Systemstart immer noch auftritt?
War gestern ganzen Tag nicht Zuhause und bin nicht dazu gekommen den eScan zu machen qq' Folgt noch, wollte vorher nur mal fragen ob ich das wohl bedenklos deaktivieren könnte

Unte E sollte die svchost.exe nicht laufen, bin mir aber nicht sicher wegen dieses DAO. Dieses DAO ist eine von Microsoft definierte Schnittstelle zum Zugriff auf Datenbanken mittels JetEngine. Bin ich überfragt, könnte vielleicht Probs geben, wenn Du diesen Prozess einfach unterbrichst.
Zieh Dir mal zwischenzeitl. diese kleinen nützlichen Progrämmchen und bereinige Deine Registry und Deinen Temp-Ordner
Download RegSeeker
Downloads von shTools.de ... sofern noch nicht gemacht.

Gucken Wir erst mal, was der e-scan bringt.

Unte E sollte die svchost.exe nicht laufen, bin mir aber nicht sicher wegen dieses DAO. Dieses DAO ist eine von Microsoft definierte Schnittstelle zum Zugriff auf Datenbanken mittels JetEngine. Bin ich überfragt, könnte vielleicht Probs geben, wenn Du diesen Prozess einfach unterbrichst.
Zieh Dir mal zwischenzeitl. diese kleinen nützlichen Progrämmchen und bereinige Deine Registry und Deinen Temp-Ordner
Download RegSeeker
Downloads von shTools.de ... sofern noch nicht gemacht.

Gucken Wir erst mal, was der e-scan bringt.

Wenn der Ordner von Microsoft generiert wurde, sollte ich dann nicht eigentlich drauf zugreifen können wenn ich die Option 'Geschützte Dateien/Ordner ausblenden" deaktiviere?