Seit ein paar Tage verhält sich mein PC seltsam: Zuerst ertönten immer wieder Beeps (die, die immer bei einer Fehlermeldung kommen), ohne dass ich etwas getan hätte und auch ohne eine Meldung. Aber heute begann er dann, ohne mich vor- und zurückzunavigieren oder beim Tippen begann der Cursor, sich selbstständig zu machen und Buchstaben einzugeben, ohne dass ich tippte.
Hab den PC vorgestern mit AntiVir gescannt, zwei Viren gefunden und gelöscht. Heute erneuter Scan, kein Ergebnis. Kann sich das einer von euch bitte kurz anschauen, ob ihr aus meinem Logfile schlau werdet (den IE benutz ich übrigens fast nie):


Logfile of HijackThis v1.99.1
Scan saved at 21:26:54, on 13.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\sipgate X-Lite\sipgateXLite.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\CTPdeSrv.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.asus.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXXPRIVATXXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXXPRIVATXXX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\sipgate X-Lite\sipgateXLite.exe"
O4 - Startup: Miranda ME.lnk = C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159357429570
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXXPRIVATXXXX
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXXPRIVATXXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXXPRIVATXXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXXPRIVATXXXX
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

AntiVir bringt übrigens zwei Warnungen, es betrifft zum einen die C:\pagefile.sys und die C:\hiberfil.sys:


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\pagefile.sys'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Sind die harmlos oder steckt da was dahinter?

Zitat:

Zitat von UlfsHeizung

AntiVir bringt übrigens zwei Warnungen, es betrifft zum einen die C:\pagefile.sys und die C:\hiberfil.sys:


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\pagefile.sys'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Sind die harmlos oder steckt da was dahinter?

Also ich weiss dass es meist nicht sehr hilfreich ist wenn sich "Laien" wie ich es bin "erdreisten" hier zu antworten, aber ich bin mir ziemlich sicher dass es an den beiden Dateien nicht liegt. Hatte das Problem selber und hab hier im Forum und im Google einiges dazu gefunden, die Dateien betreffen die Auslagerungsdatei von Windows und den Ruhezustand (oder so ähnlich) und es kommt relativ häufig vor dass das Betriebssystem dem Virenscanner darauf den Zugriff verweigert.

Ich will den Thread doch nochmal vorholen, da ich mittlerweile sogar schon "Nachrichten" auf den Bildschirm gekriegt hab (beim Schreiben eines Word-Dokuments tippte es ohne mein Mitwirken los, à la: "Wir müssen nch wegen Smstag etwa s besprechen")...
Seht ihr noch ne Möglichkeit, die Sache zu retten, ohne alles plattzumachen (das hab ich zwar eh vor, aber erst in zwei Wochen, da ich bis dahin absolut keine Zeit dafür hab)? Brauche Hilfe, schonmal danke dafür!

Zu TomFlinz:
Ich bin auch nur Laie, wie viele andere auch hier. Du "erdreistest" Dir nichts, wenn Du gut recherchierst und Dein Wissen weitergibst. Davon lebt dieses Forum.

Zu UlfsHeizung (Wo hast Du eigentl. diesen Nick her?) :
Aus Deinem Log ist zunächst nichts gravierendes zu erkennen. Deshalb würde ich einen scan Deines Systems vorschlagen:
http://www.trojaner-board.de/38066-e...ightymarc.html
Das Ergebnis dieses scans postest du mit der sog. "find-bat", die ist in der Anleitung enthalten.
Desweiteren kannst Du mal folgende Datei bei Virustotal überprüfen lassen: http://www.virustotal.com/en/indexf.html
C:\Programme\PartyPoker\PartyPoker\RunApp.exe

Alternativ bei Jotti, sollte Virustotal nicht funktionieren:
Online malware scan

EDIT: Hi myrtille. Irgendwie heut Server-Probs. Aber liegen ja beide "fast" über ein!

Wenn jemand zu Zugang zu deinem Rechner hat, hilft nur noch neuaufsetzen. Ein hübsche Anleitung gibt es hier: Neuaufsetzen

Falls du dein System noch überprüfen willst, um zu sehen was dich da befallen hat kannst du mal eScan drüberlaufen lassen. (Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)
Außerdem noch ein Log von silentrunner-log und Blacklight erstellen.

Es führt am Neuaufsetzen allerdings kein Weg vorbei! Die sicherste Variante wäre bis zum Neuaufsetzen den Rechner vom Netz zu nehmen.

@TOM:
Du hast recht, die Dateien gehören zu Windows, sind mE Auslagerungsdateien (?), wobei die hyberfil.sys zb für die Speicherungen beim Ruhezustand zuständig ist.

lg myritlle

EDIT: und wie immer zu langsam. Hi Mobius!

Ich tat wie mir gehießen, aber erhielt nur die leere Formular-Datei von der bat-Datei erzeugt. Mag möglicherweise daran liegen, dass mein PC sich geweigert hat, im abgesichterten Modus zu booten (einige Male versucht und immer ist er normal gestartet). Immerhin fand der eScan 9 Viren/Spyware..

Die PartyPoker-Datei enthielt tatsächlich etwas: Trojan-Clicker.Win32.Agent.jm


Jetzt die Frage: Wäre es fatal, noch anderthalb Wochen mit dem PC zu arbeiten, bevor ich ihn neu aufsetze?
Und ganz allgemein: Reicht es, die C:-Partition zu formatieren? Denn auf der anderen liegen meine Daten und die würde ich gerne behalten (das letzte Backup liegt ein wenig zurück)... denn die auf einen anderen PC kopieren wäre nicht sonderlich klug, oder?