Hallo erstmal,
Ich habe ein problem:
mein pc spielt ein bisschen verrückt msn usw ist sehr langsam geworden und hängt auch oft

mein antivir findet nix aber ich denke ich habe da ein virus oder so ich habe mal ein hijack logfile erstellt hoffentlich könnt ihr mir weiter helfen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:10:17, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wizipp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {33704B0F-9EB7-434B-B752-EA6CFFB87423} (pmjpegaudio Class) - http://193.138.213.169/JpegInst.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8259 bytes

( ah ja da ist eine datei in C:/WINDOWS/system32/wizipp.exe heißt die und dieste datei wurde gestern eerstellt seit gestern habe ich auch diese probleme
wenn ich versuche die datei zu löschen steht da : Fehler: Datei konnte nicht gelöscht werden da es von einem anderen benutzer oder programm verwendet wird . bitte schließen sie das programm und versuchen sie es erneut??????)

Hallo

lass bitte die Datei
C:\WINDOWS\system32\wizipp.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Zitat:

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing6.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Zitat:

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

erstmal:
Dateiname : wizipp
Größe : 6649 byte
Typ : JPEG image data
MD5 : e3b9c87338e9b55c9b5d47f3bbd37198
SHA1 : 36d808ebc31a4b02f3272c8c8bec419c02eab815

dan gibt es noch eine wizipp.exe:
aber wenn ich diese datei uploden will steht da EROR: Datei konnte nicht gefunden werden????









edit:
habe hochgeladen :

http://rapidshare.com/files/146802057/listing.txt.html

ah ja ich bin mir jetzt zu 200 % sicher da ist was auf mein PC
ich konnte vorhin nix mehr mit maus und tastatur machen ich konnte die maus zwar bewegen aber nicht mehr auf was klicken :S:S
einzige lösung war : neustart

bite hilfe

Hallo

versuche bitte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) zu starten und lass die Datei
C:\WINDOWS\system32\wizipp.exe
jetzt nochmal prüfen.
Wenn das nicht klappen sollte, versuche eine Kopie der Datei auf dem Desktop zu erstellen und lass diese dann im normalen Modus auswerten.

Außerdem würde ich gern das gesamte Ergebnis sehen nicht nur die letzte 4 Zeilen.

EDIT: Silentrunners fehlt noch

MFG

ok danke an alle ich habe es im abgesicherten modus gelöscht
auf jedenfall war es ein BDS/Posion.CDS virus
soviel ich weis ist dieser virus zum hacken dar :S:S:S
ist der aber auch jetzt endgültog gelöscht??

Hallo

Zitat:

ok danke an alle ich habe es im abgesicherten modus gelöscht
auf jedenfall war es ein BDS/Posion.CDS virus

poste doch mal die Auswertung hierher, würde ich gerne sehen.

Zitat:

ist der aber auch jetzt endgültog gelöscht??

bei Infektion mit einer Backdoor sollte man keine halben Sachen machen und den Rechner neu aufsetzen, weil dir niemand sagen kann, ob und was an deinem System verändert bzw. verbogen wurde.
Du solltest keine ausführbare Dateien und keine Dateien aus unsicheren Quellen wie P2P sichern.
Ändere unbedingt alle deine Pass- und Kennwörter nach der Neuinstallation bzw. von einem sauberen System aus.

MFG

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 16:33:11
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 16:33:11
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 16:33:12
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 16:33:12
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:16:20
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 09:35:23
ANTIVIR3.VDF : 7.0.6.188 217088 Bytes 19.09.2008 06:26:58
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 18:43:44
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 13:09:50
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 18:43:44
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 13:09:49
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 18:43:43
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 18:43:42
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 16:16:24
AEGEN.DLL : 8.1.0.36 315764 Bytes 05.09.2008 10:55:38
AEEMU.DLL : 8.1.0.7 430452 Bytes 05.09.2008 10:55:38
AECORE.DLL : 8.1.1.11 172406 Bytes 05.09.2008 10:55:37
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 16:33:12
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 16:33:11
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 16:33:11
AVREP.DLL : 8.0.0.2 98344 Bytes 05.09.2008 10:55:37
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 16:33:11
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 16:33:11
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 16:33:12
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 16:33:10
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 16:33:10

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\CemInci\LOKALE~1\Temp\b0bea114.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 20. September 2008 19:32

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32\wizipp.exe'
C:\WINDOWS\system32\wizipp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Poison.CPD
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Samstag, 20. September 2008 19:33
Benötigte Zeit: 00:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

hmm formatiren ist nicht so gut aber wenns nicht anders geht

hab da noch ne frage ich will mein pc nicht formatieren :S
gibt es keine möglichkeit um zu prüfen ob alles in ordung ist??

Hallo

Zitat:

hab da noch ne frage ich will mein pc nicht formatieren :S

kann ich verstehen, du musst es auch nicht, wenn du nicht willst.

Es ist mir eigentlich egal, ob du beklaust wirst, von deinem System illegale Vorgänge gestartet werden oder eines nachts die Polizei bei dir vor der Tür steht und deinen Rechner mitnimmt (und dabei deinen Hund erschießt - Gruß an Karl), es ist nicht mein System.

Will sagen, du allein musst wissen ob du deinem System wieder vertraust oder nicht, für mich währe es keine Frage.

Zitat:

gibt es keine möglichkeit um zu prüfen ob alles in ordung ist??

eingeschränkt ist wohl was möglich, es würde aber ca. 3 Monate brauchen um alle Dateien in deinem System zu prüfen (wenn man damit auskommt).

MFG