hallo erstmal!

ich habe folgendes problem:

mein antivirus "antivir" findet bei mir ständig viren(würmer) oder trojaner auf der platte obwohl ich nur auf bekannten seiten surfe, nie irgendwelche unbekannten e-mails öffne und nichtmal im IRC anwesend bin.
dann hab ich mir adaware und spybot zugelegt aber die finden ebenfalls immer neue trojaner und so. übrigends lasse ich täglich die antivirenprogramme updaten und mache einen scandurchlauf.

das problem ist jetzt, dass durch die vielen viren und trojaner die cpu auslastung sehr darunter leidet. nach einen virenscan ist für kurze zeit ordung geschafft aber nach kurzer zeit kommen schon wieder die ersten warunung von antivir...

ich habs sogar schonmal mit formatieren versucht aber hat sich auch nichts gebracht. nach einiger zeit sind wieder neue viren und trojaner auf meinem computer.

also ich weiß echt nicht mehr weiter, wenn ihr mir helfen könntet das die viren und trojaner erst gar nicht mehr auf meinem computer landen wär ich euch wirklich sehr dankbar!
ich hab mir sogar schon überlegd ob ich mir einen neuen pc zulegen soll weil ich so einfach nicht damit arbeiten kann wenn dauernd warnungen von antivir eintreffen, bei jedem scandurchlauf neue viren findet und die cpu auslastung enorm ist so dass man kaum spiele spielen kann...

habe windows 2000 mit service pack 4 und die aktuallsten updates.

edit:
mir ist aufgefallen das sich die viren nur einnisten wenn ich online bin.

ciao
SEAL

[ 10. Juni 2004, 11:10: Beitrag editiert von: SEAL ]

dein pc scheint ziemlich verseucht zu sein.. evtl. mal hijackthis-log posten.. trotzdem bezweifel ich ob dir noch zu helfen ist..

______

schliese mal den browser!
lösche temp.internetfiels incl.offlineinhalte! dann leere den Inhalt des Ordners TEMP dann den papierkorb!

dann erst mach mit HijackThis einen scan und poste den log-bericht!

besten gruss erstmal...
rock

ok, danke vorerst mal!

ich hab einen scan in HijackThis durchgeführt und hier ist die log file:

btw. hab zuvor einen virenscan durchgeführt.

Logfile of HijackThis v1.97.7
Scan saved at 13:05:40, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\zcorefix32.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\zcorefix32.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\svchost.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gamestar.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Config.exe] Config.exe
O4 - HKLM\..\Run: [Config33.exe] Config33.exe
O4 - HKLM\..\Run: [Windows TCP/IP Helper] zcorefix32.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [Config.exe] Config.exe
O4 - HKLM\..\RunServices: [Config33.exe] Config33.exe
O4 - HKLM\..\RunServices: [Windows TCP/IP Helper] zcorefix32.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows TCP/IP Helper] zcorefix32.exe
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

hmm...jetzt seh ich aber keine viren/trojaner mehr...wahrscheinlich ist es schon beim leren der tempdaten entfernt worden was immer da gewesen sein soll...

gruss
rock

edit: windows update solltest du mal durchführen und für dein system entsprechende wichtige sicherheitspatch installieren lassen!

edit2:
zur gegenprüfung nacher bitte onlinescannen!!
http://de.trendmicro-europe.com/ente...all_launch.php

[ 10. Juni 2004, 13:14: Beitrag editiert von: rock' ]

ich hab mir jetzt die sicherheitsupdates gezogen und installiert, mal sehen ob die was bringen...

nachher hab ich den online antivirenscanner durchlaufen lassen und der hat 55 viren gefunden, ich hab natürlich gleich alle gelöscht. es scheint ein ziemlich guter gratis antivirus zu sein, wenn mein antivir nicht mal einen findet.

windows update sind übrigends auf neustem stand.

ich werd jetzt mal abwarten und schauen wieviel sich das ganze gebracht hat aber ich denke es sieht schon um einiges besser aus. [img]smile.gif[/img]
nochmals vielen dank für deine hilfe, in einem anderen forum konnte mir überhaupt nicht geholfen werden.

kann es eigentlich auch sein das die internetverbindung durch einen trojaner verlangsamt wird?

ich hab mich wohl zu früh gefreut, die cpu auslastung ist noch immer ziemlich hoch.

edit:
in spielen hab ich auch nur noch einen ping von 200. :/

ich glaub schön langsam meinem computer ist echt nicht mehr zu helfen, da hilft nicht mal mehr formatieren.

[ 10. Juni 2004, 17:03: Beitrag editiert von: SEAL ]

könntest du mal nur zum test antivir pe einmal deaktivieren/ausmachen?
dann spiel einmal
wie schauts dann aus?

und wenn irgendwas 55stück löscht, dann hast du vorher nicht temp.internetfiles incl.offlineinhalte gelöscht. wenn schon, frag ich mich wo diese daten alle gefunden worden sind...

wie hat den überhaupt der virus/trojaner oder was imer geheißen??

gruss
rock

ich hab den anitivir guard wie du beschrieben hast mal deaktiviert aber es zeigt weder verbeserung in der cpu auslastung noch einen besseren ping. mir ist auch aufgefallen das das internet grundsätzlich ziemlich langsam geworden ist bzw. auch beim internet surfen.

und die temp und offline files hab ich schon gelöscht, da bin ich mir sicher.

die viren hießen irgendwie so "spybot, bot,..." und so, sorry hab nich so genau nachgesehen.

ich hab noch mal eine aktuelle log-file, vielleicht kannst du jetzt irgendwas finden:

btw. für was ist eigentlich diese msgfix.exe und zcorefix32.exe?

Logfile of HijackThis v1.97.7
Scan saved at 18:33:20, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\zcorefix32.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\zcorefix32.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\msgfix.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gamestar.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Config.exe] Config.exe
O4 - HKLM\..\Run: [Config33.exe] Config33.exe
O4 - HKLM\..\Run: [Windows TCP/IP Helper] zcorefix32.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [Config.exe] Config.exe
O4 - HKLM\..\RunServices: [Config33.exe] Config33.exe
O4 - HKLM\..\RunServices: [Windows TCP/IP Helper] zcorefix32.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows TCP/IP Helper] zcorefix32.exe
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[ 10. Juni 2004, 18:41: Beitrag editiert von: SEAL ]

merkwürdig, der log zeigt keine einzige microsoftzeile...

hast du sicher dein system mit den vorhandenen sicherheitspatch versorgt? über die windowsupdtatefunktion am rechner?

Ordner TEMP ist auch geleert?

wegen dem eintrag was du fragtest:
O4 - HKLM\..\RunServices: [Windows TCP/IP Helper] zcorefix32.exe
C:\WINNT\system32\zcorefix32.exe

wenns von dir kein progie ist...

bitte check die dateien da einmal:
http://www.kaspersky.com/de/remoteviruschk.html

die trojaner die du nanntest sind backdoors.
also sind durchaus für deine auslastung und das problem mit der verbindung verwantwortlich.

vielleicht solltest du im abgesicherten modus nochmal scannen...aber ich sehe auch im neuen log nichts davon was ich kennen würde zuminderst was auf den backdoor hinweist...

gruss
rock

[ 10. Juni 2004, 18:56: Beitrag editiert von: rock' ]

jo, ich hab das alles so gemacht wie du sagtest.

der onlinescanner meint das die 2 dateien infiziert sind.

aber ich hab jetzt die nase voll und werd formatieren auch wenn sich nach kurzer zeit wieder viren und trojaner einnisten... dann kann ich wenigsten für kurze zeit was machen.
weiß auch nicht irgendwie zieht der computer seit einiger zeit die viren an.
trotzdem danke für deine hilfe!
wenn du noch tipps hättest was du alles beachten würdest nachdem du den computer formatiert und neu aufgesetzt hast, wär ich dir nochmals sehr dankbar. was sollte ich alles installieren um mich so gut wie möglich vor viren und trojanern zu schützen außer antivir, adaware und spybot?

also ich persönlich traue garnix aus dem internet.
also es gibt ein oline tool namens kerpaski.
das darf dann deinen kompletten computer untersuchen?? nie nie nie nie!
weil: 1 umsonst gibts nix
2 du wirst bestohlen
auch wenn du nix direkt merkst abewr du wirst bestohlen in deiner privatsphäre. so ist das.
kannst glauben oder net

@ garnix

Das wissen wir ja nun und ich möchte dich bitten - wenn du nichts zu diesem Thema zu schreiben hast - nicht weiter deinen Unmut zu verbreiten !!

...oder muß ich Troll Alarm auslösen [img]tongue.gif[/img]

Schau mal hier nach:

http://www.sophos.de/virusinfo/analyses/w32sdbotgv.html

Wäre interessant zu wissen, wer sich aufgrund dieser Geschichte alles schon so auf deinem PC getummelt hat.

Ich wage allerdings zu bezweifeln, dass deine Updates wirklich auf dem neusten Stand sind.

Andreas

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Ebert:
Schau mal hier nach:

http://www.sophos.de/virusinfo/analyses/w32sdbotgv.html

Wäre interessant zu wissen, wer sich aufgrund dieser Geschichte alles schon so auf deinem PC getummelt hat.

Ich wage allerdings zu bezweifeln, dass deine Updates wirklich auf dem neusten Stand sind.

Andreas </font>[/QUOTE]man, wie ich das gelesen hab ist es mir kalt über den rücken gelaufen...
das kann ja sein das ich den virus nie wieder wegbringe... kein wunder das sich das formatieren nichts gebracht hat. ich kann den virus zwar löschen aber nach kurzer zeit ist er wieder auf der platte. der pc ist echt im arsch, naja wenigstens weiß ich jetzt was das für ein virus ist, was mir aber auch nicht wirklich weiterhilft.
cd keys gestohlen, kennwörter gehackt, daten gelöscht,... das ist mal echt hart.

[ 10. Juni 2004, 21:21: Beitrag editiert von: SEAL ]