Hallo, ich bin heute durch Zufall auf eurem Forum gelandet und wollte mal fragen ob ihr mir zu helfen wisst.

Und zwar funzen bei mir gleich ein paar Dinge nicht. Zum einen hängt sich der IE ca. nach 3 sec. auf (ohne Auswirkungen auf den ganzen PC) - so das ich mir keine Windowsupdates holen kann (ich benutze eigentlich Firefox) zum andern legt die "realsched.exe" den ganzen Computer lahm. Desweiteren bringt mir eMule (0.44b) nach einiger Zeit folgende Meldung:

- - - - - - - - - - - - - - - - - - - - - - - - - - -
Microsoft Visual C++ Runtime Library

Runtime Error!
Program: C:\Programme\emule\emule.exe

abnormal program termination
- - - - - - - - - - - - - - - - - - - - - - - - - - -

Wobei diese Meldung auch in Zusammenhang mit der explorer.exe schon mal gefallen ist.
Danach wird das jeweilige Programm natürlich beendet.

Das ganze hat eigentlich erst angefangen als ich das SP2 installiert hab.



Vielen Dank für eure Hilfe.


Hier noch das obligatorische HijackThis Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:40:06, on 09.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\WINDOWS\system32\msupdate32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Desktop Architect\datray.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SSH Communications Security\SSH Accession Lite\ssh_accession.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\!ProgrammSetups\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [FLSY] C:\WINDOWS\FLSY.exe
O4 - HKLM\..\Run: [Update Manager] C:\WINDOWS\system32\msupdate32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ActiveXUpdate] C:\WINDOWS\System32\svcss.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Desktop Architect] "C:\Programme\Desktop Architect\datray.exe" -S
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SSH Accession.lnk = C:\Programme\SSH Communications Security\SSH Accession Lite\ssh_accession.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094455942093
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE3750A1-5FE8-450D-9491-4BA97D32FA35}: NameServer = 217.237.151.161 217.237.151.33

Hallo Waddehadde,

auf Deinem System laufen ein paar unbekannte Prozesse:

C:\WINDOWS\system32\msupdate32.exe
C:\Programme\Desktop Architect\datray.exe
C:\Programme\SSH Communications Security\SSH Accession
Lite\ssh_accession.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\FLSY.exe
C:\WINDOWS\System32\svcss.exe

überprüfe sie bitte mit dem online-scan von Kaspersky. Teile uns das Ergebnis und sende die Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung und fixe mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Erstelle dann ein neues Hijack This Logfile und poste es.

SD

Hallo,

Zitat:

C:\WINDOWS\system32\msupdate32.exe

Hier ist der Verursacher, ein aktiver Wurm mit Backdoor Funktionalität:
WORM_SPYBOT.GEN. -> http://www.trendmicro.com/vinfo/viru...OT.GEN&VSect=T

Eine Lösung findest du hier:
http://www.trojaner-board.de/showpos...28&postcount=2