|
AntiVir und WindowsXP Hallo Zusammen, eigentlich kenne ich mich "relativ" gut mit Pcs aus nur jetzt bin ich fast am verzweifeln. Ich habe AntiVir als Virenscanner nur dieser muss ich immer manuell aktivieren beim Neustart egal was ich mache. Er ist trotzdem nach jedem neustart deaktiviert (Antivir Guard). Neuinstallationen usw brachten keine Besserung! Suchlauf brachte keine Virenfunde :confused: Wenn ich AVG installiere und den Pc neustarte bekomme ich den Pc nur noch im Wiederherstellungsmodus zum starten oder im Abgesicherten Modus. Also alles sehr verdächtig. Was kann ich also tun? Ich hoffe mir kann irgendwer weiterhelfen weil ich den Pc doch tag täglich benutzen muss und Angst habe das er irgendwann gar nicht mehr anspringt weil alles zerhauen wurde und meine Daten futsch sind. :schmoll: |
@ Stubenfliege Zitat:
Bei dem Dienst AntiVirService sollte Automatisch ausgewählt sein, wenn nicht darauf doppelklicken und ändern. Es kann aber trotzdem auch mit einem Virus zusammenhängen erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden. Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe |
Zitat:
Das andere werde ich jetzt mal machen und das Ergebniss dann Posten. Bin schon gespannt was da dann rauskommt! |
Logfile of HijackThis v1.99.1 Scan saved at 19:21:21, on 15.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\ATKKBService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe C:\Programme\Mozilla Firefox\firefox.exe I:\Azureus\Azureus.exe C:\Programme\Java\jre1.5.0_01\bin\javaw.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [NBJ] "F:\Ahead\Nero BackItUp\nbj.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116008351959 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe So das wars ja schon. Wie ich sehe stimmt da was nicht mit dem Virenscanner, nur was ist das Problem nur?? |
Problem liegt hier Zitat:
Das ist ein aktiver Backdoor und um wieder ein sicheres System zu haben solltest du dein System neu aufsetzen Schau auch mal hier oder hier Hilfe zum Neuaufsetzen |
Anderst habe ich gar keine Chance außer neu Aufsetzen? :( |
IMHO also nicht, es kann keiner genau sagen was bis jetzt schon an deinem System verändert wurde (oder nicht) um wieder sicher unterwegs zu sein solltest du deine Daten sichern dabei auf ausführbare Dateien verzichten und dann Neuaufsetzen und wie in der Anleitung beschrieben vor der ersten Internetbegegnung absichern. Hier mal noch was der Virus alles kann: # Ermöglicht Dritten den Zugriff auf den Computer # Stiehlt Daten # Lädt Code aus dem Internet herunter # Reduziert die Systemsicherheit # Speichert Tastenfolgen # Installiert sich in der Registrierung lese mal über Kompromittierung |
Zitat:
Gruß :daumenhoc Yopie |
Das ist echt bitter, dann weiß ich ja was ich am wochenende tun muss :-( Wie kann man sich denn sowas einfangen? Ich hatte noch nie einen Virus oder sonstiges deswegen frag ich. |
Seit wann hast du SP2 und alle anderen Updates installiert? Gruß :daumenhoc Yopie |
Ich habe den Pc seit knapp 3 Wochen. SP2 / + alle Updates wurde sofort mit ANtiVir installiert. Das Problem ist mir dann vor 2 wochen mal aufgefallen. Hoffe ich komm noch mal drum herum und kann ihn so löschen und dann nochmal alles testen. Vielleicht hatte ich dann nochmal glück. |
Ich sehe übrigens keine Infektion aufgrund der CThelper. Die gehört wohl eher zur Soundblaster... :o Gruß :daumenhoc Yopie |
Nur wo kommt dann mein Problem her? Es kann ja nicht einfach so da sein oder?! bzw. kann ich es irgendwie noch testen ob mein System befallen ist? Ich lass gered Bitdefender (der Onlinescanner) durchlaufen vielleicht wird da was gefunden. Was habt Ihr noch für Tipps? |
Du kannst es mal mit http://www.trojaner-board.com/showthread.php?t=17492 versuchen. Gruß :daumenhoc Yopie |
Ich verstehe das jetzt auch nicht CTHELPER.EXE die gehört doch zu Creative und ich glaube kaum das die einen Backdoor Trojaner in ihrer Software haben. Aber du kannst ja die CTHELPER.EXE bei JOTTI überprüfen lassen. |
Ich werde den anderen Test jetzt mal machen und das Ergebniss dann hier Posten vielleicht weiß man dann mehr! Weil irgendwas muss ja sein oder meint Ihr nicht? |
Zitat:
Gruß :daumenhoc Yopie |
@ auf die schreibweise mit achten Zitat:
führe trotzdem mal eScan aus wie Yopie empfohlen hat :rolleyes: |
Du hast schon recht, das kann ein Backdoor-Eintrag sein. Aber muss nicht, deswegen ist die Schlussfolgerung "Neuaufsetzen" in dem Fall übertrieben. Jedenfalls dann, wenn man nicht die anderen Möglichkeiten erwähnt. Zumal die anderen Soundblaster-Einträge gegen Malware sprechen. ;) Wie immer gilt: Dateinamen sind trügerisch. Gruß :daumenhoc Yopie |
@ Yopie das mag ja alles sein aber die Fehlerbeschreibung und der Virus decken sich doch oder bist du da anderer Meinung? :crazy: Aber wie ich schon gepostet habe ein eScan ist noch ein Versuch wert. # Schaltet Antiviren-Anwendungen aus # Ermöglicht Dritten den Zugriff auf den Computer # Verändert Daten auf dem Computer # Löscht Dateien vom Computer # Stiehlt Daten Quelle hier |
Zitat:
Gruß :daumenhoc Yopie |
Datei: CTHELPER.EXE Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden so das wäre das eine mal! |
Bei dem anderen weiß ich nicht was ich genau Posten soll. Alles wäre denke ich mal totaler Unsinn :-) Wed Jun 15 23:44:46 2005 => ***** Checking for specific ITW Viruses ***** Wed Jun 15 23:44:46 2005 => Checking for Welchia Virus... Wed Jun 15 23:44:46 2005 => Checking for LovGate Virus... Wed Jun 15 23:44:46 2005 => Checking for CodeRed Virus... Wed Jun 15 23:44:46 2005 => Checking for OpaServ Virus... Wed Jun 15 23:44:46 2005 => Checking for Sobig.e Virus... Wed Jun 15 23:44:46 2005 => Checking for Winupie Virus... Wed Jun 15 23:44:46 2005 => Checking for Swen Virus... Wed Jun 15 23:44:46 2005 => Checking for JS.Fortnight Virus... Wed Jun 15 23:44:46 2005 => Checking for Novarg Virus... Wed Jun 15 23:44:46 2005 => Checking for Pagabot Virus... Wed Jun 15 23:44:46 2005 => Checking for Parite.b Virus... Wed Jun 15 23:44:46 2005 => Checking for Parite.a Virus... Wed Jun 15 23:44:46 2005 => Checking for Adware.SeekSeek Virus... Wed Jun 15 23:44:46 2005 => ***** Scanning complete. ***** Wed Jun 15 23:44:46 2005 => Total Objects Scanned: 142216 Wed Jun 15 23:44:46 2005 => Total Virus(es) Found: 6 Wed Jun 15 23:44:46 2005 => Total Disinfected Files: 0 Wed Jun 15 23:44:46 2005 => Total Files Renamed: 0 Wed Jun 15 23:44:46 2005 => Total Deleted Objects: 0 Wed Jun 15 23:44:46 2005 => Total Errors: 177 Wed Jun 15 23:44:46 2005 => Time Elapsed: 01:54:22 Wed Jun 15 23:44:46 2005 => Virus Database Date: 2005/06/13 Wed Jun 15 23:44:46 2005 => Virus Database Count: 134428 Wed Jun 15 23:44:46 2005 => Scan Completed. Wed Jun 15 23:45:11 2005 => Virus Database Date: 2005/06/13 Wed Jun 15 23:45:11 2005 => Virus Database Count: 134428 Wed Jun 15 23:45:17 2005 => AV Library Unloaded (3)... |
Zitat:
Zitat:
Gruß :daumenhoc Yopie |
diese find.bat geht aber bei mir nicht da passiert einfach gar nichts :-( |
Zitat:
Yopie |
Wed Jun 15 22:01:28 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Wed Jun 15 23:38:16 2005 => File I:\Zeugs\alte platte\alter pc\Eigene Dateien\tools\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wed Jun 15 23:20:14 2005 => File I:\eMule\Incoming\Postal2\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wed Jun 15 23:16:16 2005 => File I:\eMule\Incoming\Macromedia.Mx.2004.(Dreamweaver,.Fireworks,.Flash,.Incl.Plugins,.Serials,).German.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wed Jun 15 23:15:37 2005 => File I:\eMule\Incoming\Macromedia MX 2004\Flash MX 2004\Flash_Video_Exporter.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wed Jun 15 22:29:34 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken. Wed Jun 15 21:53:10 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken. Ich glaub ich kann mich wohl bei meinem Kumpel und seiner externen Platte bedanken wo ich dran hatte, die gerade abgestöbselt wurde auch. Kann man schon was sagen was es ist :balla: |
Zitat:
Gruß :daumenhoc Yopie |
Nur was schaltet denn nur immer mein Virenscanner ab? Das ist echt nervig ;-( |
Entweder noch unbekannte Malware, oder ein generelles Problem von AntivirPE. Das hilft natürlich nicht wirklich weiter. Vielleicht kann das AVPE-Board mehr dazu sagen? http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi z.B. http://www.free-av.de/cgi-bin/ubb/ul...c&f=6&t=005502 Gruß :daumenhoc Yopie |
Das mit der Systemsteuerung war es dann so wie es ausschaut und die ersten Test es belegt haben. Also schon mal ein Rießen DANK an euch. Wirklich Spitze Forum. Ich werde ich weiterempfehlen! Und schonmal ein wunderschönes Sommerwochenende (auch wenns erst Donnerstag ist :o ) :party: |
@ Stubenfliege da habe ich mich wohl doch verrannt :( aber dafür gibt es ja hier mehr Leute die die Probleme checken @ Yopie :daumenhoc |
Moin, Zitat:
Ich meine mich zu erinnern, daß Creative auch schon einen Patch herausgebracht hat. Beide Firmen hatten Kontakt deswegen. Aber es tritt halt hin und wieder immer mal wieder auf. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board