Anti Vir dienst ist immer von alleine weg
 

moin alle

hab so den verdacht bei mir rennt einige malware / trojaner am pc!

es rennen viele porzesse, hab schon ein bisschen gegooglet, aber nichts aufschlussreiches gefunden...
anti vir / andere scanner finden nichts.

auserdem stürzt die svchost.exe immer wieder mal ab, danach ist der serverdienst beendet und internetfreigabe etc..
ebenfalls beendet sich anti vir immer von selber (dienst und programm)

hier mal das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:22:27, on 02.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\cFosSpeed\spd.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\qip\qip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programme\Radmin Viewer 3.0\Radmin.exe
D:\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Window Hide Tool] C:\Programme\Window Hide Tool\Window Hide Tool.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0059BC0-0530-457C-A683-EA17701D5818}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: DirectX Service (Xuhab) - Unknown owner - C:\WINDOWS\system32\directx.exe

Hallo.
Ich auch. ;)

Kennst du das folgende Programm?
Der folgende Eintrag lässt nichts Gutes erahnen:
Geh bitte zu Virustotal und gib in das Eingabefeld oben rechts den folgenden Pfad ein:
Poste das komplette Scan-Ergebnis (das kann ein paar Minuten dauern) bzw. berichte, wenn es Probleme gibt.

windows hide tool kommt von mir ;)

hab das andere file mal scannen gelassen, wie du gesagt hast, folgendes kam raus:

omplete scanning result of "directx.exe", received in VirusTotal at 06.02.2007, 14:04:34 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.01.2007 no virus found
BitDefender 7.2 06.02.2007 BehavesLike:Win32.AV-Killer
CAT-QuickHeal 9.00 06.01.2007 no virus found
ClamAV devel-20070416 06.02.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3684 06.02.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.02.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 suspicious
F-Prot 4.3.2.48 06.01.2007 no virus found
F-Secure 6.70.13030.0 06.01.2007 no virus found
Ikarus T3.1.1.8 06.02.2007 no virus found
Kaspersky 4.0.2.24 06.02.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.02.2007 Backdoor:Win32/Rukap.gen
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.01.2007 Bck/DService.gen
Prevx1 V2 06.02.2007 no virus found
Sophos 4.18.0 06.01.2007 Mal/Agent-A
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.02.2007 Trojan.Monicker
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.01.2007 no virus found
VirusBuster 4.3.23:9 06.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.02.2007 no virus found

Aditional Information
File size: 63488 bytes
MD5: cd77192fd09420a922ee9b13861ae0a7
SHA1: 03605d0974929680335e2721038df55d95a7c24c
packers: UPX
packers: UPX
packers: UPX

danke, das ding wird ebenfalls von der platte fliegen, so wie ein paar andere exen auch was ich schon selber händisch gekillt habe!

edit://
die exe hab ich nun vom system gekillt, jetz muss ich dann nur noch gucken das mein antivir wieder geht ^^

Selbst gecoded, oder wie? :blabla:
Ich fürchte, dass das nicht reicht, da es sich möglicherweise um einen Backdoor-Trojaner handelt. Mach mal Folgendes:
1. Zippe die Datei directx.exe und versehe sie mit dem Passwort infected
2. Sende sie per Mail an newvirus <at> kaspersky.com
3. Gib als Betreff "New virus" an und als Mail-Text "Password: infected"

Melde dich, sobald du eine Rückmeldung hast. Mach dich aber auch schon mal mit dem Gedanken vertraut, dass dein System kompromittiert ist.
Was das bedeutet, steht in den Foren-FAQ unter dem Stichwort "Neuaufsetzen".

ne nix selbst gecodet, war ein test ;)


ich werde schauen ob die exe noch immer bzw schon wieder im System rumschwirrt, wenn ja mach ich was du gesagt hast ...

aber seit dem ich die exe gekillt habe und antiVir neu installiert habe, beendet sich er auch nicht mehr (hoffe das bleibt so)

ansonst werde ich den Rechner wohl neu aufsetzen müssen (was ich ungern mache, aber wenn es sein muss)...
ist eh schon reine Routine bei mir ..

Vielen dank erst mal für den super Support :)