Lauter Merkwürdige Plagegeister :(
 

hallo, ich habe seit einiger zeit ein haufen an problemen mit windows bekommen!
hier einige erlaüterungen:
- mein media player ging tagelang nicht, es kam immer keine rückmeldung!
- antivir konnte beim hochfahren nicht mehr selbsständig aktiviert werden, updates schlugen fast immer fehl
( wollte dann das antivir neuinstallieren, aber es ging nicht, im taskmanager ist dann plötzlich immer die iexplore.exe gekommen, sobald ich den task dann beendete konnte ich antivir auch installen, aber es lief für max 3h)
- dann kam noch dazu das er plötzlich neustartete ohne vorwarnung oder bluescreen einfach so, dabei war wirklich keine anstrengung!

mmh, es tauchten dann lauter neue prozesse im taskmanager auf, wie iexplore.exe (nutze immer ff)
dann noch savedump.exe und nvsvc32.exe und ähnlichem :mad:

mmh, das problem ist auch, dass in msconfig bei dem system start eine dumprep 0k geladen wird, also habe ich sie abgeschaltet, aber sie entsteht immer wieder neu beim nächsten systemstart , man kann sie auch nicht mit dem regedit herauslöschen?!

dann habe ich also beschlossen mein windows neuzumachen, also meine daten auf die externe platte gehauen und formatiert, nun habe ich nachdem ich meine daten wieder rübergezogen habe wieder die gleichen symptome wie oben!

habe dann kaspersky, sophos, antyspy und alles mögliche mal durchlaufen lassen, es wurde aber nie etwas gefunden ?!??!

dies finde ich sehr merkwürdig, denn ich glaube kaum, dass das normal so in windows ist?


hier noch mein hj log, meistens ist auch noch die savedump.exe mitdrin, diesmal aber wohl nicht!

Logfile of HijackThis v1.99.1
Scan saved at 17:33:08, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\FRAPS\FRAPS.EXE
C:\Dokumente und Einstellungen\NoRM\Eigene Dateien\pc\programme\CQSwitch.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\Media\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\NoRM\Eigene Dateien\hijackthis_199\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Startup: CQSwitch.lnk = C:\Dokumente und Einstellungen\NoRM\Eigene Dateien\pc\programme\CQSwitch.exe
O4 - Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4569F461-E74D-414D-8892-7DCECDE9D451}: NameServer = 192.168.0.1,192.168.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{4569F461-E74D-414D-8892-7DCECDE9D451}: NameServer = 192.168.0.1,192.168.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{4569F461-E74D-414D-8892-7DCECDE9D451}: NameServer = 192.168.0.1,192.168.0.0
O17 - HKLM\System\CS3\Services\Tcpip\..\{4569F461-E74D-414D-8892-7DCECDE9D451}: NameServer = 192.168.0.1,192.168.0.0
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Die folgenden zwei Dateien bitte bei jotti oder ähnlichem Scannen lassen und berichten.

Ist das wirklich fraps? Wenn ja, wie kommt das in den Autostart?

danke für die rashce hilfe, diese beiden prozesse sind mir auch schon aufgefallen

fraps ist wirklich fraps und ich habe es so eingestellt, das es zusammen mit win hochfährt ;)

und tatsächlich, endlich mal ein lichtblick, virustotal.com hat mir etwas angezeigt, aber seht selbst:
http://img265.imageshack.us/img265/3575/virus5rm.jpg
http://img265.imageshack.us/img265/5456/virus29ww.jpg

mmh, werde nun mal probieren, ob ich die kacke wegbekomm, mit den antivir programmen, die ihn erkannt, haben!

falls jemand erfahrungen mit den gezeigten viren hat, bitte helft mir bei der beseitigung :party:

Sende die beiden Dateien mal an newvirus@kaspersky.com

so, habe die dateien kaspersky, sophos, nod und quickheal geschickt!
ich hoffe die werden dem trojaner ein bisschen mehr beachtung schenken in zukunft:daumenhoc

habe mein system mit panda, nod32 und quickheal durchsucht und von dem dreck gesaübert!

den registryeintrag, der die datei immerwieder herstellte konnte ich auch wegbekommen!

antivir und alle programme laufen bis auf weiteres wieder einwandfrei, ich hoffe es bleibt so, will nicht nochmal so eine überraschung erleben.

hier noch meine aktuelle hjlogdatei nach dem booten:
Logfile of HijackThis v1.99.1
Scan saved at 23:34:11, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\FRAPS\FRAPS.EXE
C:\Dokumente und Einstellungen\NoRM\Eigene Dateien\pc\programme\CQSwitch.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\NoRM\Eigene Dateien\hijackthis_199\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Startup: CQSwitch.lnk = C:\Dokumente und Einstellungen\NoRM\Eigene Dateien\pc\programme\CQSwitch.exe
O4 - Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4569F461-E74D-414D-8892-7DCECDE9D451}: NameServer = 192.168.0.1,192.168.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{4569F461-E74D-414D-8892-7DCECDE9D451}: NameServer = 192.168.0.1,192.168.0.0
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: Guard NT - Unknown owner - C:\Ikarus\GuardNT\GuardNT.exe (file missing)
O23 - Service: NT Online Protection - Unknown owner - C:\PROGRA~1\QUICKH~1\ONLNSVC.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ich hoffe es ist nun alles sauber, thx :bussi:

Gib mal bitte bescheid, falls sich die Antiviren-Labs bei Dir melden sollten. Mich würde mal interessieren, ob das eine Mutante, eine neue Variante oder ganz was anderes ist.

bin zwar neu aber verfolge schon seit ein paar tagen dieses board

dann habe ich also beschlossen mein windows neuzumachen, also meine daten auf die externe platte gehauen und formatiert, nun habe ich nachdem ich meine daten wieder rübergezogen habe wieder die gleichen symptome wie oben!

das machen leider immer wieder anfänger
c formatieren neu installation von windows und denken alles was mit viren etc hat is weg aber bedenken dabei meistens nicht das was sie an daten abgesichert haben ob es selbst evt von nem virenbefall befallen ist und kopieren es gleich wieder auf einem sauberen windows
bin mal gespannt auf antwort von Antiviren-Labs

mfg mon