seltsames Verhalten des PC, Virus?
 

Hallo,

folgendes Problem:

in regelmäßigen Abständen ca. alle 2h kommt bei meinem Windows XP Prof System die Meldung: "pv.exe kann nicht initialisiert werden". Gleichzeitig stürzt die ZoneAlarm Firewall ab und der Laptop ist zu 100% ausgelastet. Nicht einmal herunterfahren geht mehr.

Keine Ahnung was das sein könnte:

AntiVir findet keine Schädlinge.
HijackThis Log scheit OK zu sein (siehe logfile unten)
pv.exe habe ich nur eine in "C:\xampp\apache\bin"auf dem Rechner. Also nichts schlimmes.

Es kann auch sein, dass sich der Apache mit der Zonealarm Firewall und dem anderen Krempel auf diesem PC irgendwie nicht verträgt. Trotzdem kommt mir das Verhalten seltsam vor. Fall irgendjemand irgendwelche Hinweise geben kann, wäre ich dankbar.

Gruß,
Markus

_____________________________________________________
Logfile of v1.99.1
Scan saved at 21:29:43, on 30.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\regedit.exe
C:\xampp\xampp-control.exe
C:\xampp\apache\bin\apache.exe
C:\xampp\mysql\bin\mysqld.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\arbeit\LOKALE~1\Temp\Rar$EX00.681\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Skype.lnk = C:\Programme\Skype\Phone\Skype.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172333626979
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Noch eine Info:

Das Problem tritt auch auf, wenn ich absolut nichts am Laptop mache, d.h. einfach nur hochfahren und dann 2 Stunden stehen lasse.

Lade doch die pv.exe mal bei Virustotal hoch. Ergebnis kannst du ja mal posten.

Und wenn du mal XAMPP neu einspielst?

Danke für den Tipp mit Virustotal.
Leider lässt sich die Seite heute abend nicht aufrufen. Muss es mal morgen wieder probieren.

Wenn das Problem weiter besteht werd ich dann mal xampp neuinstallieren (wobei ich das erst vor ein paar Tagen getan habe) oder gleich den PC mit einem Image neu aufsetzten.

Alternative zu Virsutotal:
Online malware scan

hab heute nacht mal Escan laufen lassten. Ergebnis: Es wurde noch ein Wurm
Sober.... im Papierkorb gefunden. Mal schauen wie ich den zuverlässig wegbekomme. Ich denk das andere Zeug das gefunden wurde ist nicht so wichtig.

____________________________________________________

Löschen? ;)

Logisch! Aber kann ich davon ausgehen, dass der Virus weg ist wenn ich diese eine Datei die mir escan anzeigt lösche oder sollte ich mal nach einen speziell für diesen Virus zugeschnittenes Entfernungstool von irgendeinem Virenscannerhersteller googeln.

Da das ding im Recycler liegt sollte es eig. nichts anrichten können ;)

Danke für den Hinweis.

ich hab jetzt mal das Apache Forum durchstöbert. Dort wird exakt mein Problem des öfteren beschrieben. Über die Ursache des Problems bzw. die Beseitigung ist man sich noch nicht so ganz einig. In Diskussion sind als Ursachen:

Troyaner: csrss.exe
fehlerhaftes Windows Update
ZoneAlarm v.7
Fehler im xampp Control Panel

Einig ist man sich darüber, dass die "pv.exe" kein Virus ist. Ergebnis vom virustotal bei meiner pv.exe. Einer von den vielen Virenscannern erkannte die Datei als Troyaner. Ob das jetzt ein falsch positives ergebnis ist??

Mal noch ne blöde Frage: Escan ht mir mir Spyware festgestellt: Wie bekomme ich diese weg?