copy.exe und host.exe fehlen/als Viren erkannt
 

Hallo alle miteinander:)

Ich habe seit kurzem ein komisches Problem. Vor ein paar Tagen wollte ich mal
wieder meine Festplatte mit einem Doppelklick öffnen und bekam folgende Fehlermeldung:

http://i28.tinypic.com/1zykop5.jpg

Und seitdem kann ich meine Festplatten nur noch mit Rechtsklick und öffnen öffnen.:(

http://i29.tinypic.com/wbcop4.jpg

Zudem steht oben, wie ihr sehen könnt, immer nur noch Autoplay.
Das geht mir langsam wirklich auf die Nerven und beim Windows start kommt andauernd das er host.exe und copy.exe nicht finden kann.

Zudem habe ich zurzeit viele Probleme mit meinem Rechner. Zu beginn steht oft beim PC-Start checksum error und ich muss dann erst F1 drücken.
Außerdem muss ich andauernd die Uhrzeit neu einstellen und manchmal schickt er mich dazu ins BIOS.
Hier mal ein Hijackthis Log

AntiVir hat auch schon bestätigt das copy.exe ein Virus, ein Trojaner wäre. Leider kann ich die genaue Bezeichnung zur copy.exe und zur host.exe nicht mehr finden. Jedenfalls wurden diese als Viren erkannt!

ps.: Ich hoffe ihr könnt mir helfen und ich danke schon mal!


----------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:56:06, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\UPHClean\uphclean.exe
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Programme\Razer\Copperhead\razerhid.exe
E:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
E:\Programme\Analog Devices\Core\smax4pnp.exe
E:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Razer\Copperhead\razertra.exe
E:\Programme\Razer\Copperhead\razerofa.exe
E:\Programme\firefox.exe
E:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
E:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
E:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTAEE.EXE
E:\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.c*m
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.c*m
F3 - REG:win.ini: load=E:\WINDOWS\svchost.exe
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [amd_dc_opt] E:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Copperhead] E:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Launch LGDCore] "E:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "E:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] E:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "E:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09F2CDE6-495D-49BF-9E1C-9F1157FC8D0E}: NameServer = 217.237.149.142 217.237.150.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{09F2CDE6-495D-49BF-9E1C-9F1157FC8D0E}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe


----------------------------------------------------------------
End of file - 6274 bytes

Sieht nach nem fetten Schädling aus. Werte diese Datei mal bei Virustotal aus und poste die Ergebnisse. Du solltest den kompletten Pfad zu dieser Datei kopieren und ins Adressfeld bei VT mittels STRG+V einfügen.

Mach danach mal einen Check mit Blacklight (=> Link unten) und poste auch davon das Logfile.

Ein Austausch der Mainboard-Batterie könnte helfen...

Danke für die schnelle Antwort!:)

Allerdings weiss ich nicht, wo ich die Adresse bei Virus Total eingeben soll?
Ich hab schon gegooglet, aber man muss etwas hochladen?:confused:

Ja, bei Virustotal lädst Du verdächtige Dateien (eben diese svchost.exe - ein Schädling, der sich als Systemdatei tarnt) direkt von Deinem PC nach VT hoch zur Überprüfung.

Klick hierrauf ==> http://www.virustotal.com/de/ <==

Da findest Du das Adressfeld für die Datei, die hochgeladen und ausgewertet werden soll. Der Rest versteht sich eigentlich von selbst.

Also ich hab E:\WINDOWS\svchost.exe im Adressfeld eingegeben, wie du gesagt hattest und dann auf "Senden der Datei" geklickt.

Allerdings kommt dann nur das hier ganz oben links auf einer weißen Seite:

0 bytes size received / Se ha recibido un archivo vacio

Ok, dann scheint die Datei schon weg zu sein. Mach dann mal bitte mit Blacklight weiter.

So, also Blacklight hat nichts gefunden.

Allerdings kommt plötzlich AntiVir mit folgender Meldung:

http://i25.tinypic.com/168eurt.jpg

Ich hab auf "löschen" geklickt.
:balla:

Da ist Mist im Systemwiederherstellungsordner. Deaktivier sie daher, Du kannst sie aufgrund der Möglichkeit, daß Schädlinge mitgesichert wurden, eh nicht mehr vernünftig benutzen.

hi, ich hab (fast) das gleiche problem,

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Moin aus Hamburg!
Ich habe eine Lösung für euer Problem. Ich fing mir dasselbe ein von einem USB stick.
Mit der Kombination aus Virenscanner und Spyware killer (bei mir Avira personal feat. Spybot Search and destroy), sämtliche Festplatten im Abgesicherten Modus scannen, und danach per Hand die Autorun.inf von den jeweiligen Platten löschen (sind versteckt).

Auf diese weise habe ich bereits 6 Rechner bearbeitet, immer mit Erfolg.

Die letzte Antwort ist über drei Monate her, wenn noch was von Interesse da wäre, wäre sicherlich in der Zwischenzeit was gekommen.
Die Infektionen sind leider auch so unterschiedlich, dass ich es bezweiflen muss, nur hier und da was von Programmen automatisch löschen zu lassen, sowie manuell die autorun.inf.