Hallo,

Erstens hallo, ich bin hier ein neuer.

Hier mein Problem und gleichzeitig Bitte um Hilfestellung:

Ich benutze WinXP auf meinem Heim-Desktoprechner und die Gratisversion der Sygate Firewall. Den Sicherheitsdienst von Windows (der Windowsfirewall aus SP2) hab ich mit XPAntispy schon vor längerem deaktiviert, damit sich die Firewallsysteme nicht in die Quere kommen können.

Als ich vor einer Woche große FTP-Probleme hatte (mittlerweile denke ich, es lag am remote server), hab ich leichtsinnigerweise die Firewall für etwa eine Viertelstunde völlig abgedreht. Durch diese Aktion hab ich mir anscheinend "was eingefangen".

Es war ein Linux Apache-Server. Kann es prinzipiell sein, daß man sich von dort auch einen Virus holen kann, oder ist er wahrscheinlicher irgendwie anders reingekommen?

Die Symptome: Voerst unauffällig. Nach zwei-drei Boots bemerkte meine Freundin einen Leistungsabfall. Ich sah dann etwas später nach: 100% CPU-Last. DrWatson braucht noch dazu ziemlich viel Speicher. Ich hab ihn abgedreht, damit war die CPU-Last wieder normal (3% idle). Und der Speicher wurde klarerweise wieder frei, bis auf ~200 MB, die das XP so braucht.

Später fiel mir auf, daß mehrere Clones von svchost.exe gleichzeitig laufen. Insg. 6 oder so, im Drittelmix als Systemdienst, lokaler Dienst oder Netzwerkdienst. Wenn man da den falschen abdreht, fährt das System automatisch runter.

Ich bin mit dem Problem ziemlich unbeholfen, bis jetzt hab ich nur versucht, den DrWatson woanders hinzuschieben, daß ihn das Sys. nicht findet, nutzt aber nix, der wird mit jedem Reboot wieder neu erstellt.

Sonst hab ich halt auf div. Websites herumgesucht, konnte aber keinen Remove Tool o. ä. finden, der auf mein Prob. zutrifft.

Noch was fiel mir auf: Es gibt einen Ordner .../system32/prefetch, da lag eine Datei mit Erstellungsdatum von eben diesem Tag drin, als ich die Firewall abdrehte. Sind das Backups?

Weiß wer eine gute Seite, mit der man von außen seinen Rechner scannen kann? Oder ist das zu gefährlich, wenn ich weiter online gehe?

Moin,

für mich hört sich das nicht so an als hättest du dir was eingefangen.
Was macht denn Dr.Watson für eine Fehlermeldung?
Zu dem Thema "system32/prefetch" http://www.computer-tipps.net/windows76.html
kannst du da was erfahren.

Poste aber mal bitte ein HijackThis Logfile.

LG
HDW

p.s. Onlinescann: http://www.trojaner-board.de/showthread.php?t=24192

@peregrim

poste doch mal ein hjt logfile nach anleitung in meiner signatur

Hier das LOG-File:
---------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 21:57:20, on 06.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137094567608
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137095008264
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

----------------------------------

@Haengdichweg: Danke für den Link, ich werd mir das einmal bei Gelegenheit durchlesen.
Daß es ein Virus oder dgl. ist, glaub ich schon, weil er auch meine Sygate Firewall jetzt jedesmal killt, nachdem Win hochgefahren ist. Auch hat er aus irgendeinem Grund das Icon, mit dem ich mein ADSL-Modem verbinde vom Desktop gelöscht (). Der Verbindungsclient ist aber noch da und funktioniert...

Hallo,

scanne folgende Dateien bei Jotti online und oste das Ergebnis:

C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\system32\sw24.exe

Gruß

Schrulli

Hallo,

Gestern wollte ichs mit Jotti versuchen. Leider kann ich aber nicht mehr online gehen.
Ich kann mich zwar normal einwählen (ADSL), aber meine Browser (IE und Opera gleichermaßen) gehen nicht mehr, es ist so, als wäre keine Verbindung vorhanden.

Hat jemand einen anderen Vorschlag, denn schön langsam wirds leider brenzlig, und ich bräucht den Rechner eigentlich schon dauernd...?

Ciao, Peregrin.

Da Du ja posten kannst, hast Du auch eine Verbindung ins Internet. Deshalb mache den escan: http://www.trojaner-board.de/showthread.php?t=17492. Du kannst es ja per Stick oder CD übertragen.
Dann kann man mehr sehen.

Hallo,

Letztendlich hab ich die Kiste neu aufgesetzt, ich glaub, so hab ich noch besser Zeit gespart...

Vielen Dank jedenfalls für eure Unterstützung.

Viele Grüße,

Peregrin.

Hallo,

hast Du dabei diese Anleitung gelesen und beachtet?

Gruß

Schrulli