Hallo,

folgendes Problem:

in regelmäßigen Abständen ca. alle 2h kommt bei meinem Windows XP Prof System die Meldung: "pv.exe kann nicht initialisiert werden". Gleichzeitig stürzt die ZoneAlarm Firewall ab und der Laptop ist zu 100% ausgelastet. Nicht einmal herunterfahren geht mehr.

Keine Ahnung was das sein könnte:

AntiVir findet keine Schädlinge.
HijackThis Log scheit OK zu sein (siehe logfile unten)
pv.exe habe ich nur eine in "C:\xampp\apache\bin"auf dem Rechner. Also nichts schlimmes.

Es kann auch sein, dass sich der Apache mit der Zonealarm Firewall und dem anderen Krempel auf diesem PC irgendwie nicht verträgt. Trotzdem kommt mir das Verhalten seltsam vor. Fall irgendjemand irgendwelche Hinweise geben kann, wäre ich dankbar.

Gruß,
Markus

_____________________________________________________
Logfile of v1.99.1
Scan saved at 21:29:43, on 30.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\regedit.exe
C:\xampp\xampp-control.exe
C:\xampp\apache\bin\apache.exe
C:\xampp\mysql\bin\mysqld.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\arbeit\LOKALE~1\Temp\Rar$EX00.681\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Skype.lnk = C:\Programme\Skype\Phone\Skype.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172333626979
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Noch eine Info:

Das Problem tritt auch auf, wenn ich absolut nichts am Laptop mache, d.h. einfach nur hochfahren und dann 2 Stunden stehen lasse.

Lade doch die pv.exe mal bei Virustotal hoch. Ergebnis kannst du ja mal posten.

Und wenn du mal XAMPP neu einspielst?

Danke für den Tipp mit Virustotal.
Leider lässt sich die Seite heute abend nicht aufrufen. Muss es mal morgen wieder probieren.

Wenn das Problem weiter besteht werd ich dann mal xampp neuinstallieren (wobei ich das erst vor ein paar Tagen getan habe) oder gleich den PC mit einem Image neu aufsetzten.

Alternative zu Virsutotal:
Online malware scan

hab heute nacht mal Escan laufen lassten. Ergebnis: Es wurde noch ein Wurm
Sober.... im Papierkorb gefunden. Mal schauen wie ich den zuverlässig wegbekomme. Ich denk das andere Zeug das gefunden wurde ist nicht so wichtig.

____________________________________________________

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
find.bat Version 2007.05.01.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.1.9 
Sprache: English 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun May 06 00:30:14 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken.
Sun May 06 00:30:22 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken.
Sun May 06 00:30:44 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
Sun May 06 00:50:08 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken.
Sun May 06 00:50:14 2007 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken.
Sun May 06 00:50:31 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
Sun May 06 00:30:01 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun May 06 00:30:02 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun May 06 00:49:54 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun May 06 00:49:56 2007 => Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Sun May 06 03:13:53 2007 => File D:\RECYCLER\S-1-5-21-4071580606-3964752466-530651458-1006\Dd2\Anwendungsdaten\Thunderbird\Profiles\te4jscho.default\Mail\Local Folders\Inbox//[From Max Mustermann <mustermann@gmx.de>][Date Sat, 25 Dec 2004 12:07:21 +0100]/text//[From Max Mustermann <mustermann@... infected by "Email-Worm.Win32.Sober.i" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Sun May 06 01:05:56 2007 => File C:\Programme\DAEMON Tools\SetupDTSB.exe tagged as "not-a-virus:AdTool.Win32.WhenU.a". No Action Taken.
Sun May 06 01:34:26 2007 => File C:\Programme\mIRC\mirc.exe tagged as "not-a-virus:Client-IRC.Win32.mIRC.621". No Action Taken.
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Sun May 06 00:30:14 2007 => Offending file found: D:\Eigene Dateien\musterpfad\phppgadmin-3.2.1\display.php
Sun May 06 00:30:22 2007 => Offending file found: D:\Eigene Dateien\musterpfad\phppgadmin\display.php
Sun May 06 00:30:44 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Sun May 06 00:50:08 2007 => Offending file found: D:\Eigene Dateien\musterpfad\phppgadmin-3.2.1\display.php
Sun May 06 00:50:14 2007 => Offending file found: D:\Eigene Dateienmusterpfad\phppgadmin\display.php
Sun May 06 00:50:31 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
Sun May 06 00:30:01 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy-1.0\docs\xref\org\codehaus\groovy\ast
Sun May 06 00:30:02 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy\groovy-1.0\groovy-1.0\docs\xref-test\org\codehaus\groovy\ast
Sun May 06 00:49:54 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy\groovy-1.0\groovy-1.0\docs\xref\org\codehaus\groovy\ast
Sun May 06 00:49:56 2007 => Offending Folder found: D:\Eigene Dateien\musterpfad\groovy\groovy-1.0\groovy-1.0\docs\xref-test\org\codehaus\groovy\ast
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun May 06 00:47:11 2007 => Total Critical Objects: 5
Sun May 06 03:19:10 2007 => Total Critical Objects: 8
Sun May 06 00:47:11 2007 => Total Disinfected Objects: 0
Sun May 06 03:19:10 2007 => Total Disinfected Objects: 0
Sun May 06 00:47:12 2007 => Total Objects Renamed: 0
Sun May 06 03:19:10 2007 => Total Objects Renamed: 0
Sun May 06 00:47:12 2007 => Total Deleted Objects: 0
Sun May 06 03:19:10 2007 => Total Deleted Objects: 0
Sun May 06 00:47:12 2007 => Total Errors: 99
Sun May 06 03:19:10 2007 => Total Errors: 105
Sun May 06 00:47:12 2007 => Time Elapsed: 00:17:16
Sun May 06 03:19:10 2007 => Time Elapsed: 02:31:25
Sun May 06 00:47:11 2007 => Total Objects Scanned: 48361
Sun May 06 03:19:10 2007 => Total Objects Scanned: 235756
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun May 06 00:28:09 2007 => Memory Check: Enabled
Sun May 06 00:47:29 2007 => Memory Check: Enabled
Sun May 06 00:28:09 2007 => Registry Check: Enabled
Sun May 06 00:47:29 2007 => Registry Check: Enabled
Sun May 06 00:28:09 2007 => System Folder Check: Enabled
Sun May 06 00:47:29 2007 => System Folder Check: Enabled
Sun May 06 00:28:09 2007 => System Area Check: Disabled
Sun May 06 00:47:29 2007 => System Area Check: Disabled
Sun May 06 00:28:09 2007 => Services Check: Enabled
Sun May 06 00:47:29 2007 => Services Check: Enabled
Sun May 06 00:28:09 2007 => Drive Check: Disabled
Sun May 06 00:28:09 2007 => All Drive Check :Enabled
Sun May 06 00:47:29 2007 => Drive Check: Disabled
Sun May 06 00:47:29 2007 => All Drive Check :Enabled
Sun May 06 00:28:09 2007 => All Drive Check :Enabled
Sun May 06 00:47:29 2007 => All Drive Check :Enabled
 
Batchstart: 11:35:24,67 
Batchende: 11:37:51,12
         

Zitat:

Mal schauen wie ich den zuverlässig wegbekomme.

Löschen?

Zitat:

Löschen?

Logisch! Aber kann ich davon ausgehen, dass der Virus weg ist wenn ich diese eine Datei die mir escan anzeigt lösche oder sollte ich mal nach einen speziell für diesen Virus zugeschnittenes Entfernungstool von irgendeinem Virenscannerhersteller googeln.

Da das ding im Recycler liegt sollte es eig. nichts anrichten können

Danke für den Hinweis.

ich hab jetzt mal das Apache Forum durchstöbert. Dort wird exakt mein Problem des öfteren beschrieben. Über die Ursache des Problems bzw. die Beseitigung ist man sich noch nicht so ganz einig. In Diskussion sind als Ursachen:

Troyaner: csrss.exe
fehlerhaftes Windows Update
ZoneAlarm v.7
Fehler im xampp Control Panel

Einig ist man sich darüber, dass die "pv.exe" kein Virus ist. Ergebnis vom virustotal bei meiner pv.exe. Einer von den vielen Virenscannern erkannte die Datei als Troyaner. Ob das jetzt ein falsch positives ergebnis ist??

Mal noch ne blöde Frage: Escan ht mir mir Spyware festgestellt: Wie bekomme ich diese weg?

Code: Alles auswählenAufklappen

ATTFilter

System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. 
 System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken. 
 Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken. 
 Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.