Hallo,
mein Rechner stürzt seit einiger Zeit grundlos ab und lädt lange wenn man Programme aufmachen will. Ich würde jmd. bitten, meine Logfile auszuwerten. Vielen dank!

MFG
Efte

Logfile of HijackThis v1.99.1
Scan saved at 11:29:41, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\scvhost\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ADS Tech\INSTANT TV DVB-T\Scheduled.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Sun\StarOffice 8\program\soffice.exe
C:\Programme\Sun\StarOffice 8\program\soffice.BIN
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\*\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de8.hpwis.com/
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DTVR Agent] C:\Programme\ADS Tech\INSTANT TV DVB-T\Scheduled.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WM Ticket Alert] "C:\Programme\MedienTeam66\WM Ticket Finder Plus\WM_Ticket_Finder_plus.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: StarOffice 8.lnk = C:\Programme\Sun\StarOffice 8\program\quickstart.exe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://idunai.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/221d29e3d480c03b2605/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151782624328
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Folgende Pfad dieses Systemprozesses (Svchost.exe ist ein generischer Hostprozessname für Dienste und sollte im %SystemRoot%\System32 Ordner zu finden sein) ist mir rätselhaft:
C:\WINDOWS\system32\scvhost\svchost.exe

Lass daher diese Datei bitte bei Virustotal , bzwe. bei Jotti überprüfen:
VirusTotal - Free Online Virus and Malware Scan
Online malware scan
Datei ins weisse Fensterchen kopieren, auf "send/submit" klicken. Dauert so ca. zwei Minuten.

EDIT: Moin nochdigger

Hi,
das scheint dieser Junge zu sein: busyboy

Der Wurm verbreitet sich über USB-Sticks, leihe deine Sticks deswegen vorerst nicht mehr aus und schließ keine fremden Sticks an deinen Rechner an.

lg myrtlle

Hi,
danke für eure Hilfe. Leider kann ich unter scvhost keine Dateien sehen, da sie versteckt sind. Und wenn ich das unter "Ordneroptionen" änder wird die Einstellung automatisch wieder auf "versteckt" gesetzt.

MFG
Efte

Hallo,
versuche mit "Blacklight" und "Silent Runner" ,Licht ins Dunkle zu bringen... Google sagt dir wo du sie findest...
Poste beide Logfiles hier .
Irrlicht

Ich bleib bei meiner Einschätzung und würde dir empfehlen Neuaufzusetzen und alle Passörter zu wechseln, da sillyboy tastaturfolgen mitschreiben kann.

Wenn du die Datei vorher noch auswerten willst kannst du folgendes tun:
1)
Einfach den Pfad "C:\WINDOWS\system32\scvhost\svchost.exe" in das weiße Feld bei Virustotal schreiben und schauen ob er die Datei auswerten kann.
2)
Die Dateien mit avenger löschen und danach auswerten lassen:

Zitat:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

*Mit einem großen Dankeschön an Sunny für dieses schöne Anleitung!*

Danach befinden sich die Dateien im Ordner C:\avenger\ und du kannst sie von dort aus hochladen.

lg myrtille

EDIT: Viel zu langsam. Servus irrlicht!

So, ich hab bei Virustotal mal "C:\WINDOWS\system32\scvhost\svchost.exe" eingeben und der hat mir das ausgespruckt:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.27.0 2007.07.26 Win32/Xema.worm.10240
AntiVir 7.4.0.50 2007.07.26 Worm/VB.DZ.58
Authentium 4.93.8 2007.07.25 W32/Worm.HS
Avast 4.7.997.0 2007.07.26 Win32:VB-BGC
AVG 7.5.0.476 2007.07.26 Worm/Generic.BBL
BitDefender 7.2 2007.07.26 Win32.Worm.VB.DZ
CAT-QuickHeal 9.00 2007.07.25 Worm.VB.dz
ClamAV 0.91 2007.07.26 Worm.VB-275
DrWeb 4.33 2007.07.26 BackDoor.Generic.1526
eSafe 7.0.15.0 2007.07.24 Win32.VB.dz
eTrust-Vet 31.1.5004 2007.07.25 Win32/Bactera.A
Ewido 4.0 2007.07.26 Worm.VB.dz
FileAdvisor 1 2007.07.26 High threat detected
Fortinet 2.91.0.0 2007.07.26 W32/Busboy.A!worm
F-Prot 4.3.2.48 2007.07.25 W32/Worm.HS
F-Secure 6.70.13030.0 2007.07.26 Worm.Win32.VB.dz
Ikarus T3.1.1.8 2007.07.26 Worm.Win32.VB.dz
Kaspersky 4.0.2.24 2007.07.26 Worm.Win32.VB.dz
McAfee 5084 2007.07.26 W32/Bactera.worm!p2p
Microsoft 1.2704 2007.07.26 Worm:Win32/Backterra.F
NOD32v2 2423 2007.07.26 Win32/VB.NIS
Norman 5.80.02 2007.07.26 W32/VBWorm.NLZ
Panda 9.0.0.4 2007.07.26 W32/Bactera.L.worm
Rising 19.33.32.00 2007.07.26 Trojan.VB.vta
Prevx1 V2 2007.07.26 WORM.VB.DZ
Sophos 4.19.0 2007.07.26 W32/Busboy-A
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.26 W32.Bactera
TheHacker 6.1.7.154 2007.07.26 -
VBA32 3.12.2.1 2007.07.24 Worm.Win32.VB.dz
VirusBuster 4.3.26:9 2007.07.26 Worm.VB.YLD
Webwasher-Gateway 6.5.3 2007.07.26 Worm.VB.DZ.58
weitere Informationen
File size: 30720 bytes
MD5: db710fbaf5a13b06d17999cb3eba1a2d
SHA1: 11e721257e69ffd5c40b69d54ff3130f7adb875a
packers: UPX
packers: UPX
packers: UPX
Bit9 info: h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=db710fbaf5a13b06d17999cb3eba1a2d
packers: UPX
Prevx info: h**p://fileinfo.prevx.com/fileinfo.asp?PX5=86F8B0590036D24F78D500B2916D1300F03179E1

Bei f-secure Blacklight konnte er nichts finden!

Für C:\WINDOWS\system32\scvhost\wuauserv.exe konnte mir Virustotal nicht gefährliches liefern.

Soll ich das alles nochmal mit Avenger durchlaufen lassen?
MFG
Efte

Hallo

mach zuerst alle versteckten Dateien und Ordner sichtbar und dann lass bitte diese Datei(en)
(genau den Pfad beachten!)
C:\WINDOWS\system32\scvhost\svchost.exe
C:\WINDOWS\system32\scvhost\wuauserv.exe
hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Moin Mobius

kann keiner helfen?

hallo kann mir jemand helfen
ihr müsstet mal mein logfile überprüfen

gibts denn was zu beachten bevor ich den file rein tue ?

vielen dank im vorraus

@eldinho

Beachten brauchst du eigentlich nichts, einfach abkopieren und in einen neuen Beitrag einfügen, und nicht irgendwo, sowie hier.


@eftekhari

Das deine Programme nicht mehr funktionieren ist normal, weil die Dateien so oder so gelöscht gewesen wären wenn sie auf C gespeichert wären, und alle Einträge aus der Registrierung sind sowieso hinfällig, da du formtiert hast.

Aber warum installierst du deine Programme jetzt nicht einfach sauber und neu? Du solltest sie ja als Original da haben, oder?

Jo, mach ich!

Sieht meine HJT sauber aus?

Logfile of HijackThis v1.99.1
Scan saved at 00:42:39, on 28.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185573807093
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185573800109
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Zitat:

Zitat von eftekhari

Jo, mach ich!

Sieht meine HJT sauber aus?

Ja, sieht wieder sauber aus.
Hoffe du hast dich auch an die Absicherungen gehalten, ein Anti-Virenprogramm schützt dich heut zu Tage nicht mehr, DU selbst musst auch etwas dafür tun.



@Eldinho

Nochmal: DU sollst einen komplett neuen Beitrag eröffnen und nicht in diesem Beitrag zu deinem Problem posten und schreiben.

Hallo,
da mein Computer jetzt Virenfrei ist weiß ich nicht wie ich mit der externen Festplatte umgehen soll. Wenn der Virus daher kommt trau ich mich nicht sie wieder in betrieb zu nehmen. Was kann ich da machen? Kommt der Virus sicher über USB oder verbreitet er sich nur darüber?

MFG
Efte