Dickes Problem mit dem Prozess avp.exe
 

Hallo liebe Helfer und Helferinnen!

Seit einigen Tagen läuft mein Rechner sehr langsam. Bei der Lösung des Problems bin ich im Taskmanager auf den Prozess avp.exe gestoßen, der immer wieder außergewöhnlich hoch ist. Nach einer kleinen Recherche im Internet bin ich darauf gekommen, dass ich Idiot auf eine Aufforderung von Win AnitVirus meinen Computer zu schützen eingegangen bin. Seitdem habe ich den oben genannten Prozess laufen. Zudem kommt noch dass mein AnitVirus Programm Kaspersky immer wieder einen Prozess findet, der in andere Prozesse eindringen möchte, unter: gefunden: potentiell gefährliche Software Invader Prozess: c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe

Ich habe den Zugriff auf die anderen Prozesse geblockt, aber das kann ja auch nicht die Lösung des Problems sein, oder?!
Und um noch eins drauf zu setzen: Vor einigen Tagen mußte ich meine automatischen Updates von Windows deaktivieren, da sonst der Prozess svchost.exe mit einer CPU-Auslastung von 100% meinen Rechner lahm gelegt hat... wißt ihr da was drüber?
Bei dieser stundenlangen Recherche ist mir aufgefallen, dass ich es ohne Hilfe wohl kaum schaffen werde meinen Computer in Ordnung zu bringen. Bitte, bitte, wenn ihr Zeit habt, helft mir. Ich bin relativ verzweifelt, da meine eh schon geringen Computerkenntnisse sich bald dem Ende neigen. Irgendetwas stimmt nicht, vielleicht sogar mehrere Dinge. Ich würde mich über alle Maßen freuen, wenn hier Jemand in der Lage ist, LogFiles (so heißen doch die Protokolle bei Hijackthis, oder?) richtig zu interpretieren.

Mit herzlichsten Grüßen, Nastaran

Hallo

sollte von Kaspersky sein die Datei (vorausgesetzt sie befindet sich im richtigen Ordner)

dann weißt ja sicherlich schon, dass es sich hier um Fakeprogramm handelt

Ja, kommt leider z.Z. vermehrt vor

wir können es ja mal versuchen, erstelle ein frisches Hijackthis log benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe o.ä., lass 'Hijackthis in einem eigenem Ordner laufen (C:\Hijackthis\) und editiere alle aktiven Links im Log etwa so --> http => h**p

MFG

Oder lies mal hier, in welchem ordner die Datei steckt und welche Goesse
die hat:

http://www.file.net/prozess/avp.exe.html


Dieter

Hallo Dieter.

Die Seite kannte ich schon aber trotzdem vielen Dank. Die Datei avp.exe ist weder in Windows, noch im System32. Ich werde mal die Schritte versuchen, die nochdigger mir vorgeschlagen hat. Wenn dir zusätzlich noch was einfällt, lass es mich bitte wissen. Gruß, Nastaran

Hallo Dieter.

Die Seite kannte ich schon aber trotzdem vielen Dank. Die Datei avp.exe ist weder in Windows, noch im System32. Ich werde mal die Schritte versuchen, die nochdigger mir vorgeschlagen hat. Wenn dir zusätzlich noch was einfällt, lass es mich bitte wissen. Gruß, Nastaran

Hallo lieber nochdigger!

Also, ich habe alles erledigt wie du es mir vorgeschlagen hast: Die Datei hijackthis.exe heißt jetzt ABC.exe und ist im Ordner C:Hijackthis, den ich dafür angelegt habe. Das war richtig so oder? Dann habe ich einen neuen Log erstellt aber ich weiß nicht was du mit "editieren" meinst. Ich habe jetzt wie in der Beschreibung oben alle https in h**ps umgeschrieben. Ich hoffe das war nicht blödsinnig und du meintest etwas ganz anderes.

Ja, ich habe selbst rausgefunden, dass Win AntiVirus ein Fakeprogramm ist! Schande über mein Haupt... aber jetzt weiß ich es besser und werde alles bevor ich es runterlade erstmal googeln...
Oh Mann, ich hoffe wirklich du kannst mir helfen. Ich sitz grad in Spanien fest und mein span. Vokabular reicht einfach nicht aus um hier in einen Computerladen zu gehen und mich wenigstens beraten zu lassen.

Jetzt schon mal ein großes Danke für die Mühe bis hier hin, Nastaran

Ach ja, und bevor ich es vergesse: Kaspersky hat grad (als Sahnehäubschen) einen Trojaner Namens: nicht gefunden: trojanisches Programm Trojan-Proxy.Win32.Delf.ab Datei: C:\Programme\Registry Mechanic\Activate.dll entdeckt kann ihn aber wie du gelesen hast, nicht orten. Langsam aber sicher bricht mir der Schweiß aus...



Logfile of HijackThis v1.99.1
Scan saved at 19:12:41, on 14.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nastaran\LOKALE~1\Temp\Rar$EX00.982\ABC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.economist.com/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178903279413
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

Hallo

die umbenannte "Hijackthis.exe" ABC.exe in den Ordner C:\Hijackthis\ entpacken ;) dann klappts auch mit den evtl. benötigten wiederherstellen von Einträgen.

Lade dir bitte mal Vundofix

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren und ein neues Hijackthis log posten.

MFG

Oh, da hab ich wohl was missverstanden..ähm ähm... Jetzt hab ich es IM ORDNER entpackt. Ok. Aber soll ich jetzt wirklich diese Bereinigung machen? Ich hab Angst! Was kann denn da alles passieren? Ich weiß, ich stell mich an, aber was ist, wenn nach dem Neustart die Symbole nicht mehr auftauchen? Ich Heulsuse, ich...

Hallo

klick doch einfach mal auf scan, wenn Vundofix nichts finden sollte kannst da ja immer noch abbrechen:rolleyes:

MFG

Hi!
Der hat nichts gefunden, also hab ich das Fenster wegeklickt. Wenn der nichts findet, brauch ich doch auch nichts zu "removen", oder?!

Ich schick dir aber trotzdem die neue, im richtigen Ordner entpackte Log von Hijack this. Neben vielen anderen Dingen, von denen ich keine Ahnung hab, sieht doch O23 nicht ganz koscher aus oder?

Logfile of HijackThis v1.99.1
Scan saved at 00:03:16, on 15.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\ABC.exe\ABC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Economist.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178903279413
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

Moin

lade dir mal Smidfraudfix
und lass das Programm mit der Option 1 dein System durchsuchen,
anschließend poste den rapport1.txt

MFG

Hallöschen und einen schönen guten Morgen. Es ist schön zu sehen, dass sich andere (du!) so früh schon um meine Sorgen kümmern, rührend!

Schluss mit der Senitimentalität, hier ist der angeforderte Report:

Gruß, Nastaran und ach ja, was sagt denn der Hijack Report?

SmitFraudFix v2.181

Scan done at 14:38:24,17, 15.05.2007
Run from C:\Dokumente und Einstellungen\Nastaran\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programme\Windows Media Player\setup_wm.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nastaran


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nastaran\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Nastaran\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 80.58.61.250
DNS Server Search Order: 80.58.61.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B0E4EE9C-F005-40FE-880A-4D76E65C77D2}: DhcpNameServer=80.58.61.250 80.58.61.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B0E4EE9C-F005-40FE-880A-4D76E65C77D2}: DhcpNameServer=80.58.61.250 80.58.61.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{182937D4-ECA0-49CF-AEA3-8902521447D4}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B0E4EE9C-F005-40FE-880A-4D76E65C77D2}: DhcpNameServer=80.58.61.250 80.58.61.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.58.61.250 80.58.61.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.58.61.250 80.58.61.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=80.58.61.250 80.58.61.254


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo

mir scheint, dass bringt uns nu auch nicht wirklich weiter.

Um nochmal auf deinen ersten Post zu kommen, lass bitte mal diese Dateie :

c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe

hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Findet Kaspersky denn sonst welche Schädlinge und hast du Meldungen von WinAntivirus(ist es überhaupt installiert - wenn nicht auch nicht nachholen)?

MFG

Ok werde ich sofort machen. Nein, WinAntiVirus ist nicht bei mir installiert, da ich bevor ich den Lizenzbedingungen zugestimmt habe, einen Geistesblitz bekam und sofort das Fenster geschlossen habe um mal eben zu googlen was ich mir da überhaupt runtergelden habe. In den letzten 2 Tagen ist mein Laptop noch langsamer geworden.

Und neben:
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
den ich ja per Kaspersky geblockt habe,findet er noch diesen Trojaner, den ich gelöscht habe:

Infiziert: trojanisches Programm Trojan-Proxy.Win32.Delf.ab C:\System Volume Information\_restore{078B3CE1-7A71-487D-8261-BE024E38DEEC}\RP231\A0042727.dll 233 KB

und den hier:
nicht gefunden: trojanisches Programm Trojan-Proxy.Win32.Delf.ab Datei: C:\Programme\Registry Mechanic\Activate.dll , den er nicht orten kann um ihn zu löschen.

Ich schick gleich den Rest. Nastaran


So, nichts gefunden! Mir fallen gleich die Haare aus. Aber erstmal das:

File size: 109344 bytes
MD5: 995d0b52870c7a5caf3ea165fd674a35
SHA1: 1d5bf661291f8c534d3c6e36ec9de65d01d2efbf


Und jetzt die Ergebisse. Die hab ich einfach aus der Tabelle rauskopiert, aber vielleicht meinstest du ja was anderes, so wie mit dem Entpacken...;)

Antivirus Version Update Result
AhnLab-V3 2007.5.15.1 05.15.2007 no virus found
AntiVir 7.4.0.15 05.15.2007 no virus found
Authentium 4.93.8 05.14.2007 no virus found
Avast 4.7.997.0 05.15.2007 no virus found
AVG 7.5.0.467 05.15.2007 no virus found
BitDefender 7.2 05.15.2007 no virus found
CAT-QuickHeal 9.00 05.15.2007 no virus found
ClamAV devel-20070416 05.15.2007 no virus found
DrWeb 4.33 05.15.2007 no virus found
eSafe 7.0.15.0 05.15.2007 no virus found
eTrust-Vet 30.7.3634 05.15.2007 no virus found
Ewido 4.0 05.15.2007 no virus found
FileAdvisor 1 05.15.2007 no virus found
Fortinet 2.85.0.0 05.15.2007 no virus found
F-Prot 4.3.2.48 05.15.2007 no virus found
F-Secure 6.70.13030.0 05.15.2007 no virus found
Ikarus T3.1.1.7 05.15.2007 no virus found
Kaspersky 4.0.2.24 05.15.2007 no virus found
McAfee 5031 05.15.2007 no virus found
Microsoft 1.2503 05.15.2007 no virus found
NOD32v2 2268 05.15.2007 no virus found
Norman 5.80.02 05.15.2007 no virus found
Panda 9.0.0.4 05.15.2007 no virus found
Prevx1 V2 05.15.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.15.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.15.2007 no virus found
VirusBuster 4.3.7:9 05.15.2007 no virus found
Webwasher-Gateway 6.0.1 05.15.2007 no virus found

Hallo,

kleine Zwischenfrage...
Du bist Spanier,oder lebst in Spanien ?
Irrlicht

Hallo

dann kann ich mir ja auchn Wolf suchen:rolleyes:
Lösche einfach die runtergeladene Datei (führe sie bitte nicht aus).

Nee war genau richtig so...:daumenhoc

Dein gefundener Trojaner steckt in der Systemwiederherstellung und sollte recht einfach zu beseitigen sein in dem du dieser Anleitung folgst --> Systemwiederherstellung
Ich denke du solltest mal mit Clearprog aufräumen, lade dir ClearProg und lasse es dein System bereinigen
(hake an --> alles löschen).
Dann würde ich sagen lass Kaspersky, natürlich frisch aktualisiert, mal im abgesicherten Modus dein ganzes System untersuchen.

Moin irrlicht:party: , ja ist in Spanien, wurde anfangs erwähnt.

MFG

Jetzt wo du es sagst.....:rolleyes:

...und vermutlich ist deine Installations CD nicht in deiner Nähe,oder ?
Irrlicht

Hallo Irrlicht!

Ich bin und wohne für 4 Monate in Spanien und habe natürlich die Installations CD nicht dabei. Leider. wer konnte denn ahnen, dass dieses sonst so zuverlässige Medium plötzlich Depressionen bekommt wie eine Frau in den Wechseljahren... (ich bin selber eine, ich darf solche Witze machen. :) )

Oh Mann!
Ihr müßt denken, ich bin total verwirrt und ein Schisshase (Letztes bin ich wirklich) aber bevor ich hier etwas mache, was gar nicht so gemeint war noch eine Frage an dich:

Soll ich die Systemherstellung deaktivieren, dann wieder deaktivieren (wie in der Beschreibung) und DANACH mit ClearProg bereingen oder davor?
Auch schon im abgesicherten Modus alles oder erst nach dem Aufräumen? Ich, so unbedacht und fortschrittsgläubig wie ich bin, habe keine Sicherungskopien von meinen Datein. VON KEINER!

Was ist nach dem Auffräumen alles gelöscht?

Und guter Letzt, die letzte Frage, Kaspersky hat alle Updates durchgeführt, ist also aktuallisiert, ne?

Vielen Dank, wenn es wirklich so einfach ist,wie du sagst, dann flipp ich aus. Tut mir übrigens wirklich Leid, dass ich das mit dem Installieren von WinAntiVirus nicht vorher geschrieben hab. Hätte dir wohl viel Arbeit erspart. Sorry. Ach und da fällt mir so spontan noch eine Frage ein: Wo soll ich diese Datei denn löschen? Bei Systemsteuerung/Software ist sie nicht drin. Hab ich sie etwa schon da raus gelöscht in meinem Wahn? Netter Gruß, Nastaran

Hallo

temporäre inhalte Cockies usw.

Wenn es noch nicht installiert ist/war liegt an dem Ort wo du es hingespeichert hast, zur Not hilft die Windowssuche;)
(*antivirus* bei der Suche mit Sternchen schreiben)

der Weg war so gedacht :
-Update dein Antivirenprogramm
-deaktiviere die Systemwiederherstellung
-lösche, wenn noch vorhanden, die Dateien von WinAntivirus
-wechsel in den abgesicherten Modus (beim start F8 drücken)
-scanne dein System mit Kaspersky
-lass Clearprog laufen, hake an alles löschen und lass alles löschen
-Neustart in den normalen Modus und berichten
-Systemwiederherstellung aktivieren

MFG

Hallo lieber Helfer!

Also: Smidfraud hat einen Ordner erstellt in dem Kaspersky im abgesichtern Modus eine Gefahr entdeckt hat (irgendetwas mit reboot oder boot) die Datei hab ich gelöscht. Kann ich den Ordner auch löschen?

Ich habe alles so ausgeführt wie geschildert (Danke noch mal für die idiotensichere Anleitung, sehr nett von dir ;) ). Die ganze Schose mit Systemdeaktivierung ect. lief einwandfrei.

Leider hat Kaspersky nichts ausser der oben genannten Datei gefunden. Trotzdem schickt er mich alle paar Minuten die Nachricht, dass ein/e (?) Invader Modifikation (keine Ahnung was das ist) c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe (PID 1628) Prozess geblockt wurde, da ich es verboten habe.

Dieser Prozess versucht anscheinend in andere Prozesse einzudringen, deshalb hab ich ihn verboten. Aber bei der Virenuche findet er ihn nicht mehr. Was kann des denn sein?

Hab ClearProg (diesen Zip Download hab ich auch runtergeladen, man weiß ja nie...) im abges. Modus reinigen lassen, kurz vor dem Ende stellt er ein Problem fest und muss beendet werden. Jetzt hab ich es grad im normalen Modus wieder versucht und da klappt es. Soll ich es nochmal (zum 10x) im abges. Modus versuchen?

Außerdem hab ich das Gefühl, dass mein Computer immer noch lahm ist. Vielleicht einwenig schneller als vorher aber das kann auch Einbildung sein, weil ich mich jetzt dran gewöhnt habe.

Warum kann er diese Datei nicht lokalisieren? Was können wir noch machen?

Ach ja und noch was: Wie sieht das mit der Sicherheit aus? Kann ich unbesorgt Online-Banking betreiben, oder soll ich warten?
Liebste Grüße, Nastaran

Hallo,

Ja ,ganzen Ordner löschen.Das Programm haben wir schon drübergejagt....

Frage : Du hast eine Web-Cam angeschlossen und benutzt diese auch ?


Nein ,Clear Prog funzt nur im normalen Modus.Lass es sein mit dem Abgesicherten....

Dieses ist eigentlich ein Programm.Hantieren noch andere mit deiner Kiste ?
Eventuell bevor du dich ins Ausland abgesetzt hast ?
Dies dürfte ein ehlalarm sein.Registry Mechanic greift in die Registrierung ein.Der "Kasper" hält das für eine Attacke...
Erinnerst du dich das Programm instaliert zu haben ?


Um mal mit einem Dichter zu antworten...

Warte, warte nur ein Weilchen balde in Bälde.....:)
Wenn es drängelig ist das Bankgeschäft.....spanische Banken könnten das auch am Schalter....wenn sie denn mal geöffnet haben...:rolleyes:
Irrlicht

Hallo SKlausi!

Die Bearbeitung deiner Probleme scheint schon sehr voran geschritten. Nichtsdesto trotz möchte ich anmerken, wie ich mein Problem mit der svchost.exe - Datei behoben habe. Bei mir war dies der Prozess, der über 99% meiner CPU-Leistung beansprucht hat und der Rechner deshalb unglaublich langsam geworden ist. Da ich ich einem anderen Thread schon einmal auf das gleiche Problem geantwortet habe, kopiere ich meine Antwort einfach hier rein und hoffe, dass es dir noch etwas bringt ;)

LG,
Yas

Hallo Irrlicht!

Ja, ich habe mir vor 5 Tagen oder so den Registry M. draufgeladen. Fehler? Großer Fehler??? Ich hab in irgendeinem Forum, wo jemand das selbe Problem hatte wie ich, gelesen, dass "man" das machen soll und in meinem Wahn und meiner Panik (hier eine kleine Rück- Poesie von Seneca um meine Schisshasigkeit zu erklären: Ein Mensch, der leidet, bevor es nötig ist, leidet mehr als nötig.) hab ich mir das Programm runter geladen und damit rumgefummelt. Hat natürlich zu keinem Ergebnis geführt...



Und nein, eigentlich hantiert keiner an meinem PC herum. Mein neuer Mitbewohner, hat einwenig gesucht und dabei den Prozess svchost.exe im Taskmanager einfach beendet, weil dieser eigentlich das anfängliche Problem war und er doch eindeutig mehr Ahnung von Computern hat als ich. Danach tat es meine Soundkarte nicht mehr, dieser Stümper. So viel hab ICH gelernt und ER darf jetzt nicht mehr ran. Ob es mittlerweile ok ist, weiß ich nicht, ich hab einfach die autom. Updtes für Windows deaktiviert.

Der Ordner von Smifr. ist gelöscht.

Die Webcam benutze ich grad nicht, sie ist neu, nicht angeschlossen aber installiert und hat auch mal funktioniert. Jetzt erkennt Skype sie plötzlich nicht mehr. Aber hey, das sind jetzt echt andere Probleme, die ich euch nicht auch noch aufhalsen möchte, sonst wollt ihr hinterher noch einen (verdienten!) Studenlohn von mir... :)

Lieben Gruß, Nastaran

Wie nett von dir Yas!

Danke. Meine Updates sind schon gestoppt aber die ordner hab ich noch nicht geleert. Ich warte noch auf die Antwort von Irrlich oder nochdigga um weitere Schritte zu unternehmen. Wenn das alles nichts bringt, dann mach ich es so wie du es vorgeschlagen hast. Schließlich ist es gut zu wissen, dass es eine Möglichkeit gibt die autm. Updates wieder zu aktivieren, ohne dass die CPU-Auslastung auf 100 % ansteigt und den ganzen Rechner lahm legt.

Netter Gruß, Nastaran

Hallo,

Will ich nicht....
Da aber madrid eine Lieblingsstadt von mir ist,könntest du ja einen Schlafplatz.....:heilig: Scherz...ich ziehe das Hilton vor...


Das ist der Pfad dem du nachläufst....
Also Start > Arbeitsplatz > Lokaler Datenträger C > Programme >Registry mechanic ...das löscht du,den ganzen Ordner.

Vorher rufst du aber nochmal dieses Programm auf.Ich nehme an es hat ein Icon auf dem Desktop ?
Suche in dem Programm nach einer Sicherung,oder sinngemäßem (vermutlich in englisch) stelle wieder her, was immer auch du geändert hast.
Spiele also die Sicherung zurück.
Möglicherweise gibt es in dem Programm einen Knopf für "alles auf Anfang", oder sinngemäß.dann nimm diesen.
Lösche den Ordner erst ,wenn du die Sicherungen zurückgespielt hast.

Wenn du nicht mehr vorhast,während deinem Auslandsaufenthalt die Web Cam in Betrieb zu setzen, lösche diesen Ordner ebenfalls :Gehe dabei genau so vor ,wie oben...
Immer am Pfad langhangeln......
Hast du diesen Ordner : erreicht >löschen
Recherche ergab das diese Datei andere beeinflussen kann.
Mit der "Suchen" Funktion den eventuellen Resten nachspüren.
Rufe "Suchen" auf und gib im Feld ein logishrd
Wird noch was gefunden >löschen.
Berichte dann.
Irrlicht

Hi Irrlicht!

Du hattest Recht:
Bei Reg. Mechanic gab es einen Button: wieder herstellen. Ich hab alles angeklickt und wieder hergestellt. Das meinstest du doch, oder? Das Ordner ist jetzt im Papierkorb. Aber die Datei Logshrd läßt sich aufgrund von lvprcsrv.exe nicht löschen. Ist weder schreibgeschützt, noch sonst was. Was nun? Kaspersky nervt nämlich ganz schön damit...

Hab übrigens grad Windows Defender runter geschmissen, ok so oder brauch ich den?

Lieber Gruß und danke für die Mühe... Nastaran

Hallo,
versuch bitte ob du den Ordner im abgesicherten Modus löschen kannst.
Schau auch unter Start > systemsteuerung > Software nach,ob dort was zu der Webcam zu finden ist.
Über die "Suchen" Funktion kannst du die einkassieren,das ist die exe um die es geht...
Hmmm....was machen und dann fragen ob das richtig war.......
In diesem Fall geht das ok.
Zukünftig würde ich aber den umgekehrten Weg gehen......;)
Sonst gerätst du mal an eine wichtige Datei und kannst dann nicht mal mehr fragen ob das richtig war,weil du nämlich deine Verbindung abgeschossen hast....:blabla:
Bevor du ,dir unbekannte Dateien löscht,frage Google ob das in Ordnung geht...
Irrlicht

Liebes Irrlicht und lieber nochdigger!

Natürlich hab ich aus meinem WinAntiVirus-Fehler gelernt und vorher gegooglet ob ich den Windows Defender runterschmeißen kann. Aber ich wollte es nochmal von dir/euch hören.

Die Kamera ist runter. Unter Systemsteuerung und dann die Ordner, die noch übrig waren (2). Noch hat Kaspersky keine Meldungen über irgendwelche Prozesse gesendet, die auch versuchen einzudringen.

Aber mein Computer ist immer noch lahm. Ahhhhh! Was kann das denn sein?! Ihr habt aber bestimmt auch keine Lust mehr noch weiter zu graben, oder? Ich könnte es auf jeden Fall verstehen, schließlich wart ihr mir schon eine sehr große Hilfe...

Ach ja, noch was: Kann ich Regestry Mech. jetzt deinstallieren?

Liebe Grüße, Nastaran

Hallo,

Jep,kann weg....
Es sei denn du willst nochmal in deine depressive Experimentierphase zurück.....:aplaus:
Clear Prog ruhig nochmal starten und aufräumen lassen....

Sind die Programme lahm beim öffnen oder ist das Internet lahm....
Letzteres könnte an den Spaniern liegen...die sollen ja nicht die Schnellsten sein....:heilig:
Irrlicht

Nee, in diese Phase verfalle ich bestimmt nicht mehr zurück. Ich hab ja jetzt euch!

Also, Registy ist weg. Kaspersky nervt nicht mehr alle 3 Minuten mit einer Warnmeldung über Logishrd und alles in einem ist mein Computer schon ein wenig schneller geworden. Meinst ud ich kann die autom. Updates wieder aktivieren oder werde ich für immer und ewig (ich habe einen Drang zum Theatralischen) manuell updaten müssen?

Und ach ja: Das Internet ist extra lahm aber die Programme, Ordner, was auch immer brauchen ziemlich lange um zu öffnen. Das war früher, vor 2 Monaten definitiv nicht der Fall.

So liebes Irrlichtschen! Falls dir einfällt, was wir sonst noch machen können, lass es mich bitte wissen, ansonsten folgt in den nächsten Tagen, wenn dann immer noch alles in Ordnung ist eine Dankeschönemail an euch beide...

Liebste Grüße, Nastaran

Hallo,
Kannst du wieder anschalten.Wenn es nicht funzt ,schaltest du das automatische Update auf dem gelernten Weg einfach wieder aus....
An deiner Stelle wäre ich schon recht zufrieden,wenn die Kiste so einigermaßen am Laufen ist....:)
Natürlich wäre es das einfachste eine Neuinstallation zu machen,besonders nach unserer sehr schönen Anleitung hier...:Boogie:
Aber ohne CD ist es halt mau....
Würde dann auf meiner persönlichen Agenda ganz oben stehen,wenn ich von den Flamengo Artisten zurück käme.....:D
Irrlicht

So ich muss mich dann nun einreien bei den ganz Dummen .
Habe mir diesen tollen AntiVir runtergeladen und es auch noch geschafft zu installieren .
Ne ne das beste kommt noch ......2 Minuten vorher hatte ich mir das noch durchgelesen mit diesem Fakeprogramm ^^ .

So jetzt stellen sich bei mir sehr sehr viele Probleme ein .

Zum einen randaliert die avp.exe auf meinem System wie ein Berserker auf Speed und sie erstellt noch ganz viele kleine Logs die meine Festplatte bis zum Maximum zumüllen .
Antivir ist mittlerweile gelöscht und die Download-Datei ebenfalls .
Zur Folge dieser Fehler läuft mein Rechner dauerhaft auf 50-60% Ausladtung .
Hat auch öfters Ansprünge bis 100% .
Naja und ich kann halt nichts machen was auch nur 1kb braucht ^^ .

Würde mich über schnelle Hilfe freuen denn mich würde es extrem wurmen wieder nen Computerfutzi ins Haus kommen zu lassen der 90€ die Stunde nimmt ^^

Es sollte noch gesagt sein das ich mit PC´s umgehen kann aber Plan habe ich Null ;)


MfG Quinn


edit: ich kann diese Logs löschen und irgendein Programm erstellt die mit rasender geschwindigkeit neu .
Der packt 279 GB in 2 Minuten komplett voll .
avp.exe ist nicht find und erst recht nicht löschbar ^^
Bin absolut am Ende -_-

so lege auch direckt mal ne HiJack-Log bei .
Habe den PC auch geschenkt bekommen also habe keine Install-CD oder ähnliches .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:12:29, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\FreezeScreenSaver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\ABC.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://world-of-dungeons.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7255 bytes

Hallo,
zwar ist das Thema schon etwas her, doch habe zur Zeit das Problem mit der avp.exe.
Beim spielen von Diablo II kam es öfters vor, dass das Spiel kurzfristig einen delay hatte, und als ich im Task-Manager geschaut habe, um zu sehen, ob ein Prozess sich dahinter verbringt, bin ich auf die "avp.exe" gestoßen.
Kann es möglich sein, dass es mit dem Updater zusammenhängt und dadurch eine kurzzeitige Auslastung kommt?

Habe Mal ein HiJack von mir erzeugen lassen, falls Ihr noch ein Paar Informationen benötigt.

Ich habe noch geschaut, ob die avp.exe im Ordner des Programm liegt und scheint es ja auch zu sein. Hoffe Ihr könnt mir dabei helfen.

Danke im voraus ;-)
Mystica

Ich bin aus Neugier hier zugestoßen und habe auch diesen Prozess im task Maneger stehen.
Aber ich habe eins nicht ganz verstanden.
Also um nochmal klarzukommen ^^ ist avp.exe etwas was durch Kaspersky entsteht. Und je nachdem wo es sich befindet ist es auch verschieden Gefährlich. Und es ist kein Virus wenn es sich unter C:/ Programm Files befindet.
War das so richtig?

Wenn Ihr das gleiche Problem habt, guckt doch wies hier gelöst wurde, oder macht ein eigenes Thread auf.

Hey Ihr,

ich habe das gleiche Problem,
und komm wirklich nicht so klar damit,
ich hab auch das hijackthis mal durchlaufen lassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:08, on 17.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\OEM02Mon.exe
C:\Programme\DellTPad\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\WINDOWS\OEM02Mon.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7730 bytes