Forum
Tipps
News
Menu-Icon

Virus? Bitte um Logfile Auswertung

Hallo Leute

Hab seit zwei Tagen das Problem, dass in erster Linie beim WOW spielen ein Hintergrundprogramm mittendrin plötzlich volle Rechnerleistung benötigt und dann der Rechner einfach ausgeht (nicht runter fährt!).
Fand ich komisch, da ich Leistungsintensivere Spiele ohne Probleme weiterhin spielen kann (würde somit Hardwareprobleme ausschließen).

Habe daraufhin das System (XP-Pro) neu gemacht und geupdated.

Bei der Installation der Mainboard-Treiber-CD (Chipset,LAN,Sound) kam dann zum ersten mal eine Meldung von Avast.

Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Reboot.exe" file.

Habe dann von Löschen bis Verschieben alles probiert und die Treiber noch mehrmals de- und neu installiert. Da tut sich nix ! Die Datei im Explorer zu löschen geht nicht, da mir im Autostart-Ordner keine Dateien angezeigt werden.

Deshalb hab ich einen Virenscan gemacht bei dem dann folgendes gefunden wurde:
Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\System Volume Information\_restore{7685F5EC-F4F5-45CA-85C7-CA076362C494}\RP2\A0000041.exe" file.

Diese Datei wurde dann der Aussage von Avast nach erfolgreich gelöscht und auch bei nochmaligem Scan nicht wieder gefunden.

Hab außerdem SpybotS&D installiert und durchlaufen lassen und auch 48 Problem-Funde gehabt (wohlgemerkt auf einem frisch installiertem OS). Diese wurden behoben und ebenfalls bei einem zweiten Scan nicht wieder gefunden.

und hier mein Logfile aus Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:57, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219882359014
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe

--
End of file - 4967 bytes


Ich denke, dass sich ein Virus wahrscheinlich auf meiner externen Festplatte eingeschlichen hat (sonst ist er irgendwie Speicherresistent oder so und noch vom vorherigen System übrig geblieben ?!?!) und dann andere Malware nachgeholt hat, da ich die neuinstallation mit abgeschaltetem Router (aber eingeschalteter Platte) durchgeführt hab und als allererstes Avast installiert hab.

Sollte es nötig sein, das System noch ein weiteres mal neu zu machen (und sonst auch aus Interesse für das nächste mal) würde ich euch bitten mir eine sinnvollere Reihenfolge für die Installation der folgenden Programme und Updates vorzugeben, weil ich mir nicht wirklich sicher damit bin und zumindest mein Soundtreiber eine geupdatete WinXP-Version zur Installation benötigt: Mainboard-CD (s.o.),Grafikkartentreiber, Avast, Spybot, SP3

Vielen Dank für alle Antworten schonmal
Bobby

PS:
Die Festplatte ist und bleibt jetzt erstmal aus. Interessant wäre noch wie und ob ich sie bereinigen kann bzw wie ich, ohne mich erneut zu infizieren, die Daten darauf retten kann.

Edit:
Hab jetzt nach allen Maßnahmen das Spiel noch einmal angeworfen und dabei feststellen müssen, dass bisher nichts geholfen hat. Mache mir langsam doch ein wenig Sorgen wegen Hardware-Problemen. Vielleicht kann mir ja jmd auch noch sagen, wie ich das NT auf zu wenig Saft teste und auch wie ich HitzeProbleme feststellen kann.

« Letzte Änderung: 28.08.08, 18:28:21 von BobbyOne »


Antworten zu Virus? Bitte um Logfile Auswertung:

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
kennst du den?
an sonsten mal bei www.virustotal.com hochladen und checken lassen. 

« Letzte Änderung: 28.08.08, 18:29:36 von copy »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Datei ist clean!

ja ich bin der meinung, das bei der installation von Spybot gelesen zu haben. Das ist die Immunisierung für IE7 oder so ähnlich.

habe oben auch noch ein edit hinzugefügt (nicht dass man den übersieht)

« Letzte Änderung: 28.08.08, 18:32:12 von BobbyOne »

..ansonsten sehe ich nichts ???
aber den BHO Eintrag  02/no file würde ich entfernen.
Gibt es denn Probleme? 
Sorry!
Hatte mir bis jetzt nur die logfile angeschaut! ;D
werd nochmal lesen ;)

 

« Letzte Änderung: 28.08.08, 18:34:28 von copy »

BHO ? das Problem ist nach wie vor dass beim Spielen der Rechner plötzlich und ohne Vorwarnung aus geht.

edit: ach da, hab BHO gefunden. Wie soll ich den Löschen ? mit hijackthis ? und habt ihr ne Ahnung was das sein könnte ?

« Letzte Änderung: 28.08.08, 18:36:47 von BobbyOne »

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
den würde ich fixen und ansonsten muß ich halt noch mal lesen.

während ich lese, überprüf mal deine Temparaturen mit www.everest.de

BHO is gefixt, Everest lädt runter ... ich probier mal wegen BHO einmal mehr ob er wieder ausgeht beim zocken oder ? hab wie gesagt angst, dass ich mir das mainboard zerlege wegen zu wenig saft (bei hitze wäre ausschalten ja sinnvoll)... aber wenn dann ist wahrscheinlich schon kaputt was kaputt gehen kann, oder ? 

hehe auf everest.de gibs nur ein programm ... für Kaufmänner also ERP-Software oder so

hab jetzt aber das richtige.
Temperaturen:
CPU 30°
System-HDD 35°

aber müsste da nich was krummeres angezeigt werden wenns in echtzeit ist ? oder hab ich nicht nach den richtigen Temperaturen geguckt ?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Die Temperatur beim Spiel wäre interessant!!

In dem Hijackthis Logfile sind keine Schädlinge zu erkennen.

Du könntest mal einen Scan mit Malwarebytes machen ob was gefunden wird,die Funde lässt du dann löschen und postest den Report hier. 

« Letzte Änderung: 28.08.08, 21:34:13 von nico »

..warum hast du das nicht früher gelinkt?
und den Report von Malwarebytes hätte ich gerne mal gepostet.
Auch wenn die Temperaturen stimmen ;)

« Letzte Änderung: 28.08.08, 19:15:53 von copy »

malwarebytes scant ... hatte gefragt ob die Temperaturen richtig abgelesen sind ... das kann doch nicht sein, dass die genau in 5er schritten steigen oder können die Sensoren keine kleineren unterschiede bemerken oder so?

ich würde ja gern mehr tun um euch bei laune zu halten ... aber außer vlt nochmal nach nem Prog zu fragen womit man die Stromversorgung vlt überwachen kann weiß ich langsam nix mehr.   

« Letzte Änderung: 28.08.08, 19:30:13 von BobbyOne »

hab jetzt WOW angeschmissen ... HDD-Temperatur ist bisher auf 39° gestiegen (damit ist meine vorherige Frage auch beantwortet)

edit: mitlerweile 41°
sehe ich das richtig, dass er bei 45 schlapp machen wird wegen irgendwelcher sicherungen ?

Malwarebytes hat nichts auffälliges gefunden, denke mal den log zu posten kann ich mir sparen.

mit ein bisschen glück war es der der BHO prozess ...
vielen dank nochmal ... wenn mir noch was ein-/auffällt meld ich mich wieder und sonst guck ich auch später nochmal rein falls noch wer antwortet!
Tschüss ! Bis dann !

« Letzte Änderung: 28.08.08, 20:01:23 von BobbyOne »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nein bei 45 Grad streikt der Pc nicht.


« Etwas hat sich verändert?/hat sich erledigt!2 Benutzer Virus übergreifbar ? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...

Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...

Binärsystem
Unter dem Begriff Binärsystem (oder Dualsystem) versteht man ein Zahlensystem, das lediglich zwei Zustände oder Werte kennt: Null (0) und Eins (1). Es bildet di...