Startseite
Hilfe-ForumFrageSuchenKontakt/Impressum

ForenForum
Virus? Bitte um Logfile Auswertung
Von: BobbyOne *
am 28.08.2008
Hallo Leute

Hab seit zwei Tagen das Problem, dass in erster Linie beim WOW spielen ein Hintergrundprogramm mittendrin plötzlich volle Rechnerleistung benötigt und dann der Rechner einfach ausgeht (nicht runter fährt!).
Fand ich komisch, da ich Leistungsintensivere Spiele ohne Probleme weiterhin spielen kann (würde somit Hardwareprobleme ausschließen).

Habe daraufhin das System (XP-Pro) neu gemacht und geupdated.

Bei der Installation der Mainboard-Treiber-CD (Chipset,LAN,Sound) kam dann zum ersten mal eine Meldung von Avast.

Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Reboot.exe" file.

Habe dann von Löschen bis Verschieben alles probiert und die Treiber noch mehrmals de- und neu installiert. Da tut sich nix ! Die Datei im Explorer zu löschen geht nicht, da mir im Autostart-Ordner keine Dateien angezeigt werden.

Deshalb hab ich einen Virenscan gemacht bei dem dann folgendes gefunden wurde:
Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\System Volume Information\_restore{7685F5EC-F4F5-45CA-85C7-CA076362C494}\RP2\A0000041.exe" file.

Diese Datei wurde dann der Aussage von Avast nach erfolgreich gelöscht und auch bei nochmaligem Scan nicht wieder gefunden.

Hab außerdem SpybotS&D installiert und durchlaufen lassen und auch 48 Problem-Funde gehabt (wohlgemerkt auf einem frisch installiertem OS). Diese wurden behoben und ebenfalls bei einem zweiten Scan nicht wieder gefunden.

und hier mein Logfile aus Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:57, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219882359014
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe

--
End of file - 4967 bytes


Ich denke, dass sich ein Virus wahrscheinlich auf meiner externen Festplatte eingeschlichen hat (sonst ist er irgendwie Speicherresistent oder so und noch vom vorherigen System übrig geblieben ?!?!) und dann andere Malware nachgeholt hat, da ich die neuinstallation mit abgeschaltetem Router (aber eingeschalteter Platte) durchgeführt hab und als allererstes Avast installiert hab.

Sollte es nötig sein, das System noch ein weiteres mal neu zu machen (und sonst auch aus Interesse für das nächste mal) würde ich euch bitten mir eine sinnvollere Reihenfolge für die Installation der folgenden Programme und Updates vorzugeben, weil ich mir nicht wirklich sicher damit bin und zumindest mein Soundtreiber eine geupdatete WinXP-Version zur Installation benötigt: Mainboard-CD (s.o.),Grafikkartentreiber, Avast, Spybot, SP3

Vielen Dank für alle Antworten schonmal
Bobby

PS:
Die Festplatte ist und bleibt jetzt erstmal aus. Interessant wäre noch wie und ob ich sie bereinigen kann bzw wie ich, ohne mich erneut zu infizieren, die Daten darauf retten kann.

Edit:
Hab jetzt nach allen Maßnahmen das Spiel noch einmal angeworfen und dabei feststellen müssen, dass bisher nichts geholfen hat. Mache mir langsam doch ein wenig Sorgen wegen Hardware-Problemen. Vielleicht kann mir ja jmd auch noch sagen, wie ich das NT auf zu wenig Saft teste und auch wie ich HitzeProbleme feststellen kann.

Antwort 1 von copy *****
am 28.08.2008
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
kennst du den?
an sonsten mal bei www.virustotal.com hochladen und checken lassen. 

Antwort 2 von ersguterjunge *****
am 28.08.2008
Datei ist clean!

Antwort 3 von BobbyOne *
am 28.08.2008
ja ich bin der meinung, das bei der installation von Spybot gelesen zu haben. Das ist die Immunisierung für IE7 oder so ähnlich.

habe oben auch noch ein edit hinzugefügt (nicht dass man den übersieht)

Antwort 4 von copy *****
am 28.08.2008
..ansonsten sehe ich nichts Huh
aber den BHO Eintrag  02/no file würde ich entfernen.
Gibt es denn Probleme? 
Sorry!
Hatte mir bis jetzt nur die logfile angeschaut! Grin
werd nochmal lesen Wink



Antwort 5 von BobbyOne *
am 28.08.2008
BHO ? das Problem ist nach wie vor dass beim Spielen der Rechner plötzlich und ohne Vorwarnung aus geht.

edit: ach da, hab BHO gefunden. Wie soll ich den Löschen ? mit hijackthis ? und habt ihr ne Ahnung was das sein könnte ?

Antwort 6 von copy *****
am 28.08.2008
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
den würde ich fixen und ansonsten muß ich halt noch mal lesen.

Antwort 7 von copy *****
am 28.08.2008
während ich lese, überprüf mal deine Temparaturen mit www.everest.de

Antwort 8 von BobbyOne *
am 28.08.2008
BHO is gefixt, Everest lädt runter ... ich probier mal wegen BHO einmal mehr ob er wieder ausgeht beim zocken oder ? hab wie gesagt angst, dass ich mir das mainboard zerlege wegen zu wenig saft (bei hitze wäre ausschalten ja sinnvoll)... aber wenn dann ist wahrscheinlich schon kaputt was kaputt gehen kann, oder ? 

Antwort 9 von BobbyOne *
am 28.08.2008
hehe auf everest.de gibs nur ein programm ... für Kaufmänner also ERP-Software oder so

hab jetzt aber das richtige.
Temperaturen:
CPU 30°
System-HDD 35°

aber müsste da nich was krummeres angezeigt werden wenns in echtzeit ist ? oder hab ich nicht nach den richtigen Temperaturen geguckt ?

» weitere Antworten
« zurück Antworten