svchost.exe und andere Trojaner (reloaded)

Hallöchen,

von wo hast du denn diese Meldungen bekommen? Also ich meine von welchem Programm?

Also in deinem Logfile ist tatsächlich ein Trojaner zu sehen. Aber wenn dein Antivirenprogramm ihn erkennt, dann sollte es den Trojaner auch entfernen können.

Vorher aber die Systemwiederherstellung deaktivieren.

Im Logfile könntest du folgende Einträge fixen ( beheben ):

Code:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE

Wobei der letzte Eintrag nach Antivir aussieht. Aber der dürfte eigentlich nicht im temporären Verzeichnis liegen.

Dann den Rechner neu starten und dann die .exe Dateien in den entsprechenden Pfaden suchen und löschen.

Aber nur dort!!!

Dann noch mal einen Scan mit dem Ativirenprogramm und HijackThis machen.

Moin,
auffällig ist auch das Datum der Einträge.
Hast du 4 Wochen nicht nach Viren gescannt?

Hiya,

danke Dir. Ja, der letzte Eintrag ist AntiVir und soweit ich weiß immer da
Habe soweit (bis auf erneuten Check) alles getan, allerdings bereitet mir der Teil mit

Dann den Rechner neu starten und dann die .exe Dateien in den entsprechenden Pfaden suchen und löschen. Aber nur dort!!!

Schwierigkeiten. Im besagten Ordner finde ich nach dem Fixen mit HijackThis unter 'drivers' nämlich keine SVCHOST.EXE. Die einzigen, die ich gefunden habe, sind bei Service-Pack Files, Service Pack Unistall, und dann im Windows-Prefetch-Ordner:
SVCHOST.EXE 0EB47E31.pf
SVCHOST.EXE3530F672.pf
und genau diese beiden sind auch die einzigen, die gestern etwa zu dem Zeitpunkt geändert wurden, als ich die Virusmeldung erhielt. Soll ich also nur die löschen (ist ja nicht der angegebene Ordner) und alle anderen nicht?

LG, jinx

Hallöchen,

also ich würde diese Dateien lieber belassen. Wenn es keine weitere Meldung mehr gibt, dann ist es ja erstmal nicht schlecht. Du kannst ja noch mal ein aktuelles Logfile mit HijackThis erstellen und hier reinstellen. Dann schauen wir noch mal...

Hiya,

okay, dann scanne ich jetzt mal - im abgesichterten Modus ist doch richtig oder?
Und was genau ist denn diese SVCHOST.EXE? Die taucht so oft auf, aber ich habe keine Ahnung, was sie genau tut.

LG, jinx

Hi,

SVCHOST.EXE ist ein Bestandteil von Windows.

@Fabi: nicht zwingend. Das ist eines der bescheidenen Errungenschaften von Windows. Windows startet diesen Prozess etliche Male und man ganz schlecht erkennen wozu er nun wirklich gehört......

und deshalb nehmen sich manche Viren eben diesen Namen und mischen sich unter die anderen tatsächlichen Windowsprozesse dieses Namens.

LG

Ja und was heisst das jetzt? Löschen oder nicht?

Ich stelle mal die Ergebnisse des Antivir-Scans hier rein, wenn es okay ist:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 21. September 2008 17:37

Es wird nach 1627335 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: LILITH

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 09:23:47
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 09:23:47
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:23:48
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 09:23:48
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 19:32:43
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 08:59:28
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 16:04:06
ANTIVIR3.VDF : 7.0.6.189 223744 Bytes 21.09.2008 14:31:16
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 21:29:48
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 22:08:30
AESCN.DLL : 8.1.0.23 119156 Bytes 18.07.2008 09:23:49
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 22:08:29
AEPACK.DLL : 8.1.2.1 364917 Bytes 18.07.2008 09:23:49
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 22:08:28
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 22:08:27
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 06:37:04
AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 20:41:34
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 07:26:48
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 09:14:10
AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 09:23:49
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:23:47
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:23:47
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 07:26:47
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:23:47
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 21:29:47
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:23:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 21:29:48
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:23:48
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 21:29:47
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:23:32
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:23:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Sonntag, 21. September 2008 17:37

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\tdsserrors.log
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49496f39.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssevri.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aaca4ea.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdsshpue.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aae9cb2.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssinit.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aa3747a.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssjjsm.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aa52dc2.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssl.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aa7058a.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssovqt.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49496f3a.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssservers.dat
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4abbd51b.qua erstellt ( QUARANTÄNE )
c:\windows\system32\tdssuqoi.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4abd8ee3.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\tdssjcxe.sys
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ff6780b.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssjcxe.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssjcxe.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssjcxe.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssjcxe.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssserv.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '75101' Objekte überprüft, '26' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'PhotoFiltre.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphmon05.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '_VWUPSRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DevSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '70' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 21. September 2008 19:01
Benötigte Zeit: 1:24:48 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7394 Verzeichnisse wurden überprüft
360908 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
360903 Dateien ohne Befall
7959 Archive wurden durchsucht
2 Warnungen
10 Hinweise
75101 Objekte wurden beim Rootkitscan durchsucht
26 Versteckte Objekte wurden gefunden

Diese versteckten Objekte habe ich in Quarantäne verschoben, war das falsch? Und der Rest der gefundenen Viren ist auch dort - dort lassen oder ....?

LG, die besorgte jinx

Hallöchen,

dein Antivir hat ja einige Dateien in die Quarantäne verschoben und dort sind sie ja sicher aufgehoben. Von da aus können sie keinen Schaden mehr machen. Und wenn der Rechner einige Tage problemlos gelaufen ist, dann kannst du diese Dateien in der Quarantäne endgültig löschen.

Sollte der Rechner aber Probleme machen, dann könnte es sein das eine wichtige Datei irrtümlich in die Quarantäne verschoben wurde...

Hiya,

okay, danke Euch für die schnelle und gute Hilfe!! *Kuchen und Blumen verteil*
Werde dann doch mal wieder braver meine Antivirenchecks durchführen - allerdings frage ich mich, was denn genau der Unterschied zwischen den langen Checks und dem generellen Check (also ständig aktiviertes AntiVir-Programm) ist. Nach welchen Kriterien untersucht denn letzterer im Gegensatz zu ersterem?

LG, jinx

Hi,

der vollständige Systemcheck untersucht das gesamte System (also alle Dateien) nach Viren, während das aktivierte AntiVir-Programm (AntiVir Guard) nur die Daten kontrolliert, die gerade auf die Festplatte geschrieben und von der Festplatte gelesen werden.

Hiya,

um mal laientypisch-peinlich zu fragen: wenn bei Komplett-Check A alles okay ist und beispielsweise ein Trojaner das System befällt, dann wird er doch theoretisch sofort erkannt oder? Wie bleibt er denn in manchen Fällen erst noch getarnt und wird dann erst bei Check B auffällig?

LG, jinx

Und schon wieder ich:

Gleich heute früh meldete sich das nächste Problem: AntiVir hat eine Datei gemeldet, die ich in Quarantäne verschoben habe: laut Meldung enthält sie das 'Erkennungsmuster des Rootkits RKIT/Clbd.KF'. Wieder alles checken, in Pfaden suchen und entfernen etc.? Oder muss ich noch was beachten?

Anbei schon mal mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:36:37, on 23.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Christina Bouchard\Eigene Dateien\download-programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavili on&pf=laptop
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 8856724061
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

LG, jinx

Moin,
es mag nicht ganz schlüssig sein, aber diese beiden Einträge werden als schädlich angesehen obwohl sie einen Bezug zu AntiVir vorgeben:

C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE

C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE

Ich würde sie im abgesicherten Modus fixen.
Dann auch das ganze AntiVir deinstallieren und lieber neu aus dem Internet laden.

https://www.dirks-computerecke.de/antivir-1.htm
danach einrichten, updaten und erneut scannen.

Hiya,

irgendwie sieht aber speziell das nach Meldungen aus, die ich immer von AntiVir bekomme und die hier im Forum als nicht weiter bedenklich eingestuft wurden; z.B. hier https://www.dirks-computerecke.de/forum/topic8535.html oder hier https://www.dirks-computerecke.de/for...ic5592-15.html. Egal, wo und wie ich die fixe, die taucht immer wieder auf.

Ansonsten gab es nix Auffälliges? Dann bin ich ja erstmal etwas ruhiger, danke Dir *Muffins durchs Netz schick*. Werde gleich mal AntiVir neu installieren und schauen, ob das was hilft.
Hätte noch eine Frage zur Systemwiederherstellung, die ich ja bei solchen o.g. Checks imer deaktivieren soll: ist es besser, sie generell in diesem Zustand zu lassen oder eher nicht? Habe eigentlich schon viel damit retten können, deshalb fand ich sie recht gut.

LG, jinx

Moin,
sorry, ich habe versehentlich 2x den gleichen Eintrag hier reinkopiert, die als 'schädlich' erkannt werden. Es ist neben >

C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE

als 2ter >

O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE

Diese Einträge kommen mir auch sehr eigenartig vor. Aber in letzter Zeit häufen sich die Meldungen über Trojaner, die unverfängliche oder bekannte Namen vortäuschen.
Ich selbst habe diese Dateien nicht im Ordner 'Temp'. Leider kann man das nicht 1:1 verfolgen, weil der Pfad nicht vollständig ausgeschrieben ist.
Sollte beim Fixen doch das richtige AntiVir Schaden nehmen wäre die DE- und die anschließende Neuinstallation- wie beschrieben- das kleinere Übel.
Systemwiederherstellung:
Es wird empfohlen sie vor dem Fixen mit HjT zu deaktivieren. Sollte sich tatsächlich etwas eingenistet haben und du greifst auf einen früheren Zeitpunkt in der Wiederherstellung zurück, erzeugst du den ursprünglichen Zustand und du hast das Problem wieder. Deshalb ist es besser, wenn du nach der Wiederaktivierung nur den einen Punkt zur Verfügung hast, der dabei neu erzeugt wird.
Quarantäne bei AntiVir
Was sich darin befindet ist erst mal unschädlich. Es gibt einige wenige Fälle, wo eine Falschmeldung erfolgt so dass man darauf zurückgreifen könnte.
Wenn sich herausstellt, dass nach einiger Zeit dein PC keinerlei Fehlverhalten zeigt, kannst du die Dateien sehr wohl löschen:
Im linken Menü findest du 'Verwaltung', darunter 'Quarantäne'. Die Einträge markieren und oben auf das Papierkorb-Symbol klicken.

Hiya,

also, diese Datei (habe nur eine gefunden und zwar erstere) habe ich dreimal gefixt und sie ist jedes Mal wieder da. Mittlerweile habe ich mir von CHIP das neueste AntiVir PE Classic heruntergeladen, das alte komplett gelöscht und das neue installiert. Und schon wieder habe ich daraus resultierend zwei neue Fragen:
a) Mit dem alten Programm sind ja wohl auch alle Quarantäne-Dateien futsch - ist das gut oder schlecht? Ich meine, die Dinger bleiben doch dann nicht ungeschüzt auf meiner Festplatte oder? (Zugegeben, mag 'ne blöde Frage sein, aber ich will sicher sein.)
b) Es gibt von AntiVir noch ein Extra-Rootkit-Programm - ist das ein Zusatz zu dem bereits integrierten Rootkit-Sucher oder ....?

LG, jinx

Hi,

das können zwar Trojaner sein, müssen aber nicht zwingend. Es besteht ebenso die Möglichkeit von fehlgeschlagenenen Updates von Antivir.

Dazu gibt es folgende Lösung:

Drücke Start => Ausführen und dann in das Fenster schreiben
sc stop TmpUpSrv => OK

ein wenig warten und dann
sc delete TmpUpSrv => OK

Danach mit dem Windows-Explorer die Datei
C:\DOKUME~1\Dein Benutzername\LOKALE EINSTELLUNGEN\TEMP\_VWUPSRV.EXE
löschen => PC neu starten.
Dann müsste die Fehlermeldung beseitigt sein.

Alternativ kannst du auch mittels CCleaner Antivir deinstallieren. Das ist gründlicher als Windows selbst. Danach löscht du die Dateien in dem oben genannten Ordner. Danach empfehle ich noch eine Fehlerbereinigung der Registry mittels CCleaner.

Danach den Rechner neu starten. Jetzt kannst du noch mal zur Kontrolle einen Scan mit Hijackthis machen. Wenn das kein Virus/ Trojaner war, sollte dein System jetzt komplett sauber sein.

Danach Antivir neuinstallieren und gut.....

LG

Moin,
ehe es zu unübersichtlich wird, fangen wir doch bitte mal in Ruhe bei Null an und vergessen auch die Vorläufer dieses Threads.
Grundsätzlich ist es bei Befall immer angesagt, sowohl mit einem Viren- als auch mit einem Malware-Scanner im 'abgesicherten Modus' zu arbeiten.
Den Grund, die Systemwiederherstellung zu deaktivieren habe ich schon genannt.

Nun zu deiner aktuellsten Situation:
1.

das neueste AntiVir PE Classic heruntergeladen, das alte komplett gelöscht und das neue installiert

a. hast du das alte deinstalliert?
b. Dann das neue installiert?
c. Konfiguriert (Rootkitscan-Option ist vorhanden)
d. Auch upgedatet?
e. Hast du damit einen kompletten Scan durchgeführt?

Mit welchem Ergebnis?
2.
a. Hast du ein aktuell upgedatetes Spywareprogramm und
b. damit gescannt?

Mit welchem Ergebnis?

3.
a. Wenn Meldungen vorliegen: Bei Malware beseitigen lassen, bei Viren in Quarantäne.
b. Wenn bei beiden keine Befunde gemeldet werden, machst du erneut einen Scan mit HjT und postet das Logfile.
(wo der 023-Eintrag geblieben ist, wird sich dann herausstellen)

Moin,
sorry @ Q-Max, dein Ansatz ist sicher der einfachere aber so daneben liege ich doch sicher auch nicht?

ne, das war alles schon so richtig was du vorgeschlagen hast.

Aber der gute Jinx hat sich wieder so verzettelt, dass man ja gar nicht mehr durchblickt was nun noch Sache ist.

Und Virenscan und Hijackthis hat er ja nun schon mehrfach durchlaufen lassen, so dass ich davon ausgehe, dass ein Virenproblem zumindest nicht mehr vorliegt.

Also soll er doch oben drauf mal eine saubere Deinstallation fahren. Damit sollte sich das Problem endgültig in Luft aufgelöst haben.

LG

Hiya,

auch wenn die Jinx zeitweilig etwas konfus agieren mag - wobei ich mich für meine Unaufmerksamkeit bezüglich der Systemwiederherstellung entschuldige - finde ich nicht, dass sie sich so extrem 'verzettelt' hat, aber egal. Zurück zum Problem: wie ich bereits sagte, habe ich natürlich
1a) das alte AntiVir DEinstalliert und bin auch schon mit dem CCleaner drüber gegangen
b) die neue Version INstalliert
c) + d) + e) durchgeführt.
Das Ergebnis sind mehre neue Funde:

C:\WINDOWS\system32\TDSSevri.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c1059.qua' verschoben!
C:\WINDOWS\system32\TDSShpue.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c105e.qua' verschoben!
C:\WINDOWS\system32\TDSSuqoi.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c1060.qua' verschoben!
C:\WINDOWS\system32\drivers\TDSSjcxe.sys
[FUND] Ist das Trojanische Pferd TR/Peed.A.830
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c1097.qua' verschoben!

2) Ich besitze 'Spybot - Search and Destroy', mache aber nachher gerne auch noch einen Scan mit AdAware.
Sollte mein Logfile mit dem Spybot-Scan also nix wert sein, einfach ignorieren:

Logfile of HijackThis v1.99.1
Scan saved at 19:14:30, on 23.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christina Bouchard\Eigene Dateien\download-programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavili on&pf=laptop
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 8856724061
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

LG, jinx

PS: Zumindest die VWUPSRV.EXE hat sich endlich aufgelöst - großes Danke an Q-Max.

ach du bist ein "die", kann doch keiner ahnen (mein ägüptisch ist nicht so gut)

ein Problem weniger, aber du scheinst da ja noch ein paar andere Bösewichte auf deiner Platte zu haben, die vorher noch nicht da waren. Gast du Antivir nicht aktuell gehalten oder den Guard ausgeschaltet ?

Nun bleibt ja nichts als erst mal die Dateien zu löschen und immer wieder zu scannen ob sich da noch was meldet. Es könnte natürlich auch sein, das du schon eine Hintertür in der Firewall offen hast und dich ständig neu infizierst. Mach die doch mal komplett dicht, so das sich jede aus- und eingehende Verbindung melden muss.

LG

Hiya,

Dir sei gnädigst verziehen :P

Doch, doch, ich bin immer brav am Updaten und der Guard ist auch immer an - allerdings hat vor zwei Tagen irgendwas zweimal meine Windows-Firewall für ein paar Sekunden ausgeschaltet - ist aber alles wieder okay - dachte ich zumindest. Sollte ich für die nächste Zeit das Kästchen 'Keine Ausnahmen zulassen' zusätzlich aktivieren oder hast Du vielleicht noch einen besseren Tip? Achja - ich habe auch einen Router, und der hat doch soweit ich weiß, eh eine eigene Firewall oder liege ich da falsch?

LG, jinx

Hi,
wenn sich die Firewall von allein abschaltet, geh mal davon aus, dass da noch was am knabbern ist. Die Firewall machst du so dicht das jedes Programm fragen muss wenn es raus will. Und die Routerfirewall würde ich auch so dicht wie möglich machen. Das kann zwar zur Folge haben das du nicht mehr ohne Probleme rauskommst, aber dann musst du eben jede einzelne Verbindung kontrollieren und verifizieren, dass da kein Virus werkelt.

Und scan dein System nach jedem Löschen noch einmal. Wenn Antivir dann wieder was findet, poste mal den Dateinamen. Eventuell musst du dir dann ein spezielles Tool runterladen um den Virus zu vernichten. Das muss man dann von Fall zu Fall sehen...

LG