Hallo leute.

wie jeder immer mal wieder habe ich probleme mit meiner internetverbindung. esrt ist noch alles klar aber dann wird die verbindung immer langsamer. nortn, spybot und ad aware haben auch nicht geholfen. ausserdem lastet die svchosting.exe meinen cpu öfters mal zu 100% aus.

ich habe hier und in anderen foren schon ne menge zu dem problem gefunden aber da sollten immer die logfile von diversen programmen gepostet werden. deshalb denke ich, dass es wohl individuell gelöst werden muss und bitte deshalb um eure hilfe.
mein problem ist alerdings, dass ich nicht so der computerexperte bin also bitte ich um ne schritt für schritt erklärung (idioten sicher halt für so computeridioten wie mich )
um das schonmal vorweg zu nehmen hier die logfile von hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 22:52:35, on 05.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Tarek\Cracks und Programme\Antivir\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.ogame101.de/forum/wbb2/threa ... ost1157077
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Messenger] msmsgs.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Corel Network monitor worker (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB531FF0-FF37-4066-9C10-B54D62FE0A04}: NameServer = 217.237.150.97 217.237.149.161


schonmal vielen dank an alle die mir helfen werden. ihr könnt sicher sein , dass ich es zu schätzen weiss, dass ihr eure zeit für probs fremder opvert!!!!!

gehe schlaafen und hoffe nach der arbeit einige tips zu finden. gute nacht

Suche mal die Datein über den Suchen-Dialog von Windows. Wenn Du sie gefunden hast, dann merke Dir das Verzeichniss in dem diese Datei liegt.

Dann gehst Du mal auf diese Seite:

http://www.kaspersky.com/scanforvirus

Dort kannst Du die Datei online checken. Klicke auf "Durchsuchen", wähle die Datei aus und dann auf "Submit".

Die Ergebnisse bitte hier posten.

Hallo Gonzo,

scanne nochmal mit dem Hijacks und setz dann folgende Häkchen.

04 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe

Computer neu starten.
Systemwiederherstellung deaktivieren
Beim IE unter Extras, Internetoptionen , alle Cookies und Dateien löschen. Dann gehst du auf "alle Programme" Zubehör, Systemprogramme, Datenträgerbereinigung , alle Häkchen setzen, löschen. Computer neu starten die Systemwiederherstellung wieder aktivieren, dann nochmal scannen und das Log nochmals posten.


Gruß Gabi

Erstmal danke an euch beide für die promte hilfe

@chris_davidi
habe deinen tip befolgt und das ist dabei rausgekommen:

Scanned file: svchosting.exe

svchosting.exe - packed with Molebox
svchosting.exe - packed with UPX
svchosting.exe - infected by Backdoor.Win32.ForBot.j


Statistics:
Known viruses: 100211 Updated: 06-10-2004
File size (Kb): 132 Virus bodies: 1
Files: 3 Warnings: 0
Archives: 0 Suspicious: 0


@Gabi
acuh deinen tip habe ich befolgt hier ist die neue logfile
Logfile of HijackThis v1.97.7
Scan saved at 17:43:50, on 06.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
D:\Tarek\Cracks und Programme\Antivir\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.ogame101.de/forum/wbb2/threa ... ost1157077
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Corel Network monitor worker (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB531FF0-FF37-4066-9C10-B54D62FE0A04}: NameServer = 217.237.150.97 217.237.149.161



wie gehts weiter? konnte ich auf der internetseite auch was fixen? habe da nix gefunden. und sieht die neue logdatei gut aus???[/quote]

Das habe ich aus dem Sophos Virenlexikon:

W32/Forbot-K ist ein Netzwerkwurm mit Backdoor-Funktionalität.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich der Wurm als svxhost.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SVX Control Service = svxhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
SVX Control Service = svxhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SVX Control Service = svxhost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
SVX Control Service = svxhost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
SVX Control Service = svxhost.exe

Sobald er installiert ist, verbindet sich W32/Forbot-K mit einem vorkonfigurierten IRC-Server und Kanal, über den ein Angreifer weitere Befehle senden kann. Diese Befehle können dazu führen, dass der infizierte Computer eine der folgenden Aktionen ausführt:

Überfluten eines Remote-Hosts (entweder über ping oder HTTP)
Starten eines SOCKS4-Proxyservers
Starten eines FTP-Servers
Portscan zufällig gewählter IP-Adressen
Ausführen willkürlicher Befehle
Stehlen von Daten, wie Kennwörtern und Produktschlüsseln
Hochladen/Herunterladen von Dateien
Manipulieren des lokalen Dateisystems
Bearbeiten der Systemregistrierung.

Am Besten Du aktualliesierst mal Deinen Virenscanner und läst ihn über Dein System laufen.

Mit dem Hijackthis-Tool kenne ich mich nicht aus, aber dafür viele anderen, die Dir helfen werden.

Das geht ja hier schneller als ich dachte. mein problem ist, dass ich nur vieren shareware habe. bei einigen killern die ich geladen habe findet er zwar sachen aber sagt gleichzeitig ich müsse die vollwersion kaufen um sie zu entfernen. bei anderen wird er selbst nach der aktualisierung nicht gefunden . würde gerne drum rum kommen mir nen scanner zu kaufen ( armer student ) kennste nix sharewaremässigs was da weiter hilft.
der vierus den ich oben gepostet habe ist übrigen auch nach den tips von Gabi noch da. das sagt jedenfalls die internetseite die oben zum prüfen gepostet wurde. kann ich die datei einfach löschen?

p.s. nochmal danke

Hallo Gonzo,

das neue Log sieht gut aus.

Hier noch ein paar Hinweise:
Wenn Du diese Seite nicht kennst, sollte sie gefixt werden.

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext =
http://www.ogame101.de/forum/wbb2/threa ... ost1157077
'http://www.ogame101.de/forum/wbb2/thread.php?postid=1157077#post1157077

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
Nicht gefährlich aber unnötig.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
ebenfalls nicht gefährlich, aber unnötig

O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Corel Network monitor worker (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)

Wenn der Eintrag 'Corel Network monitor worker ' nicht bekannt ist, fixen!

So das war es. Jetzt sollte Dein Computer wieder laufen.

Gruß Gabi

Gabi du bist ein Engel .
Nach deien ersten anweisungen hat alles wieder geklappt aber heute gings wieder los. die svchosting.exe bleibt ruhig aber der browser macht zicken. nach na zeit werden die seiten die ich aufrufe nur noch unvollständig angezeigt und irgendwann werden sie garnichtmehr geladen. der browser springt dann immer sofort ohne den versuch zu machen was zu laden auf die seite konnte nicht angezeigt werden. oder war es die seite konnte nicht gefunden werden? jedenfalls habe ich grade nochmal deinen lezten tip befolgt. hier der neue log

Logfile of HijackThis v1.97.7
Scan saved at 14:22:33, on 07.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Tarek\Cracks und Programme\Antivir\hjt\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab


habe keine ahnung ob das vieleicht meine neuen probleme gelöst hat. ich schaue mal obs gleich wieder los geht und poste dann mal.

mfg. gonzo

Hallo Gonzo,

du hast dir schon wieder was eingefangen.

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} -
http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
auch fixen

Neu starten, Systemwiederherstellung ausschalten, neu starten.
Hast du die Updates gemacht? Was ist mit einer Firewall?
Alternativ zum IE empfehle ich dir den Firefox Browser
http://www.mozilla.org/products/firefox ... 01.0PR.exe
Außerdem solltest du dir noch ein spyware Programm zum Beispiel das hier
http://www.chip.de/downloads/c_downloads_8833199.html
aufspielen und durchlaufen lassen.

Gruß Gabi

das problem mit dem browser ist immernoch da. es geht so 10-15 min und dann wird nix mehtr angezeigt. habr spybot schon und benutze es auch jeden tag. benuze auch adaware täglich.

1.welches vierenprogramm kannste mir den empfehlen?
2.und welche firewall?
3.habe mal die unter windos bei den netzwerkeinstellungen aktiviert. Bringt das was. ahbe aber keine ahnung wie man die konfigurieren muss?
4.sollte ich das servicpack 2 vieleicht instalieren? habe schon einiges schlechtes dafon gehört.

Hier auch nochmal der neue log
Logfile of HijackThis v1.97.7
Scan saved at 20:45:17, on 08.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Buhl\Virus Killer\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\Tarek\Cracks und Programme\Antivir\hjt\HijackThis.exe

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB531FF0-FF37-4066-9C10-B54D62FE0A04}: NameServer = 217.237.150.97 217.237.149.161

ich bin langsam am verzweifeln.

Hallo @Gonzo

Dein PC ist voellig verseucht...voller Backdoors (du solltest ueber eine Neuinstallation nachdenken)

Fixe

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

neustarten

Deaktivieren Wiederherstellung
XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Loesche im abgesicherten Modus:
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\wvsvc.exe

#deaktiviere deinen Virenscanner und lade: und scanne im abgesicherten und im Normalmodus
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

<abgesicherter Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

#Gehe wieder in den Normalmodus:

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt ....reinige den IE
http://www.almisoft.de/traxex2.htm

#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox ... 01.0PR.exe
Opera
http://www.opera7.de/

Onlinescann:
http://support.f-secure.com/enu/home/ols.shtml

Dann poste das neue Log noch mal

MFG
nIKITA

Hallo nikita.
ich habe deine anweisungen befolgt. hatte aber einige probleme.
die systemwiederherstellung lies sich nachdem ich sie deaktiviert hatte nicht mehr starten also ich sie wieder aktivieren sollte. habe nochmal gestartet und hatte aufeinmal so 10- 15 schweere ausnahmefehler. dann hatte ich leider keine zeit mehr was zu machen. hatte mich schon mit na neuinstallation abgefunden. im abgesicherten modus habe ich auch keine vieren mit dem von dir empfohlenen programmm finden können. als ich heute wieder gestartet habe um das systehm neu zu instalieren waren die fehlermeldungen auf einmel weg. kanns mir aber nicht erklären.
hier nochmal die neue log

Logfile of HijackThis v1.97.7
Scan saved at 14:44:46, on 10.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\System32\wuauclt.exe
D:\Tarek\Cracks und Programme\Antivir\hjt\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB531FF0-FF37-4066-9C10-B54D62FE0A04}: NameServer = 217.237.150.97 217.237.149.161

achso nochwas. mein ping ist aussergewöhnlich hoch wenn ich online egeshouter spielen möchte. der sollte so bei 50 sein und ist 3 mal so hoch. habe keinen router zwischengeschaltet der das verursachen könnte. wie es mit dem seitenaufbau im browser ist kann ich noch nicht sagen. das stellt sich immer erst nach einiger zeit raus obs klappt oder der nix mehr laden kann. schient aber alles etwas langsam zu sein. liegt das vieleicht an der firewall von norten?

und wie siehts aus? immernoch verseucht? habe jezt ne aktuelle version von norton bekommen die ich ein jahr nutzen kann. ists jezt gut oder muss ich nochmal ran?

vielen dank und mfg. gonzo

Hallo @ gonzo

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe

neustarten

#Ueberpruefe die C:\WINDOWS\System32\wvsvc.exe
und poste, das Ergebnis:(damit wir wissen, mit welchem Backdoor wir es zu tun haben)
http://virusscan.jotti.dhs.org/

Loesche:
C:\WINDOWS\System32\wvsvc.exe

Onlinescann:
http://support.f-secure.com/enu/home/ols.shtml

as eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
http://www.trojaner-info.de/hijacker/escan.shtml
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach <infected< suchen und die Eintraege hier posten,


Dann poste das Log noch mal.

mfg
Nikita

Hallo nikita.

Ich habe versucht deine anweisungen zu befolgen aber das hat leider nur bedingt geklappt.
die C:\WINDOWS\System32\wvsvc.exe kann ich auf dem computer leider nicht mehr finden habe mit der suche funktion alles sowohl im abgesicherten als auch im normalen modus abgesucht. allerdings habe ich sie auch schon nach deinem ersten post gelöscht weil du es da empfohlen hattest. sie scheint nicht wieder auf den PC gelangt zu sein. trotsdem taucht sie sowohl in der log von hjthis als auch von mwav auf wie du unten sehen kannst. das einzige was ich finden konnte ist die datei:
C:\WINDOWS\Prefetch\WVSVC.EXE-3AED53B6.pf

diese habe ich vorsorglich mit den onlinescanneren gescannt. der eine hat nix gefunden und das ergebniss vom anderen sowie die los von hjthis und mwav sind folgende


INTERNETSCANN:

Service load: 0% 100%

File: WVSVC.EXE-3AED53B6.pf
Status: OK
Packers detected: None

AntiVir No viruses found (1.22 seconds taken)
Avast No viruses found (4.61 seconds taken)
BitDefender No viruses found (2.54 seconds taken)
ClamAV No viruses found (6.69 seconds taken)
Dr.Web No viruses found (4.37 seconds taken)
F-Prot Antivirus No viruses found (0.35 seconds taken)
Kaspersky Anti-Virus No viruses found (3.97 seconds taken)
mks_vir No viruses found (1.60 seconds taken)
NOD32 No viruses found (2.20 seconds taken)
Norman Virus Control No viruses found (1.08 seconds taken)

Statistics
Last piece of malware found was TrojanDownloader.Win32.Swizzor.bo in ElseBird.exe, detected by:

Scanner Malware name Time taken
AntiVir X 1.25 seconds
Avast X 3.09 seconds
BitDefender X 3.13 seconds
ClamAV X 6.95 seconds
Dr.Web X 4.20 seconds
F-Prot Antivirus X 0.41 seconds
Kaspersky Anti-Virus TrojanDownloader.Win32.Swizzor.bo 4.02 seconds
mks_vir Win32.4 1.46 seconds
NOD32 X 2.23 seconds
Norman Virus Control X 1.01 seconds



Service statistics:

3302 files (2459 of those unique) have been uploaded & scanned since 30/09/2004, the day of the last database purge.
799 of those 2459 files contained a virus or any other form of malware.
This page has been visited 8515 times in this time period.
This service managed to spot 42 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 298 suspicious files without any help from scanner results.
However, 24 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.02% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 tr/exploit.ms04-28 36 times crck.tmp
2 backdoor.sdbot.gen 22 times asa.exe
3 backdoor.win32.rbot.gen 15 times chs.exe
4 backdoor.agobot.3.gen 13 times spooles32.exe
5 trojandropper.win32.small.lx 12 times MSMSGSVC.exe
6 win32:trojan-gen. {other} 11 times i_xplogger.exe
7 exploit.crashsos 11 times AP4.jpg
8 worm/bagle.o 11 times winupd.exe
9 bds/picharad 11 times WINSET32.EXE.001
10 dr/bridge.a.2 9 times Beyond Compare v2.2.7.build.227 5 Kb [09.09.04] - d227bcoa.zip
11 win32.p2p.spybot.gen 9 times McAfee AntiVirus 2005 Gold Edition.exe
12 backdoor.hackarmy.1.gen 9 times David Beckham.zip
13 modification of backdoor.generic.112 8 times tory.exe
14 vbs:malware 7 times counter[1].htm.Vir
15 tr/dldr.krepper.3 7 times pvxatg.exe

AKTUELLE HJTHIS LOG

Logfile of HijackThis v1.97.7
Scan saved at 18:04:24, on 10.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\logonui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
D:\Tarek\Cracks und Programme\Antivir\hjt\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB531FF0-FF37-4066-9C10-B54D62FE0A04}: NameServer = 217.237.150.97 217.237.149.161


INFIZIERTE FILES LAUT MWAV

Sun Oct 10 17:03:16 2004 => File C:\WINDOWS\SYSTEM32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:03:17 2004 => File C:\WINDOWS\SYSTEM32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:03:18 2004 => File C:\WINDOWS\SYSTEM32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:04:50 2004 => File C:\WINDOWS\System32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:05:34 2004 => File C:\Dokumente und Einstellungen\Tarek\Lokale Einstellungen\Temp\dhbh.dat infected by "TrojanDropper.Win32.Small.ja" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:05:35 2004 => File C:\Dokumente und Einstellungen\Tarek\Lokale Einstellungen\Temp\installer.exe infected by "not-a-virus:AdvWare.PurityScan.u" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:06:21 2004 => Scanning Folder: C:\Programme\Buhl\Virus Killer\Infected\*.*
Sun Oct 10 17:06:21 2004 => Scanning File C:\Programme\Buhl\Virus Killer\Infected\commando.exe
Sun Oct 10 17:06:21 2004 => File C:\Programme\Buhl\Virus Killer\Infected\commando.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
Sun Oct 10 17:06:21 2004 => Scanning File C:\Programme\Buhl\Virus Killer\Infected\index.exe
Sun Oct 10 17:06:21 2004 => File C:\Programme\Buhl\Virus Killer\Infected\index.exe infected by "TrojanDownloader.Win32.Agent.dn" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:06:21 2004 => Scanning File C:\Programme\Buhl\Virus Killer\Infected\msbb.exe
Sun Oct 10 17:06:21 2004 => File C:\Programme\Buhl\Virus Killer\Infected\msbb.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:06:21 2004 => Scanning File C:\Programme\Buhl\Virus Killer\Infected\YEA.REG
Sun Oct 10 17:06:21 2004 => File C:\Programme\Buhl\Virus Killer\Infected\YEA.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:14:10 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD0XDSLY\silent_install[1].exe infected by "not-a-virus:AdvWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:14:10 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD0XDSLY\silent_install[2].exe infected by "not-a-virus:AdvWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:14:11 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SL6PFPBD\silent_install[1].exe infected by "not-a-virus:AdvWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:19:39 2004 => File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:22:27 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD0XDSLY\silent_install[1].exe infected by "not-a-virus:AdvWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:22:27 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD0XDSLY\silent_install[2].exe infected by "not-a-virus:AdvWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:22:27 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SL6PFPBD\silent_install[1].exe infected by "not-a-virus:AdvWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:23:47 2004 => File C:\WINDOWS\system32\wvsvc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 10 17:23:48 2004 => Total Disinfected Files: 0

wie gehts weiter kannste dier erklären warum die datei immerwieder gescannt wird ich sie aber nicht finden kann? was mache ich nun? soll ich die datei C:\WINDOWS\Prefetch\WVSVC.EXE-3AED53B6.pf löschen?

Hallo @Gonzo

Mache folgendes:

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Oeffne das HijackThis, scan, hake an, was ich schreibe, dann drueckst du auf <fix< und startest den PC neu (damit der Backdoor aus dem Autostart kommt...sonst kann er nicht geloescht werden)

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe

neustarten

Versteckte Ordner\Dateien anzeigen
#Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Dann oeffne noch einmal das HijackThis.

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:wvsvc.exe < PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:ElseBird.exe < PC neustarten

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

#Loesche:
<C:\WINDOWS\Prefetch\WVSVC.EXE-3AED53B6.pf
<ElseBird.exe (falls die exe noch da ist)
<C:\WINDOWS\SYSTEM32\wvsvc.exe (falls die exe noch da ist)
<C:\Dokumente und Einstellungen\Tarek\Lokale Einstellungen\Temp\dhbh.dat
< C:\Dokumente und Einstellungen\Tarek\Lokale Einstellungen\Temp\installer.exe
<C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD0XDSLY\silent_install[1].exe
<C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD0XDSLY\silent_install[2].exe
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SL6PFPBD\silent_install[1].exe

#Deinstalliere:
C:\Programme\Buhl\Virus Killer\ (ist verseucht)

Loesche dann :
<C:\Programme\Buhl\Virus Killer\Infected\index.exe
<C:\Programme\Buhl\Virus Killer\Infected\msbb.exe
<C:\Programme\Buhl\Virus Killer\Infected\commando.exe
<C:\Programme\Buhl\Virus Killer\Infected\YEA.REG

Deaktiviere deinen Virenscanner und lade; (ist der einzige, der den Virus erkennt....)
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
Scanne im abgesicherten UND im Normalmodus !!!!

Mache UNBEDINGT die WindowsUpdates, sonst wirst du immer Probleme haben und aktualisiere auch den IE auf IE SP1.


Dann poste das Log noch mal.

mfg
Nikita