PC - kaputt

[Worker25]

HILFE!

ich habe auf meinem PC nichts laufen, der normale WIndowsDesktop wird angezeigt und mein PC fährt aller 5 Sekunden auf 50 % Leistung hoch und gleich wieder runter. Dann leider fängt mein Lüfter immer für 5 Sekunden an zu brummen.

[BlueScreen-Bertrand]

Hallo,

starte Windows im abgesicherten Modus neu. Drücke dazu nach dem Einschalten, kurz bevor der Startbildschirm erscheint, die Taste [F8] und wähle "Abgesicherten Modus mit Netzwektreibern" aus.

Melde dich an und klicke im erscheinenden Fenster auf "Ja".

Lade HijackThis herunter, verschiebe das Programm in den Ordner ..\Programme\HijackThis\ und starte es.
Klicke gegebenenfalls auf OK und im erscheinenden Fenster auf "Do a system scan and save a logfile". Anschließend öffnet sich ein Fenster des Notepad, kopiere den darin enthaltenen Text in diesen Thread.

[Worker25]

Hier sind die Zeilen:



Logfile of HijackThis v1.99.1
Scan saved at 23:53:03, on 05.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Worker25]

Ich muss dazu sagen, ich bin leider kein Computerfachmann, der irgendwas aus solchen Zeilen rauslesen kann.

Ich muss mir behelfen mit käuflichen Programmen.


Ah es ist zum auswachsen.....

ich vermute ja auch das irgendein doofes vielleicht noch nicht mal 100 KB grosses Programm mein Rechner stört. Aber ich finde die Nadel im Heuhaufen nicht.

[JeSuZ]

eindeutiger fall von virus ! Hab selbst schon mal so einen Virus Programmiert.

Wenn du die datei öffnest, fährt der PC runter oder startet neu, wenn du den PC dann wieder an machst, steht der Virus im autostart und startet sich bei jedem Windows start....sehr fies und lestig der Virus

[BlueScreen-Bertrand]

Hallo,

das Logfile ist in Ordnung, es werden auch keine potentiell gfährlichen Programme mit Windows gestartet.

Du solltest unterscheiden: Stürzt der Computer ab oder wird Windows heruntergefahren? Wenn Windoes heruntergefahren wird, wird der Abmeldebildschirm angezeigt.
"Einstellungen werden gespeichert, Windows wird heruntergefahren".

[Worker25]

Hallo,

der PC läuft rund ohne Probleme. Es ist halt nur das auch wenn nichts groß läuft, aller 5 Sekunden der Lüfter hochfährt, weil der PC auf rund 50 % Leistung hochgeht. Und das ist ärgerlich.

Kann es an Überhitzung liegen?

[BlueScreen-Bertrand]

Das ist auch möglich.
Die Ansteigende Auslastung ist aber oft typisch für störende Hardware-Interrpts. Schau malim Taskmanager nach, wie hoch die Auslastung bestimmter Prozesse ist (welche sind das?).

Um die Temperaturen zu überprüfen, kannst du Everest verwenden.

[Worker25]

Ich habe mir die Prozesse eine halbe Stunde angeschaut und den Übeltäter entlarvt der mein PC immer hochgetrieben hat und den Lüfter angeworfen hat.

WCAULT.EXE - der Windows Updater lief bereits und zusätzlich sprang erneut immer die besagten 5 Sekunden die gleiche Datei erneut an !

Das doofe ist LINUX verstehe ich nicht

Woran könnte das liegen das der Updater doppelt lief?!?! (wenn der Updater eigentlich die ganze zeit aktiv war)

[BlueScreen-Bertrand]

Einige Viren tarnen sich als Windows-Updater. Aus deinem Logfile war das nur nicht herauszulesen, weil du im abgesicherten Modus gestartet hast.

Klicke auf Start, Ausführen und gib dort MSCONFIG ein. Schau dann nach, ob hier das Updatprogramm drin steht.

[Worker25]

Automatische Updates sind unter Dienste eingetragen!

Ich habe es ausprobiert und die Automatischen Updates gekappt und der PC war ruhig, stell ich sie aber wieder an, springt die normale wcault.exe an und dann geht das Spiel erneut los. Alle 5 Sekunden springt die zusätzliche Updater-Datei (wcault.exe) an und scheucht mein PC hoch.


Bei Neustart der Updates sringt der Netzwerkdienst wmiprvse.exe mit an.

Meine Frage ist, wie kann ich dieses Virus löschen, wenn du wie du meinst ein Virus vermutest!

Überings ich bin sehr erstaunt über deine Hilfsbereitschaft, dank im Voraus.

[BlueScreen-Bertrand]

gerne doch.

Also, die Datei lässt sich überprüfen. Du müsstest sie nur finden. Unter MSCONFIG wird unter "Systemstart" in der Rubrik "Befehl" der Pfad angezeigt.

Da du den Pfad jetzt kennst, kannst du die Datei auf dieser Website hochladen und auf ihren Inhalt überprüfen: http://www.virustotal.com/en/indexf.html (oben auf der Seite ist die Funktion dazu)

Lade dann noch die ewido-Testversion herunter und führe einen kompletten Systemscan durch. Poste den Report in diesem Thread, lasse alle gefundenen Probleme beheben und deinstalliere ewido anschließend wieder.

[Worker25]

Die Kontrolle des Pfades ergab kein vIRUSFUND:


Der Bericht über den Scan:
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:04:00 07.07.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@axa.addcontrol[1].txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@axa.addcontrol[1].txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@ad.adition[3].txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@advertising[1].txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@com[2].txt -> TrackingCookie.Com : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@com[1].txt -> TrackingCookie.Com : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@e-2dj6wjlyckc5wbp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@oewabox[2].txt -> TrackingCookie.Oewabox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@oewabox[1].txt -> TrackingCookie.Oewabox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@tacoda[1].txt -> TrackingCookie.Tacoda : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@php.sales.tfag[2].txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\skywalker\Cookies\skywalker@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Honeyhorse\Cookies\honeyhorse@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Keine Aktion durchgeführt.


::Berichtende

Ich hab unter der Systemsteuerung Verwaltung den Dienst Automatische Updates vorsichtshalber deaktiviert.

[BlueScreen-Bertrand]

Ewido hat überhaupt keine Cookies entfernt. Arbeitest du unter Administratorrechten?
Hast du nach dem Scan vielleicht den Vorgang abgebrochen?

Nachdem du die automatischen Updates beendet hast, sollte der Prozess ja nicht mehr im Taskmanager stehen.
Falls du Windows aktualisieren möchtest, kannst du ja den Link in meiner Signatur anklicken.

[Worker25]

Ich hab Ewido durchlaufen lassen und den Bericht gepostet. Ich habe eigentlich nichts im Scanprozess unterbrochen.

Ich arbeite mit Admin-rechten.

Es wurde mir zur Beseitigung des Virus Ashampoo empfohlen, wie ist deine meinung dazu?

Bei Unterbrechung des Updates, wird nichts mehr im Taskmanager angezeigt.

Die letztendliche Schwierigkeit besteht nur noch darin, dis kleine fiese Ding von derPlatte zu putzen.