Hallo zusammen,
also manchmal denk ich echt, dass ich 'nen Schuss hab: Also, um mich bei der SP3-Beta anzumelden, musste ich kurz meine Firewall ausschalten, weil sonst die Seite nicht geladen werden kann. Ich hatte sie vielleicht gerade 5 Sekunden aus, hatte ich den ersten Virus auf'm PC. Dabei war ich nur auf Fileplanet. Sofort hatte das Teil 100% CPU-Belastung und ich konnte nichts mehr machen, als 'nen Hard Reset.
Jetzt scheint wieder alles normal zu sein, doch vorsichtshalber hab ich mal Hijackthis laufen lassen.

Logfile of HijackThis v1.99.0
Scan saved at 18:27:43, on 27.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\scvhost32d.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Generic Host Process32 System Backup] scvhost32d.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Generic Host Process32 System Backup] scvhost32d.exe
O4 - HKLM\..\RunServices: [Patches Value] WinGamed.exe
O4 - HKCU\..\Run: [Generic Host Process32 System Backup] scvhost32d.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Timezone] "C:\Programme\Microsoft Time Zone\TimeZone.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctaa.chm::/painter.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{931FB06A-D990-460A-8D7F-66CA95D89667}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\OUTPOS~1\outpost.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Könnt ihr was auffälliges entdecken?

Danke für jegliche Hilfe!

LordFiZz

Ich müsste schon fast eher die harmlosen Punkte rausschreiben... das gäb weniger zu tun ;).

Bring's auf den Punkt? Was ist schlecht und was nicht?

http://www.hijackthis.de kann dir schon einmal grob helfen. Trag da die Logfile ein.

btw. was ein Zufall. Gerade hat mein Anti-Viren-Programm angeschlgen. ;(
Irgendein "Bloodhound.Exploit.6" :|


Gruß
seiLaut

WinGamed.exe ist bösartig. Wie kann ich das Teil loswerden?

hä? Immer wenn ich auf antworten klick, bekomm ich den Virus.. aber nur bei diesem Thread :mad:

@ Lordfizz: Das Kästchen davor makieren und auf "fix checked" gehen.

Dann wird das gelöscht.

Gruß
seiLaut

mmm...

Im Taskmanager abschiessen:
C:\WINDOWS\System32\scvhost32d.exe

Aus der Registry entfernen:
O4 - HKLM\..\RunServices: [Generic Host Process32 System Backup] scvhost32d.exe <-- hö? sehr komisch
O4 - HKLM\..\RunServices: [Patches Value] WinGamed.exe <-- pöse ;)

Komische Sache:
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctaa.chm::/painter.exe
<--- was ist das für eine Painter.exe?

Ich denke, dein Nameserver ist richtig, hab es aber nicht überprüft:
O17 - HKLM\System\CCS\Services\Tcpip\..\{931FB06A-D990-460A-8D7F-66CA95D89667}: NameServer = 217.237.150.141 217.237.150.97

Lad die 3 Sachen doch einfach mal bei http://www.virustotal.com/flash/index_en.html oder http://virusscan.jotti.org/ scannen ... sollten die Sachen als böse gezeichnet werden und Antivir kennt es nicht, wäre es nett, wenn du die Sachen zippen würdest und bei denen http://www.antivir.de/de/support/verdaechtige_dateien/index.html hochladen würdest. Als Email- Addi kannst du meine (lokadamus@gmx.de) angeben, wenn du willst, als Text solltest du dort die Einträge von HijackThis angeben (am besten meine zu den dazugehörigen Sachen).

LordFiZz

Bei meinem Kumpel hat sich mal ein "Virus" in seine AT Guard integriert ;). Seither nenne ich alles überflüssig, was nicht nötig ist und dabei kann man bei Dir wohl diese Zeilen weglassen...

C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\scvhost32d.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [Generic Host Process32 System Backup] scvhost32d.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Generic Host Process32 System Backup] scvhost32d.exe
O4 - HKLM\..\RunServices: [Patches Value] WinGamed.exe
O4 - HKCU\..\Run: [Generic Host Process32 System Backup] scvhost32d.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Timezone] "C:\Programme\Microsoft Time Zone\TimeZone.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctaa.chm::/painter.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{931FB06A-D990-460A-8D7F-66CA95D89667}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\OUTPOS~1\outpost.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe