[Spynx]

Hallo,
ich habe ein großes Problem mit meinem PC. Merkwürdigerweise ist meine helpctr.exe (hilfe und support center) weg. Schon allein deswegen habe ich versucht mein System auf einen alteren Zeitpunt zurückzustellen. Ich habe es mehrmals mit Tuneup XP probiert, allerdings war nach der Wiederherstellung alles GENAU wie vorher. Es traten auch keine Fehlermeldungen oder ähnliches auf. Heute habe ich gemerkt, das die Punkte die ich versuchte wiederherzustellen verschwunden(!?) sind. Habe ich evtl. einen Virus oder was ist los?

Vielen herzlichen Dank für alle Vorschläge/Hilfen/laute Gedanken etc.

[stefanra]

Hi

Zitat

Ich habe es mehrmals mit Tuneup XP probiert, allerdings war nach der Wiederherstellung alles GENAU wie vorher.

Mehrmals?! Einmal hätte wohl gereicht.

Zitat

Es traten auch keine Fehlermeldungen oder ähnliches auf. Heute habe ich gemerkt, das die Punkte die ich versuchte wiederherzustellen verschwunden(!?) sind.

Hast du die gelöscht?

Zitat

Habe ich evtl. einen Virus oder was ist los?

Virus wohl kaum, eher anderes Zeugs.
Scan mal deinen PC mit HiJackThis (http://www.hijackthis.de/). Dann speicherst du das Log-File ab und lässt es unter hijackthis.de auswerten.

[Spynx]

Jo, danke für den Tip!

erstma ebend den logfile..:
Logfile of HijackThis v1.98.2
Scan saved at 12:51:36, on 07.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\NavNT\vptray.exe
C:\WINDOWS\system32\gqfnxq.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Werner_2\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [qriemixr] C:\WINDOWS\system32\gqfnxq.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Search - http://bar.mywebsear...?p=ZRxdm185XXUS
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} - http://install.ibs-c....ch/ibsload.ocx
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarest...es2/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com...ideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094075544591
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pu...er/isetupML.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.co...dyssey_web8.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/insta...00/SYSsfitb.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.co...aploader_v5.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg...ntrol_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.h.../qdiagh.cab?312
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com...tivex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225



Die seiten sagt der Pfad O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll wäre "Böse" und den sollte man unbedingt fixen.... (da sind noch mehr "Böse") Nur leider kenne ich mich nicht so gut aus und weiß nicht wirklich wie ich das "fixen" nu mache...
Für weiter Hilfe wäre ich sehr dankbar.

[Iso]

http://www.hijackthis.de/logfiles/4acda62c...57d55d3936.html

Hier die Auswertung.
Wenn du die auswertung irgendwann selber vornehmen willlst, geh einfach mal auf www.hijackthis.de

[Spynx]

DANKE LEUTE!!! was da an scheiß anfiel... Diese Forum begeistert mich echt.. so schnelle Antworten, so nett, und so hilfreich...... Ich werde versuchen mich zu revangieren wo ich helfen kann

nur eins bereitet mir noch Kopfschmerzen... C:\WINDOWS\system32\gqfnxq.exe die datei habe ich erstma in quarantäne gesetzt, hijackthis kennt die net und google sagt da auch nix zu.



DANKE LEUTE!

[stefanra]

Zitat

nur eins bereitet mir noch Kopfschmerzen... C:\WINDOWS\system32\gqfnxq.exe die datei habe ich erstma in quarantäne gesetzt, hijackthis kennt die net und google sagt da auch nix zu.

Das ist irgendwas böses, Trojaner oder so.

[Matze]

Symantec Produkte erkennen halt nichts:
gqfnxq.exe = Trojan.DownLoader = System höchstwahrscheinlich kompromittiert

[Spynx]

Die gqfnxq.exe habe ich nu gelöscht.
Aber ich schreibe hier mal den inhalt meines Taskmanagers rein, vielleicht fällt einem ja was auf. Schaut sie euch mal an und schreibt mir dann am besten ob da was faules ist. Sind diese ganzen svchost.exe eigentlich normal?


wscntfy.exe Windows sicherheitspack denke ich
alg.exe
MSGSYS.EXE
XFR.EXE
fxssvc.exe
DitExp.exe kartenleesegerättreiber
vptray.exe Norton!?
hpztsb04.exe
Dit.exe kartenleesegerättreiber
SOUNDMAN.EXE Saoundmanager..
htpatch.exe Hyperthreading programm
svchost.exe
tcpsvcs.exe
ati2evxx.exe
wdfmgr.exe
spoolsv.exe
svchost.exe
rtvscan.exe Norton
svchost.exe
svchost.exe
mdm.exe
svchost.exe
ati2evxx.exe
WinStylerThemeSvc.exe winstyler halt..
PDS.exe
svchost.exe
lsass.exe Virus?
services.exe
winlogon.exe ?
csrss.exe
smss.exe
defwatch.exe
System
Leerlaufprozess Leerlaufpozes halt

DANKE!

[stefanra]

Zitat

lsass.exe

Kein Virus! (Local Security Authority Service)

Zitat

winlogon.exe

Kein Virus! (Windows Logon Process)

Zitat

vptray.exe

Teil von NAV.

Zitat

Sind diese ganzen svchost.exe eigentlich normal?

Ja.

Dieser Beitrag wurde von stefanra bearbeitet: 07. November 2004 - 15:10

[Spynx]

Puh... Danke... Dachte ich dürfte wiedermal Formatieren....

THX!

[WinlinMax]

jaja, das lsass.exe ist schon a blöder name, gell? da muss ma beim ersten mal schon immer erstmal nachdenken, ob das net doch malware is.

[Spynx]

Nochmal zum eigentlichen Problem. Mein PC is nu wurmfrei, allerdings funktioniert die Systemwiderherstellung immernoch nicht. Früher Funktioniert die einwandfrei... Desweiteren fällt mir auf das der PC nachdem hochfahren eine Zeit braucht, bis die gegeben Befehle ausgeführt werden. Kennt wer ne lösung?

[hannesra]

das gleiche Prob mit dem ausführen hatte ich auch mal , lass mal sämtliche Prozeduren von TuneUp Utilities drüberlaufen, danach sollte es weeeeeeesentlich schneller sein beim Startup .
mit der Systemwiederherstellung kann ich dir leider nicht helfen
green

[wooxme]

Zitat (Spynx: 13.11.2004, 15:57)

Nochmal zum eigentlichen Problem. Mein PC is nu wurmfrei, allerdings funktioniert die Systemwiderherstellung immernoch nicht. Früher Funktioniert die einwandfrei... Desweiteren fällt mir auf das der PC nachdem hochfahren eine Zeit braucht, bis die gegeben Befehle ausgeführt werden. Kennt wer ne lösung?
<{POST_SNAPBACK}>

habe ich das richtig verstanden, dass du keine systemwiederherstellungspunkte
mehr erstellen kannst?

bei einem freund hat eine einfache maßnahme geholfen
systemwiederherstellung deaktivieren und neu starten.
systemwiederherstellung aktivieren und neu starten.

falls dies nicht funktioniert schau mal in der computerverwaltung ereignisanzeige,
system nach, welcher fehler dort aufgeführt ist, wie z.b.: "Das Volume wurde
angehalten".

melde dich wieder.

[The Dog]

Also ich würde dir raten dein System frisch aufzusetzen ,da es ja schon komprimitiert war. Wenn du das getan hast benutz ein gescheites Antivirenprogramm (zb. Gdata Antivirenkit 2005).

Wenn du das System dann so hast wie es sein soll ,zieh ein Backup, das ist 1000mal zuverlässiger als die Systemwiederherstellung. Die hat mir auch noch nie wirklich geholfen.