#1 3. April 2007 Morgen, Also seit circa 2 Tagen habe ich das Gefühl das ich mich mit einen Virus oder Trojaner infiziert habe, denn des öfteren steigt die CPU Auslastung auf bis zu 80% an, ohne das ich irgendwelche Programme starte oder ähnliches. Gestern abend ist mir dann der Prozess "dumpreg.exe" (C:\WINDOWS/system32) im Taskmanager aufgefallen, zwar hat der Prozess das System nicht ausgelastet, aber zu irgendein Programm kann ich die Datei nicht zuordnen. Zudem habe ich noch einen merkwürdigen Eintrag in der MSConfig gefunden Bild=down! Bild=down! Kaspersky Anti-Virus 6.0 habe ich schon über die gesamten Festplatten (intern und extern) laufen lassen, doch gefunden wurde nichts. Hier mal das HijackThis Logfile Code: Logfile of HijackThis v1.99.1 Scan saved at 04:14:16, on 03.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe C:\Programme\Trillian\trillian.exe C:\Programme\TrueCrypt\TrueCrypt.exe C:\WINDOWS\system32\svchost.exe C:\Dokumente und Einstellungen\Bensen\Eigene Dateien\utorrent.exe C:\Programme\mIRC\mirc.exe C:\Programme\Trillian\trillian.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Bensen\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {C3925791-E61A-4BF1-AF99-662DE5569A8B} - C:\WINDOWS\system32\toolhelq.dll (file missing) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [TABS] Tabbed Browsing O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
#2 3. April 2007 AW: Verdacht auf Virus / Trojaner in dem logfile lässt sich afaik jedenfalls kein Trojaner entdecken, oder er ist als utorrent oder flash FXP getarnt Update dein Virenprogramm nochmal und check die System32, sonst kann man da nicht viel machen.
#3 3. April 2007 AW: Verdacht auf Virus / Trojaner teste die besagte dumpreg.exe einmal bei Jotti online malware scan oder virustotal online scan und zeige uns die ergebnisse.
#4 3. April 2007 AW: Verdacht auf Virus / Trojaner Die Datei habe ich schon auf virustotal.com geprüft und es wurde kein Virus oder ähnliches gefunden. Die Datei dann noch mal bei virusscan.jotti.org geprüft, dort wurde auch nichts gefunden. Ich frage mich halt was das für ein Eintrag in der msconfig ist.
#5 3. April 2007 AW: Verdacht auf Virus / Trojaner leere mal mit ccleaner deine cache und alles andere. hatte ich am anderen pc auch. danach is keine große überlastung mehr,
#6 3. April 2007 AW: Verdacht auf Virus / Trojaner hast du den namen richtig geschrieben? dumpreg oder dumprep bei ersterem ist es malware bei letzterem das Windows Error Reporting Dump Reporting Tool und ein indikator vor einem systemfehler.
#7 3. April 2007 AW: Verdacht auf Virus / Trojaner Also die Datei heißt "dumprep.exe" habe gerade auch nochmal nach Spyware mit Ad-Aware gesucht auch nichts gefunden. Aber was ist das den jetzt für ein Eintrag in der msconfig ?
#8 3. April 2007 AW: Verdacht auf Virus / Trojaner der eintrag wird immer dann automatisch von windows geschrieben, wenn der pc einmal nicht vernünftig heruntergefahren wird oder es dabei zu einem systemfehler kommt. beseitigt man den systemfehler verschwindet auch der eintrag wieder ... normalerweise. start ausführen "eventvwr.msc" dort suchst du nach solchen einträgen: {bild-down: http://www.dirks-computerecke.de/workshop/ereignisanzeige/bild3.JPG} mit einem doppelklick bekommst du mehr infos zu dem fehler. mithilfe der eventid (einer vierstelligen nummer) und der quelle / source gehst du dann googlen. dann bekommst du oftmals infos was da passiert ist und wie du es beheben kannst. mfg spotting
#9 4. April 2007 AW: Verdacht auf Virus / Trojaner Hallo Ich würde dir Empfhlen einfach mal nen Virenscanner laufen zu lassen wie zum Beispiel den von kaspersky damit habe ich bis jetzt noch jeden weg bekommen. Du kannst aber auch mal in den Taskmanger schauen wenn hier die SVHost mehr als 5 mal vorhanden ist deutet das meist auf Virus oder Trojaner hin.
#10 4. April 2007 AW: Verdacht auf Virus / Trojaner Eure Posts sind echt sehr hilfreich, wenn ihr die anderen Beiträge gelesen hättet, wüsstet ihr das ich Kaspersky als Antvierenprogramm nutze und es schon über meine gesamten Festplatten laufen lassen habe. Und das sich der Verdacht auf einen Virus oder Trojaner nicht bestätigt hat.