Supportnet / Forum / Security/Viren

Hallo, ich habe mir vor zwei Monaten einen neuen Medion PC gekauft. Seit zwei Tagen habe ich nun ein größeres Problem. Der PC benötigt seit zwei Tagen für das Hochfahren länger als normal. Danach wird die FireWall + AntiVir automatisch deaktiviert. Die FireWall lässt sich im Sicherheitscenter auch nicht mehr aktivieren. AntiVir kann ich (rechts unten, kleines Symbol) auch nicht mehr auf aktiv setzen. Die CPU Auslastung fährt auf 100% hoch. Der Prozess der für 99% Auslastung verantwortlich ist, heißt CLMLService.exe Die exe-Datei befindet sich im Ordner Programme CyberLink Shared Files CLML_NTService CLMLService.exe Wenn ich den Prozess CLMLService.exe beende, läuft der PC ganz normal, aber ich kann die FireWall + AntiVir nicht aktivieren. Ich habe mit dem aktuellen McAfee Stinger + manuellem Start von AntiVir nach Viren gescannt, aber es wurden keine Viren entdeckt. Wer kann mir bei diesem Problem weiterhelfen?! Bin fast am verzweifeln!!! Viele Grüße Anja

dann mal http://www.mwti.net/antivirus/mwav.asp und das scan tool saugen und im abgesichertem modus(beim booten öfters die f8 taste drücken/abgesicherter modus wählen)und scannen.
http://www.downloads.subratam.org/KillBox.exe
dieses tool saugen und das mixtding töten.

kleiner tipp!!!!!!!!!!!!!!!!!1(viele werden jetzt dagegen sprechen)

gdata avk 05,oder kaspersky 5.0 pro beide um ca. 30€ zu haben kaufen dann ist man ne ganze ecke sicherer als mit antivir(man hört nur schlechtes in letzter zeit von dem proggi)

gruß

Guten Morgen!!!

Hab jetzt den Hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 10:22:18, on 14.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\HjjackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra ´Tools´ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .TIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin7.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

DANKE, für eure HILFE!!!

Gruß
Anja

Ganz einfach!
Vorher diverse Entrümpelungstools downloadn
(AdAware, SpyBot! usw)
Wenn sie einen externen Firewall installiert haben,
diesen de-installieren ebenso den Virusscanner!
Natürlich bei dieser Aktion, den PC vom Internet trennen!
Aufräum-Tools installieren und gründlich alles
säubern.
Nach der Säuberung, Firerwall & AntiVirus wieder
neu installieren und up-daten!!

Grus Bertll

Hallo,

ich habe jetzt mit http://www.mwti.net/antivirus/mwav.asp einen Virus gefunden!
Kann mir da jetzt einer weiterhelfen??


Sat May 14 14:44:47 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat May 14 14:44:47 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
Sat May 14 14:44:47 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Sat May 14 14:44:47 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat May 14 14:44:47 2005 => Scanning File C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Sat May 14 14:44:47 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Sat May 14 14:44:47 2005 => Scanning File C:\WINDOWS\system32\Drivers\x10ufx2.sys

Sat May 14 14:44:47 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Sat May 14 14:46:20 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sat May 14 14:46:20 2005 => File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.


Sat May 14 14:46:21 2005 => ***** Scanning System32 Folders *****
Sat May 14 14:46:21 2005 => Scanning C:\WINDOWS Directory
Sat May 14 14:46:21 2005 => Scanning Folder: C:\WINDOWS\*.*

Ich will den Virus nun mit http://www.downloads.subratam.org/KillBox.exe killen, aber wo finde ich den??

Danke nochmals für eure Hilfe!!!

jetzt geht das mit dem hijackthis-log-posten hier auch schon los...
neeeeiiiiiiiiinnnnnnnnnn. macht das nicht leute!!!! das versaut nur alle suchmaschinen, indem diese "sinnigen" logeinträge als treffer erkannt werden.

sucht man nach einen starteintragbekommt man tausende hijack-logs *grumph*.
z.b. wir suchen nach -CLMLService.exe- und 5 mellonen andere (un)bedarfte user, die auch diese *.exe besitzen, haben vorher ein log in irgendwelche foren gepostet.
was findet dann man per suchmaschine?

benutzt zum logauswerten nie ein forum!
dazu ist: http://www.hijackthis.de/de da.

lade dir cws-shredder http://www.chip.de/downloads/c1_downloads_13011944.html

@ s_d: Sorry, wusste ich nicht!!!

Aber leider funktioniert der PC immer noch nicht!!

cws_shredder findet leider nichts!

Ich weiß langsam nicht mehr weiter.

weiß noch einer einen tipp.....

Gruß
Anja

Was soll man dar noch für Tipps geben außer neu machen

Alleine was an BHO ( Browser help Objekte ), Service und Toolbars dar im Hintergrund laufen ist es kein wunder wenn der PC immer auf 100 % läuft . bei deiner Hijack log bekommt doch keiner mehr eine Übersicht rein , dar sieht man doch den Wald vor lauter Bäumen nicht mehr ;-)

Na ja wollen es mal versuchen

Wie schon schrieb@ AdAware,
Mit Ad- ware erst mall etwas Ordnung rein zu bekommen oder hast du es schon ?
http://www.winload.de/download/34050/Utilities/Sicherheit/Ad-Aware....
Dann würde ich noch Stinger drüber jagen
http://www.chip.de/downloads/c_downloads_11105456.html
Darnach den PC Neustarten , wenn du glück hast müsste dann zu mindesten dein AntiVir wieder laufen , mit AntiVir dann auch gleich noch mal scannen .
Würde mir aber erst alle Pro aus den netz laden dann die Internetverbindung trennen.
Und wegen http://www.mwti.net/antivirus/mwav.asp nicht mehre Virenscanner benutzen behindern sich meist nur gegenseitig und es kommt zu Fehlermeldungen , wenn doch dann Stinger dieser muss nicht installiert werden kommt nicht mit anderen Sicherheitspro in Konflikt und ist meist auch auf den neusten Stand .

Lacrima / Antwort # 8 :

Ja, ich hätte schon einen oder mehrere Tipps, und sicher auch noch
Andere hier im Forum. Aber all Deine Dateien von Hijack-This hier
zu diskutieren finde ich nicht so gut. Du solltest diese auch nicht so
öffentlich präsentieren. Da gibt es andere Möglichkeiten.....

Vielleicht Dich mal richtig anmelden hier im SupportNet Forum, dann
hast Du auch den "Pager" zur Verfügung, den Du jetzt nicht hast. Da
kann man Dir dann mal eine Nachricht senden, und auf diese
vielen Dateien von Deiner Hijack-This Auswertung hinweisen.

Zwischenzeitlich versuche mal folgendes :
Dieses F-Bot Programm installieren :

http://www.softpedia.com/get/Antivirus/F-Secure-F-Bot-cleaner-tool....

Dann folgendes :

Administratorrechte
Abgesicherten Modus
Systemwiederherstellung deaktivieren

Dann das Programm F-Bot starten, das Programm arbeitet
automatisch und sagt Dir, ob Infektionen auf dem Rechner sind
und desinfiziert / repariert diese auch..

Danach unbedingt im abgesicherten Modus bleiben und mit anderen
"Tools" (Stinger/Spybot/Adaware etc ) erst Deinen Rechner weiter
überprüfen. Ist diese Arbeit beendet, dann weiterhin im
abgesicherten Modus bleiben und mit der Reinigung des Rechners
beginnen.........
Reinigung des Rechners heisst, dass Du Deinen I.E. komplett
säuberst ( Cookies/Cache/History/Temps etc ). Besonders die
Temps aller Benutzerkonten müssen gereinigt werden. Dann zum
Schluss den "Prefetch" Ordner und Papierkorb....

Ganz zum Schluss einen Registry-Reiniger durchlaufen lassen.
Solltest Du Registry-Reiniger und ander Reiniger Tools nicht haben,
dann kann ich zwei empfehlen, welche einfach in der Bedienung sind.

Die Reinigungs/Registry Tools müssen vorher auf Deinem Rechner
installiert sein, bevor Du in den Safe Mode gehst /abgesicherten
Modus....

Erst dann den Safe Mode wieder verlassen, wenn Dein Rechner
komplett gereinigt ist. Die Systemwiederherstellung wieder
aktivieren und eventuell neu einstellen.

Pete

@ pete:

danke, für deine hilfe!!

ich muss dazu sagen, dass ich mich mit dem hiJack This nicht auskenne + Registry auch nicht!!!

daher ist es ziemlich schwer für mich!

welchen Registry-Reiniger würdest du empfehlen??

ich versteh das einfach nicht, der pc ist soo gut gelaufen und plötzlich das!!
und warum finde ich keinen virus??

Hi,

also meine erste Frage:
Als du Hijackthis laufen ließest hattest du noch andere Programme am rennen?
Sowas wie Power DVD?
Sonst müssen wir deinen Autostart mal etwas beschneiden und im abgesicherten mal scannen, dann findet der auch was;o)

hm... sonst meld dich mal im ICQ, nummer steh im Profil.


lg relena

o.k. , verstehe ich , aber die Suche/Reinigung eventueller Viren/Trojaner
ist erst einmal vorrangig. Warum man nicht immer Viren/Trojaner oder
Würmer auf seinem PC findet hängt von vielen Dingen ab, es wäre
müssig jetzt darüber zu diskutieren.........

Suche erst einmal mit dem F-Bot Programm im abgesicherten Modus
mit deaktivierter Systemwiederherstellung............

Bevor Du dies tust, hier zwei Reinigungsprogramme, die Du erst
installierst, so dass diese lauffähig sind, bevor Du in den abgesicherten
Modus wechselst.......

Für die Reinigung : Easy Cleaner

http://www.soft-ware.net/system/steuerung/registry/p04281.asp

Ist das Programm installiert, und Du öffnest das Programm, dann einmal
auf "unnötig" (unnötige Dateien) klicken, dann oben überall die Häkchen
setzen, falls noch nicht gesetzt ( normal / erweitert / Temps etc. ).....
Hier kannst Du unbesorgt alles löschen, wenn das Programm einmal
den Rechner durchsucht hat, einfach auf alles löschen klicken, und
die Dateien, welche das Programm nicht löschen kann, die hält
das Programm zurück und löscht diese auch nicht.......

Danach dann auf "Registry" klicken, es werden Dir die Dateien mit
"grünen" Punkten vorn angezeigt, einfach auf alles löschen klicken
und fertig....
Das Programm ist Freeware, einfach in der Bedienung und gründlich,
und in der Praxis erprobt..........

Also, viel Erfolg

Pete

Hi,

öhm aber der kann die aktiv laufenden Dienste doch eh nicht löschen.
Also ich halte das für keine gute Methode.

Man sollte doch schon wissen was man tut, vor allem um beim nächsten mal und es gibt immer ein nächstes mal, es selber zu können.

Also ich würde erstmal den prefetch ordner leeren, dann eine Datenträgerbereinigung.
Dann scan mit adaware und spybot und antivir im abgesicherten.
Dann in der msconfig unter systemstart, nero und power dvd rausnehmen und dann weitersehen, wie es ausschaut.

Dann kann man mal nen restorepoint setzen und vorsichtig mit hijackthis lostapern, die toolbars sofern nicht erwünscht zum beispiel weg.

Es laufen im doch viel zu viele Prozesse da.
Ich hab mit Acronis und nokia-telefongedöns schon 36 laufen, wenn ich nur deie beiden progs beende bin ich aber nur noch bei 28 und da sollte man auch in etwa rumschwirren, wenn man nichts offen hat.

Also erstmal die üblichen Sachen leeren und löschen, die meisten viren und so, verstecken sich zu anfangs eh erstmal in den Temporary files.

lg relena

@ relena

nee, da liefen keine andere programme, wärend ich den HiJack log gemacht habe.

hmm, finde deine ICQ nummer nicht!!

soo, aber jetzt ist das problem noch größer!!!

PC fährt seit deinstallation von avast und fireWall gar nicht mehr hoch!!


es kommt das fenster:

das eine Hard- oder Software geändert wurde.......

dann kann man wählen zwischen...

Abgesicherter Modus
....
.....
......

letzte konfiguration.....

windows normal starten (in 30 sec macht er das selber)


aber funkt alles nicht

Hi, also den versteh ich net, warum deinstallierst du deine firewall und deinen virenscanner?

wähle mal last known good,letzte konfiguration

Zur icq nummer, schau mal in der memberlist, da steht sie vor dem namen ;o)

Grüße relena

Lacrima :

Der Grund warum Dein AV + FW nicht mehr richtig funktioniert, Dein
Rechner hat einen "Wurm" eingefangen, dieser blockiert Dein AV......

Deswegen solltest Du im Safe Mode mit dem F-Bot Programm
den Rechner erst reinigen und danach dann das Reinigungsprogramm
"Easy Cleaner" hinterher.....
Das F-Bot Programm ist speziell für diese Art von Würmer/Trojaner
entwickelt.....

Warum Du nun AV/FW deinstallierst weiss ich nicht, wahrscheinlich,
weil Dir dies von "Bertll" Antwort # 5 empfohlen wurde......

Es kochen hier zu viele Köche in der Suppe herum...............

Pete

stand der dinge,
sie hatte als sie sich meldete schon ein zweites xp draufgezogen, daten gesichert und setzt neu auf.

lg relena

Nur noch mal zur Erinnerung, was PowerDVD und PowerCinema von Cyberlink und den Systemstart betrifft

@ uwei

ich weiß, darum fragte ich ja
;o)
relena

@relena:



Kannst du nicht schlafen? Oder schiebst du auch eine langweilige Schicht?

@relena
Das war ja auch für lacrima gedacht, falls sie nochmal reinschaut, später mal ähnliche Probleme hat und wieder meint, da läuft nichts.
Das du das weißt, weiß ich. ;o)

• CPU auslastung?!??
• Systemneustart nach plötzlicher CPU Auslastung vo 100%
• 100% CPU Auslastung warum?
• MSN 100% CPU auslastung beim cam einschalten