unbekannter Virusbefall

Hi,

auf meinem PC topt sich seit neustem ein kleiner Virus aus.

Ich habe ihn im Taskmanager entdeckt und habe gemerkt, dass er den Virenwächter von Antivir, der immer im Hintergrund laufen sollte deaktiviert.
Unter Prozesse fand cih dann eine Datei, die immer ca. 10% CPU-Leistung benötigte, obwohl ich nichts tat. Sie nennt sich vsmon
Kennt die jemand???
Unter Ausführen -> msconfig kann ich nichts finden, dass den Prozess starten könnte, hab auch schon antivir komplett durchlaufen lassen (natürlich mit neuem update).

Bitte helft mir aus meiner dummen Situation!

Danke, danke, danke!!!

olli tflm

vsmon sollte eigentlich zu ZoneAlarm gehören.

Wenn Du der Meinung sein solltest das Du dir einen Virus eingefangen hast. kannst Du ja mal ein Logfile von HijackThis posten.

Bekommst Du hier im Downloadarchiv.

Oder nen Online-Scan, Adressen findest Du unter http://www.antivirus-online.de/german/online.php

dieser vermeintliche virus gehört zu zonealarm.
nur keine angst.

http://www.wintotal.de/Spyware/

hi, danke erstmal,

aber wieso muss dieses blöde prog kontinuierlich 10% Prozzi nutzen???

Und wieso wird das antivir-hintergrundprogramm wieder geöffnet, wenn ich nur den prozess vsmon beende???
Wer antivir kennt, kennt auch den offenen Regenschirm in der taskleiste. Wenn das Antivir deaktiviert ist ist der Regenschirm zu! Und das ist er bei mir so lange ich nicht vsmaon beende!

komsich???

olli tflm

antivir und zonealarm haben so ihre probleme.

hast du denn der avguard.exe und der avgnt.exe die zugriffe gewährt, die sie benötigen um intern miteinander zu kommuniezieren?

lese dir dazu einfach auch x die readme.txt im avpersonal-folder durch.

zu den 10% auslastung: vsmon ist der wächter von zonealarm, wenn ich mich noch recht entsinne. dieser überwacht also ständig dein system.

Also hier mal mein Protokoll:

ogfile of HijackThis v1.97.7
Scan saved at 19:00:17, on 26.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Virusbekämpfung\Antivir\AVGUARD.EXE
F:\Virusbekämpfung\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
F:\Programme\icq\ICQLite\ICQLite.exe
F:\Virusbekämpfung\Antivir\AVGNT.EXE
F:\Programme\Total Commander\totalcmd\TOTALCMD.EXE
F:\Virusbekämpfung\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\icq\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] F:\Virusbekämpfung\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\icq\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0873478E-E67A-4876-B0A9-9A36D3AB3602} (vviewer control) - http://www.thepaymentcentre.com/build/vviewer.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10638657fbb079c9ec06/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093294253144
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38017.3635185185
O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gamedaily.com/ActiveX/vxpspeeddelivery.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF52F082-5622-4939-85FB-DB228425B638}: NameServer = 168.95.192.1

danke!!!

olli tflm

www.hijackthis.de
dort kannst du auch selber schauen.

Danke für den Tipp mit der Auswertung, wusst ich nicht!

Es hat sich aber nichts über die datei rausfinden lassen, sie scheint ok zu sein!

naja...