_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden

#31 hallo,

Logfile of HijackThis v1.99.1
Scan saved at 01:12:00, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\WeatherCast\Weather.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Soldier of Fortune 2\SoF2 Minimizer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nino\Eigene Dateien\so05\PP PP PP\hijackthis 1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


jetzt ist wieder alles ok oder? DANKE!!

#32 Das Log ist sauber! Wenn Dein Rechner keine Probleme mehr macht, dann war's das.
Ich sehe, dass Du SP2 aufgespielt und den IE upgedated hast. Sehr gut! Schaue Dich vielleicht nach einem Alternativ-Browser zu IE wie Firefox, Mozilla oder Opera um. Sind derzeit noch wesentlich sicherer als der IE. Infos mit Google und hier im Board.

Bei www.hijackthis.de kannst Du das Log selbst noch einmal auswerten und alle als "unbekannt" markierten Einträge überprüfen (Google) und/oder falls Du sie nicht kennst fixen und die Dateien mit der Killbox löschen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#33 Hallo,

auch ich habe die Meldung "_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden." immer beim Hochfahren.

Wenn ich die bisherigen Beiträge zu dieser Meldung richtig verstanden habe, verbirgt sich dahinter immer ein anderes Problem.

Könntet ihr mir weiterhelfen? Vielen Dank.

Gruß. Macallan.

#34 http://www.chip.de/c1_forum/thread.html?bwthreadid=825934

Die Seite könnte dir weiterhelfen.
Rolfs

#35 hi hab das selbe problem...seit kurzem mit der fehlermeldung kommt beim hochfahren ca 3 mal der problem bericht klicke dann auf nicht senden... xp professionell poste dann mal das log. hab schon gesehen das panda noch drauf ist kanns daran liegen? hab das nie installiert bekommen, ohne probleme mit dem rechner danach.

Logfile of HijackThis v1.99.1
Scan saved at 18:53:35, on 27.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Hardware\Keyboard\Ikeymain.exe
C:\PROGRA~1\Hardware\Mouse\Amoumain.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sitecom Wireless LAN\WLANUTL.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\admin\LOKALE~1\Temp\Rar$EX00.628\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Hardware\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Hardware\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: Sitecom Wireless LAN Utility.lnk = ?
O4 - Global Startup: Zone Labs Security (2).lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

danke schon mal

#36 Hallo Heron,
danke für deine Mail. Auch ich habe das Problem: _VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden." Hier ist mein Logile. Leider kann ich darin nichts außergewöhnliches erkennen. Könntest du mir weiterhelfen?
Gruß. Macallan


Logfile of HijackThis v1.99.1
Scan saved at 19:12:51, on 27.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\System32\win_sygate.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan Justl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\ubwew.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] win_sygate.exe
O4 - HKLM\..\Run: [Windows Nets] WinNET.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] win_sygate.exe
O4 - HKLM\..\RunServices: [Windows Nets] WinNET.exe
O4 - HKLM\..\RunServices: [Microsofts media] Realplaysvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Outlook Express] ebqriqb.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE
O4 - HKCU\..\Run: [Sygate Personal Firewall] win_sygate.exe
O4 - HKCU\..\RunServices: [Outlook Express] ebqriqb.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC08D9F7-BF6B-4096-BD7F-6E074E232343}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Pfoekk32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)

#37 Hallo Rolfs,
vielen Dank für deinen Tipp. Leider hat mir die Website nicht weitergeholfen.
Gruß. Macallan.

#38 Also, das scheint ja eine richtige Lawine zu sein! Weiß der Himmel woher das plötzlich kommt. Sieht asu wie ein Rest vom Setup. Anyway!

An Alle die das Problem jetzt und in Zukunft haben, es hilft da folgendes Vorgehen:

Fixe (Häkchen setzen und "fix checked" drücken) mit HJT
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\Username\LOKALE~1\TEMP\_VWUPSRV.EXE
Rechner neu starten

und lösche manuell
C:\DOKUMENTE UND EINSTELLUNGEN\Username\LOKALE EINSTELLUNGEN\TEMP\_VWUPSRV.EXE

Arbeitsplatz rechtsklicken => Verwalten => Dienste und Anwendungen => Dienste und suche den Dienst "AntiVir Update Temp". Die Zeile rechtsklicken => Eigenschaften => Starttyp auf "deaktiviert" setzen => OK

Rechner neu starten.
Dann sollte die Fehlermeldung nicht mehr erscheinen.

@macall
Du hast offenbar die Datei im Temp-Verzeichnis schon gelöscht. Nur noch den o.a. O23-Eintrag fixen und Rechner neu starten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#39 und diese Seite
http://www.trojaner-board.de/showthread.php?p=135035

#40 Hallo Rolfs,

das Problem ist jetzt behoben.
Danke für deinen link.
Gruß. Macallan.

#41 Heron,
du bist der Held! Problem behoben - genau, wie du beschrieben hast.
Super. Danke. Gruß. Macallan.

#42 hat alles super geklappt danke schön:-)

#43 Hallo Heron,

hoffe, du kannst dich noch an mein Problem erinnern...war im Urlaub und hatte somit keine Zeit mich mit meinem Virus zu beschäftigen.

Ich habe ja eine AtGuard Firewall, die ich jetzt durch Sygate ersetzt habe. Ich habe die online Checks gemacht bzw. erstmal den Symantec Security Check, dann war ich schon bedient.

Ich schicke mal das Ergebnis:

Hacker Exposure Check
----------------------


Description:
Tests your TCP ports for unauthorized Internet connections.

Analysis:
WARNING! Unauthorized persons can make connections to your computer. This means your computer and data are not safe from hackers. To learn more about why you are at risk, view a detailed analysis of your test results.


Recommendation:
Install a personal firewall. If you already have a personal firewall, make sure it is correctly configured for optimum protection.


Windows Vulnerability Check:
---------------------------

Description:
Tests whether basic information, including your PC's network identity, can be seen by hackers.

Analysis:
Your computer's identity is secure. However, this does not mean you are completely safe from all Internet security Thread.


Trojan Horse Check
--------------------


Description:
Attempts to test for access to your computer through methods commonly used by Trojan horses.

Analysis:
Your computer and data are not vulnerable to Trojan horse attacks. However, Trojan horse Thread are constantly evolving, and unless you have a personal firewall and current virus protection, you're not completely safe. To learn more about Thread you are protected against, view a detailed analysis of your test results.



Antivirus Product Check
-------------------------


Description:
Checks for a current version of a commonly-used virus protection product.

Analysis:
WARNING! No known virus protection software found. This means your computer and data are vulnerable to virus attacks. Virus attacks can have serious consequences, including system damage and data loss.

Recommendation:
Install the latest version of a commonly-used virus protection product.



Habe danach meine Sygate Firewall eingerichtet. Von daher kann ich gar nicht verstehen, warum er das selbe Ergebnis noch immer zeigt.
Habe ich vll manuell ein Programm zugreifen lassen, dass ich besser hätte nicht machen sollen?
Habe den Zugriff für svchost.exe erlaubt. Aber ich habe im Netz nachgeschaut und da stand: wenn es den Pfad C:\Windows\System32\svchost.exe hat, dann wäre es okay.

Ansonsten kann ich auch nicht verstehen, warum der Symantec Check mein Antivir Programm nicht gefunden hat. Finde ich sehr komisch, habe es extra nochmal upgedatet.

Ach und dann noch ein Problem: Bei mir hat sich unter C:\ einfach der Ordner !Submit gebildet. Den hatte ich letztes Mal gelöscht. Diesmal habe ich das mit der Killbox versucht, aber er konnte es nicht löschen. In dem !Submit Ordner befinden sich meine Lesezeichen / Favoriten.
Und gerade sehe ich, dass sich noch ein weiterer Ordner gebildet, der da heißt:
7695e4d7146608d9c78d2add2c984e

Jetzt bekomme ich aber richtig Angst. Ich hoffe, dass ich das bald in den Griff bekomme.

Habe mal noch gleich ne HJT Logfile angehangen:

Logfile of HijackThis v1.99.1
Scan saved at 17:37:22, on 07.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
D:\Tools\post it\Psn2Lite.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Trillian\trillian.exe
D:\Tools\POSTIT~1\PSNGive.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\mozilla\mozilla-1.7.7.de-AT.win32\mozilla\mozilla.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



BITTE, BITTE helfe mir dabei. DANKE Anke

#44 Hallo Anke_,

musste mich nach der langen Zeit auch erst einmal wieder in die Problematik einlesen! Das macht die Bearbeitung bestimmt nicht einfacher.

Also, so langsam habe ich das Gefühl, dass Du den Wald vor lauter Bäumen nicht mehr siehst!

Dein ursprüngliches Problem war doch die Sache mit der _VWUPSRV.EXE. Das ist ja jetzt wohl gelöst, wie ich an dem Log sehe.

Danach kamen dann plötzlich die Rechner-Abstürze auf das Tablett, deren Ursache wir nicht herausfinden konnten, weil
a) Du den eScan-Update nicht hinbekommen hast
b) beim Scannen im Abgesicherten Modus Dir Dein Rechner ständig abgeschmiert ist
c) Du die empfohlenen Online-Scans nicht gemacht hast
Was ist aus diesen Problemen geworden?
(in diesem Zusammenhang: Deine AdAware Version ist outdated. Lade Dir die neuste Version 1.05 SE von der Lavasoft-Seite herunter)

Nun die Probleme und Verständnisschwierigkeiten mit der Sygate-Firewall. Da kann ich Dir leider nicht sehr dienlich sein, da ich mich mit Sygate nicht auskenne. Nur, was an Deinem Log zu sehen ist, Du hast offenbar noch die alte Atguard Firewall aktiv auf Deinem System. Hast Du die nicht vor der Installation von Sygate entfernt? Bitte deinstalliere das Teil einmal. Vielleicht liegt hier schon das Prob mit dem Sicherheitscheck begraben.
Was die Konfiguration der Firewall angeht, so musst Du Dich schon selber schlau machen, hier im Board in dem Allgemeinen Firewall Forum. Gegebenenfalls auch einmal die Hilfe-Datei in Sygate durchforsten: Thema Grundkonfiguration. Im Notfall kannst Du ja auch die WinXP-Firewall aktivieren, bis Du dich mit Sygate etwas besser auskennst.
Ob die im Sicherheitscheck gefundenen Lücken auch wirklich kritisch sind, das steht noch in Frage. Manche Leute bezweifeln den Nutzen einer Desktop-Firewall komplett, solange das System richtig konfiguriert und immer upgedated ist und ein sicherer Browser (upgedated) verwendet wird.

Melde Dich als Admin an, leere einmal den !Submit-Ordner und lösche ihn mit dem Win-Explorer. Was der andere Ordner zu bedeuten hat - keine Ahnung.

Btw Dein HJT Log zeigt keine bösen Einträge!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#45 Hallo Heron,

vielen Dank, dass du dir meinen Fall nochmal angeschaut hast.
Ich bin alles durchgegangen, was du geschrieben hast.

Habe alle Online Scans vollzogen. Beim f-secure Check ist der Rechner entweder festgefahren oder hat sich plötzlich einfach ausgeschaltet.
Dann hat sich aber folgendes finden lassen:

C:\WINDOWS\system32\o Trojan-Downloader.BAT.Ftp.ab <http://cgi.f-secure.com/cgi-bin/search.cgi?q=Trojan-Downloader.BAT.Ftp.ab>

Diese Datei habe ich sofort mit der Killbox gelöscht. Danach habe ich alle Online Scans ausgeführt, hat sich nichts mehr finden lassen.

Habe mir Ad Aware SE runtergeladen, welches aber sofort 11 Objekte gefunden hat, welche ich entfernt habe. Sind diese Objekte immer kritisch anzusehen??
Nun stellt sich die Frage, ob dann nicht doch noch was auf meinem PC irgendwo schlummert.

Hier mal meine Ad Aware Log:

ArchiveData(auto-quarantine- 2005-05-08 02-27-23.bckp)
Referencefile : SE1R43 06.05.2005
======================================================

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\Ad-Aware SE Personal.lnk
obj[1]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\BARILLA 04_35892.MOV.lnk
obj[2]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\BARILLA.lnk
obj[3]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\CD-Laufwerk.lnk
obj[4]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\defs.zip.lnk
obj[5]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\DR OETKER.lnk
obj[6]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\search assistant\acmru\5603
obj[7]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\search assistant\acmru\5604
obj[8]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\Ikea-pc.mp4.lnk
obj[9]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\*
obj[10]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.doc
obj[11]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.MOV
obj[12]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.mp4
obj[14]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\Folder
obj[15]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
obj[16]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
obj[17]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer\typedurls
obj[18]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\player\recentfilelist
obj[13]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.zip



Vielen Dank für deine Hilfe!!!! cu Anke