|
Log-Analyse und Auswertung: Verzweifelt... Ziemlich...!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.02.2005, 01:00 | #1 |
| Verzweifelt... Ziemlich...! Hallo ! Ich bin zur Zeit super verzweifelt... Kurz vor den 1.-Semester-Klausuren spielt mein PC TOTAL verrückt... Er hatte zwar schon immer "Kleinere Macken", aber seit heute ist alles viel schlimmer geworden. Die größten Probleme macht er, wenn ich Videos abspielen möchte. Vor allem der WIndows Media Player (V10) macht seltsame Dinge. Er wird total langsam und wenn ich einen Ordner mit Filmen öffne, springt er meistens aufs Desktop zurück und lädt alle Icons neu ?!?! AUch sonst gibt es teilweise Phasen, wo der PC total langsam wird (nervt beim Arbeiten...) der "explorer"-task nimmt ab und zu 97% der Systemreserven in Anspruch (task-manager), und die CPU ist dann phasenweise 100% ausgelastet... Ist das normal ??? Ich poste mal ne HijackThis logfile dazu: Logfile of HijackThis v1.99.0 Scan saved at 00:48:42, on 03.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Logitech\iTouch\iTouch.exe D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe C:\Programme\DSB\dsb.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe D:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\Indexindicator.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\LckFldService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Opera\opera.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Roc-A-Fella\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ftd.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Jigga's Personal Browser R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - (no file) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [PCTVRemote] D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\dsb.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Indexindicator] C:\WINDOWS\System32\Indexindicator.exe /check O4 - HKLM\..\Run: [MEMreaload] C:\Programme\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio O4 - HKLM\..\Run: [Suite] C:\WINDOWS\System32\SuiteOffices.exe /cleandb O4 - HKLM\..\Run: [LocalProxy] C:\Programme\LocalProxy\proxy4free.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\System32\LSAS.exe /check O4 - HKLM\..\Run: [lservers] C:\Programme\ServicePackFiles\lservers.exe /checkmouse /updateratio O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A65E7D-213C-418F-8CDF-C8BD8197C904}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LckFldService - Unknown - C:\WINDOWS\System32\LckFldService.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Ich kann daraus absolut NICHTS ablesen, aber hier gibts es ja anscheinend Profis, die das können ! Bevor ichs vergesse: Ich hab schon einmal die Trial-Version von Norton drüberlaufen lassen und die hat ganze 7(!) Viren gefunden, nachdem mein Standard-Programm Antivir schon 3 Trojaner gefunden hatte... ! Vielleicht könnt ihr mir hier helfen, ich wäre unheimlich dankbar und würde mich irgendwie erkenntlich zeigen, falls ich dazu in der Lage bin... |
03.02.2005, 09:21 | #2 |
| Verzweifelt... Ziemlich...! Hallo,
__________________zunächst mal ist dein Windows offenbar gar nicht gepatched. Zudem sieht es so aus, als ob du einen aktiven ackdoor auf dem rechner hattest/hast. http://www.trojaner-board.de/42731-escan-anleitung.html Wie beschrieben updaten und anwenden, gefundene Schädlinge (im Log nach "infected" suchen) hier posten. |
03.02.2005, 10:18 | #3 |
| Verzweifelt... Ziemlich...! Das mit den Updates liegt daran, dass nen Freund bei mir mal ne WindowsXP-Version installiert hat, die wohl kopiert war. Gibt es da eine Möglichkeit, sie dennoch zu patchen ? Windows lässt einen das ja dann nicht machen (Verständlich...)...!
__________________Ich installiere gerade escan und lass es gleich laufen! |
03.02.2005, 10:26 | #4 |
/// Mr. Schatten | Verzweifelt... Ziemlich...! Geh in ein Computerfachgeschäft und kaufe Dir WindowsXP. Willst Du dass nicht, dann benutze Linux!
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
03.02.2005, 10:44 | #5 |
| Verzweifelt... Ziemlich...! Wenn ich ehrlich bin, hab ich mir das auch schon durch den Kopf gehen lassen... Wie sähe das denn dann aus, müsste ich nochmal alles runterholen vom PC? Formatieren und all sowas ? Das ist nicht so mein Fachgebiet ... Escan läuft immer noch... |
03.02.2005, 10:56 | #6 |
/// Mr. Schatten | Verzweifelt... Ziemlich...! Nein, es gibt/gab ein Tool um eine gültige Seriennummer/Key ins System zu schreiben. Funktioniert aber AFAIK nur (also bei Dir) wenn noch kein ServicePack drauf ist.
__________________ --> Verzweifelt... Ziemlich...! |
03.02.2005, 12:00 | #7 |
| Verzweifelt... Ziemlich...! Patchen kannst du das trotzdem, nur die Servicepacks kannst du nicht installieren, die Sicherheitspatches allein aber schon. Lass trotzdem mal E-Scan durchlaufen. Wenn du studierst, solltest du XP nicht iM geschäft kaufen, sondern über das Rechenzentrum deiner UNI eine UNI-Lizenz besorgen, die sind idR um einiges günstiger. |
03.02.2005, 12:25 | #8 | ||
/// Mr. Schatten | Verzweifelt... Ziemlich...!Zitat:
Zitat:
(Sollte eine "normale" Lizenz so billig sein, so ist es eine Raubkopie, sollte die Uni-Lizenz so teuer sein, so sollte die Uni ) Und dass er die XP-SSL-Lizenz nur als Student (Schüler oder Lehrer) nutzen darf, sollte im ersten Semester nicht so stören, hat ja noch ein paar Jahre vor sich. Übrigens: Man spiele und arbeite möglichst nicht auf ein und dem selben PC
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
12.02.2005, 17:02 | #9 |
| Verzweifelt... Ziemlich...! @Jigganigga2k2 Vorliegnder Fall: Win98 SE mit NAV 2002 mit Update per 09.02.2005, Firewall im Router, keine Netzfreigaben, nur C: 1. Verzeichnisse 1.1 "C:\Programme\ServicePackFiles" findet sich eine Datei "lservers.exe.dat" mit den Attributen hidden, archive [h,a] von 570 Byte (hidden=versteckt) 1.2 "%System% (Oft: "C:\Windows\System") finden sich Dateien "Lsas.exe.dat" [h,a] 570 Byte "mctask.exye.dat" [h,a] 570 Byte "SuiteOffices.exe.dat" [h,a] 570 Byte "Recalculate.exe.dat" [h,a] 570 Byte "Indexindicator.exe.dat" [h,a] 570 Byte 2. Registrie "unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" finden sich folgende Registrierungseinträge C:\Windows\System\Recalculate.exe /reloadenterpice C:\Windows\System\SuiteOffices.exe /cleandb C:\Windows\System\Indexindicator.exe /check C:\Windows\System\Lsas.exe /??? C:\Windows\System\Mctask.exe /??? C:\Windows\System\Lservers.exe /??? Beseitigung: Hochfahren im abgesicherten Modus [F8-Taste halten] und erst mal alle Datein im Explorer anzeigen [Ordneroptionen-Ansicht]. Die Dateien unter 1.1 und 1.2 alle Löschen. Mit dem Regeditor [Start-Ausführen-regedit] sich zu den Dateien unter RUN durchhangeln, die Schlüssel wie unter 2. aufgeführt löschen. Fertig Bei XP vermutlich die Wiederherstellung vorher deaktivieren. 1. NAV hatte zwar was gefunden, konnte es aber nicht beseitigen (Lazarus.222 in Lsas.exe) 2. FPROT hatte Lsas.exe gefunden, konnte das Problem nicht beheben (fp-def.zip + macrdef.zip 10.02.2005) 3. SOPHOS (Sav32click.exe) per 10.02.2005 11:00 Uhr läuft *leider* nicht unter Win98 4. McAffey hatte nichts gefunden 5. Lavasoft (Ad-Aware SE) findet hiervon nichts Viel Erfolg! |
Themen zu Verzweifelt... Ziemlich...! |
.inf, 100%, adobe reader, antivir update, antivirus, bho, computer, cpu, desktop, drivers, einstellungen, excel, helfen, hijack, hijackthis, hijackthis logfile, internet, internet explorer, langsam, logfile, monitor, nvcpl.dll, rojaner gefunden, rundll, security, security center, settings manager, software, sun java, super, symantec, t-online, tcpip, trojaner, trojaner gefunden, urlsearchhook, viren, windows, windows xp |