Hallo !

Ich bin zur Zeit super verzweifelt... Kurz vor den 1.-Semester-Klausuren spielt mein PC TOTAL verrückt... Er hatte zwar schon immer "Kleinere Macken", aber seit heute ist alles viel schlimmer geworden. Die größten Probleme macht er, wenn ich Videos abspielen möchte. Vor allem der WIndows Media Player (V10) macht seltsame Dinge. Er wird total langsam und wenn ich einen Ordner mit Filmen öffne, springt er meistens aufs Desktop zurück und lädt alle Icons neu ?!?!
AUch sonst gibt es teilweise Phasen, wo der PC total langsam wird (nervt beim Arbeiten...) der "explorer"-task nimmt ab und zu 97% der Systemreserven in Anspruch (task-manager), und die CPU ist dann phasenweise 100% ausgelastet... Ist das normal ???

Ich poste mal ne HijackThis logfile dazu:

Logfile of HijackThis v1.99.0
Scan saved at 00:48:42, on 03.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
C:\Programme\DSB\dsb.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\Indexindicator.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Opera\opera.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Roc-A-Fella\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ftd.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Jigga's Personal Browser
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PCTVRemote] D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\dsb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Indexindicator] C:\WINDOWS\System32\Indexindicator.exe /check
O4 - HKLM\..\Run: [MEMreaload] C:\Programme\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio
O4 - HKLM\..\Run: [Suite] C:\WINDOWS\System32\SuiteOffices.exe /cleandb
O4 - HKLM\..\Run: [LocalProxy] C:\Programme\LocalProxy\proxy4free.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\System32\LSAS.exe /check
O4 - HKLM\..\Run: [lservers] C:\Programme\ServicePackFiles\lservers.exe /checkmouse /updateratio
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A65E7D-213C-418F-8CDF-C8BD8197C904}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ich kann daraus absolut NICHTS ablesen, aber hier gibts es ja anscheinend Profis, die das können ! Bevor ichs vergesse: Ich hab schon einmal die Trial-Version von Norton drüberlaufen lassen und die hat ganze 7(!) Viren gefunden, nachdem mein Standard-Programm Antivir schon 3 Trojaner gefunden hatte... ! Vielleicht könnt ihr mir hier helfen, ich wäre unheimlich dankbar und würde mich irgendwie erkenntlich zeigen, falls ich dazu in der Lage bin...

Hallo,

zunächst mal ist dein Windows offenbar gar nicht gepatched. Zudem sieht es so aus, als ob du einen aktiven ackdoor auf dem rechner hattest/hast.

http://www.trojaner-board.de/42731-escan-anleitung.html

Wie beschrieben updaten und anwenden, gefundene Schädlinge (im Log nach "infected" suchen) hier posten.

Das mit den Updates liegt daran, dass nen Freund bei mir mal ne WindowsXP-Version installiert hat, die wohl kopiert war. Gibt es da eine Möglichkeit, sie dennoch zu patchen ? Windows lässt einen das ja dann nicht machen (Verständlich...)...!
Ich installiere gerade escan und lass es gleich laufen!

Geh in ein Computerfachgeschäft und kaufe Dir WindowsXP.
Willst Du dass nicht, dann benutze Linux!

Wenn ich ehrlich bin, hab ich mir das auch schon durch den Kopf gehen lassen... Wie sähe das denn dann aus, müsste ich nochmal alles runterholen vom PC? Formatieren und all sowas ? Das ist nicht so mein Fachgebiet ...

Escan läuft immer noch...

Nein, es gibt/gab ein Tool um eine gültige Seriennummer/Key ins System zu schreiben. Funktioniert aber AFAIK nur (also bei Dir) wenn noch kein ServicePack drauf ist.

Patchen kannst du das trotzdem, nur die Servicepacks kannst du nicht installieren, die Sicherheitspatches allein aber schon. Lass trotzdem mal E-Scan durchlaufen. Wenn du studierst, solltest du XP nicht iM geschäft kaufen, sondern über das Rechenzentrum deiner UNI eine UNI-Lizenz besorgen, die sind idR um einiges günstiger.

Zitat:

Zitat von MountainKing

Patchen kannst du das trotzdem, nur die Servicepacks kannst du nicht installieren, die Sicherheitspatches allein aber schon.

soll so sein, habe ich auch gelesen, allerdings sagen sie auch, dass ohne ServicePacks keine neuen Patches gehen würden....

Zitat:

Zitat von MountainKing

Wenn du studierst, solltest du XP nicht iM geschäft kaufen, sondern über das Rechenzentrum deiner UNI eine UNI-Lizenz besorgen, die sind idR um einiges günstiger.

Die MÜSSEN sehr(!) viel günstiger sein, das ist richtig.
(Sollte eine "normale" Lizenz so billig sein, so ist es eine Raubkopie, sollte die Uni-Lizenz so teuer sein, so sollte die Uni )

Und dass er die XP-SSL-Lizenz nur als Student (Schüler oder Lehrer) nutzen darf, sollte im ersten Semester nicht so stören, hat ja noch ein paar Jahre vor sich.

Übrigens: Man spiele und arbeite möglichst nicht auf ein und dem selben PC

@Jigganigga2k2

Vorliegnder Fall: Win98 SE mit NAV 2002 mit Update per 09.02.2005, Firewall im Router, keine Netzfreigaben, nur C:


1. Verzeichnisse
1.1 "C:\Programme\ServicePackFiles" findet sich eine Datei
"lservers.exe.dat" mit den Attributen hidden, archive [h,a] von 570 Byte (hidden=versteckt)

1.2 "%System% (Oft: "C:\Windows\System") finden sich Dateien
"Lsas.exe.dat" [h,a] 570 Byte
"mctask.exye.dat" [h,a] 570 Byte
"SuiteOffices.exe.dat" [h,a] 570 Byte
"Recalculate.exe.dat" [h,a] 570 Byte
"Indexindicator.exe.dat" [h,a] 570 Byte

2. Registrie
"unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" finden sich folgende Registrierungseinträge
C:\Windows\System\Recalculate.exe /reloadenterpice
C:\Windows\System\SuiteOffices.exe /cleandb
C:\Windows\System\Indexindicator.exe /check
C:\Windows\System\Lsas.exe /???
C:\Windows\System\Mctask.exe /???
C:\Windows\System\Lservers.exe /???

Beseitigung:
Hochfahren im abgesicherten Modus [F8-Taste halten] und erst mal alle Datein im Explorer anzeigen [Ordneroptionen-Ansicht].
Die Dateien unter 1.1 und 1.2 alle Löschen. Mit dem Regeditor [Start-Ausführen-regedit] sich zu den Dateien unter RUN durchhangeln, die Schlüssel wie unter 2. aufgeführt löschen. Fertig

Bei XP vermutlich die Wiederherstellung vorher deaktivieren.

1. NAV hatte zwar was gefunden, konnte es aber nicht beseitigen (Lazarus.222 in Lsas.exe)
2. FPROT hatte Lsas.exe gefunden, konnte das Problem nicht beheben (fp-def.zip + macrdef.zip 10.02.2005)
3. SOPHOS (Sav32click.exe) per 10.02.2005 11:00 Uhr läuft *leider* nicht unter Win98
4. McAffey hatte nichts gefunden
5. Lavasoft (Ad-Aware SE) findet hiervon nichts

Viel Erfolg!