Hallo,

ich mach mir grad dicke sorgen wegen meiner kiste.
Zonealarm Internet Security hab ich gestern geupdatet. beim anschliessenden neustart hängt sich der rechner auf und zwar beim benutzernamen auswählen. die maus rutscht zwar noch fein übern anmelde-bildschirm, aber der pc reagiert nicht auf tastatureingabe oder mausklick.
musste kaltstart drücken.
danach einigemale gestartet u.a. mit abgesichert und mit "zuletzt fuknkionierender konfiguration" und kiste läuft wieder.
beim nächsten neustart das selbe theater, nur dass 5 oder 6 neustarts nötig waren, bis sich der pc beim benutzer auswählen mal zufällig NICHT aufgehängt hat.

heute funktioniert zwar das starten, aber ZA meldet bei fast jeder anwendung, dass diese mit ctfmon komunizieren möchte.

internet explorer versucht, durch öffnen des propzesses mit"c:\windows\system32\ctfmon.exe" zu kommunizieren.
zulassen ja/nein

explorer versucht, durch öffnen des propzesses mit"c:\windows\system32\ctfmon.exe" zu kommunizieren.
zulassen ja/nein

(hijackthis, editor... und egal welche anwendung noch...) versucht, durch öffnen des propzesses mit"c:\windows\system32\ctfmon.exe" zu kommunizieren.
zulassen ja/nein

und solche Meldungen wie "trillian oder Anwendung sowieso versucht tastatur und maus zu überwachen" kommen auch stündlich von Zonealarm...

könnte bitte mal jmnd dass logfile angucken, ob da was unanständiges zu finden ist?...


Logfile of HijackThis v1.99.0
Scan saved at 21:54:32, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
D:\Inst\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx (zensierte zeilen)
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O15 - Trusted Zone: xxx
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



tausend dank im voraus
und lieben gruß
KaBa
************

Hallo nochmal,

wie Ihr im Log-File seht, ist mein HJT leicht veraltet.
Alleddings ist es mir NICHT möglich, auf www_merijn_org oder irgend einem Link dort irgendwas runter zu laden. Ebenfalls kann ich die updateseite von Microdoof nicht erreichen.
Ob das zusammenhängt?

Bitte nochmals um Durchsicht der obigen Log
und vielleicht um einen Tip, warum plötzlich viele Anwendungen "auf c:\windows\system32\ctfmon.exe zugreifen" wollen.

Lieben Dank im voraus
KaBa

Hallo,

was sind den die einträge mit dem 015 davor für seiten?
gruß

*grübel*
ich seh auch gerade: unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-3130716320-1874246194-1069529851-1007\Software\Microsoft\Windows\CurrentVersion\Run

steht jeweils der Eintrag
C:\WINDOWS\system32\ctfmon.exe

der Eintrag ist aber nicht unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

wird wohl nix zu bedeuten haben...

Zitat:

Zitat von hoerni26

Hallo,

was sind den die einträge mit dem 015 davor für seiten?
gruß

Hallo hoerni26,
das sind "vertrauenswürdige" Seiten. Von hand eingegeben im IE/Optionen/Sicherheit/VertrauenswürdigeSites.
Die sind eigentlich alle in ordnung, ist zb aol_de email_aol_de, meinebank_de, http__osalerts_zonelabs_com, www_merijn_org usw.

Die selbe Liste find ich auch in der Registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains


Lieben Gruß
KaBa
*********

hast du mal in der uone alarm konif nachgesehen ob dort alles ok ist?
kann auf den ersten blick nämlich nix auffälliges finden.
gibt es denn sonst noch problem??
gruß

Zitat:

Zitat von hoerni26

hast du mal in der uone alarm konif nachgesehen ob dort alles ok ist?
kann auf den ersten blick nämlich nix auffälliges finden.
gibt es denn sonst noch problem??
gruß

Zone Alarm konif? hilf mir bitte kurz auf die sprünge...
konif = was zum essen?

sonstige probleme...
eben beim PC-starten beim benutzer anmelden dauerts manchmal recht lange. Vorhin nachm essen musste ich beim benutzer anmelden nochmal kaltstarten. Danach gings Anmelden recht schnell.
wie gesagt: ich komm nicht auf die windoof-updateseiten und kann das aktuelle hjt nicht saugen: "Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen.
Möglicherweise haben Sie nicht die erforderlichen Zugriffsrechte, um das Verzeichnis oder die Seite anzuzeigen. "