|
Log-Analyse und Auswertung: systemauslastung&logfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.03.2006, 13:18 | #1 |
| systemauslastung&logfile Hallo zusammen, Mein Rechner läuft öfters ohne erkennbaren Grund auf 100% cpu-Leistung und ist dann auch sehr langsam; vielleicht liegts an Malware? Es wäre sehr nett, wenn jemand das logfile mal durchgucken würde (vielen Dank schonmal).Außerdem tauchen pop-ups auf, obwohl die vom Browser (firefox,obwohl das logfile IE explorer anzeigt) unterdrückt werden sollten. Ich habe das File schon mal bei http://www.hijackthis.de/ automtisch durchschauen lassen, und dort hieß es, das Logfile wäre sauber; ich weiß leider nicht, wie zuverlässig das ist (?). Grüsse & Dankeschön Schabadu Logfile of HijackThis v1.99.1 Scan saved at 13:11:48, on 22.03.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\TBPanel.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\wincmd\TOTALCMD.EXE c:\download\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {98FFF5CC-78AF-49BF-B278-D1526AB87C3F} - C:\WINDOWS\System32\fkbdro.dll (file missing) O3 - Toolbar: (no name) - {3B01B67F-EB38-4C5B-AB2E-B0D25C87ED43} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: concept/design's onlineTV - {73542959-6A08-4D44-920C-AA778B5F2581} - C:\Dokumente und Einstellungen\Ich\Desktop\onlineTV.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093710112468 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
22.03.2006, 13:25 | #2 | |
| systemauslastung&logfile Servus!
__________________Zitat:
Welcher Prozess (Blick in den taskmanager) verursacht denn die hohe Prozessorauslastung? Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi
__________________ |
22.03.2006, 14:03 | #3 |
| systemauslastung&logfile Hallo,
__________________danke für den tipp mit escan, leider meinte das prog bei der Installation, das es Probleme geben wird, falls ich ein anderes Antivirustool installiert habe.Da ich Antivir benutze, habe ich es dann nicht installiert und wollte erstmal nachhören, ob das System es verkraftet, falls beide progs gleichzeitig installiert sind ? Zu der Auslastung: Task manager sagt jedesmal "Leerlaufprozess" , wenn die cpu rappelt & keine Anwendung läuft . (Danke, bill) Grüße |
22.03.2006, 14:05 | #4 |
| systemauslastung&logfile Servus wieder! Wegen escan brauchst Du dir keine Sorgen machen - der wird nicht installiert, sondern nur entpackt - kannst also ruhig mal laufen lassen! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
22.03.2006, 14:26 | #5 |
| systemauslastung&logfile Hallo, danke für dei schnelle Antwort.Vielleicht stelle ich mich ja blöd an, aber der download ist keine .rar sondern die Datei awn2k3e.exe, und die startet direkt mit der installation (?). Grüße & nochmal sorry, falls es an meiner langen leitung liegt! |
22.03.2006, 14:33 | #6 |
| systemauslastung&logfile Hast Du auch nach der Registrierung aus der Angebotsliste das Gratistool (ganz unten) heruntergeladen? Das ist eine selbstentpackende *.exe (da ist die Anleitung möglicherweise ein bißchen ungenau). Nach dem Download am besten zuerst auf C: das Verzeichnis C:\bases_x erstellen, dann Winrar (oder Winzip) öffnen und die *.exe nach "C:\bases_x" entpacken. Das exakte Verzeichnis ist wichtig! Dann die 'mwavscan.com' ausführen und weiter wie in der Anleitung! stupormundi
__________________ --> systemauslastung&logfile |
22.03.2006, 17:03 | #7 |
| systemauslastung&logfile Sorry, Hat n bisserl gedauert, da ich noch weg musste. - Ich hab mit winrar und zip versucht die .exe zu entpacken, sowohl die, die Du verlinkt hattest(mwav.exe), als auch die ursprüngliche setup (awn2k3.exe). Leider ging beides nicht, rar und zip habens nicht gerafft ("... kann die datei nicht öffnen"). Daher habe ich vorübergehend Antivir runtergeschnissen und escan installiert & scannen lassen (nach c:\x_base installiert).Naja, das logfile ist ziemlich lang, und ich konnte den scan nicht komplett durchlaufen lassen, weil keine Zeit, werd ich die nächsten tage machen & posten, obwohl das file nach 15 min. schon seeeeehr groß war. escan hat aber schon was gefunden , und zwar: Object "mybar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "kazoom Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "clipgenie Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "statblaster Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "family keylogger Commercial KeyLogger" found in File System! Action Taken: No Action Taken. Was mach ich mit diesen Dingern (Ort, wos gefunden wurde hat escan nicht geagt)? vielen Danke schon mal für Geduld und Ratschläge |
22.03.2006, 21:40 | #8 |
| systemauslastung&logfile Also, hab den escan mal durchlaufen lassen, und folgendes gefunde: Wed Mar 22 17:26:55 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Wed Mar 22 17:26:55 2006 => Loading Spyware Signatures from new External Database (Size: 154040). Wed Mar 22 17:26:57 2006 => Indexed Spyware Databases Successfully Created... Wed Mar 22 17:27:13 2006 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken. Wed Mar 22 17:27:15 2006 => Offending Key found: HKLM\Software\blue haven media !!! Wed Mar 22 17:27:15 2006 => Object "kazoom Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Mar 22 17:27:15 2006 => Offending Key found: HKCU\Software\kazaa !!! Wed Mar 22 17:27:15 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Mar 22 17:27:18 2006 => Offending file found: C:\DOKUME~1\Ich\LOKALE~1\Temp\cmdlineext02.dll Wed Mar 22 17:27:18 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Wed Mar 22 17:27:19 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\chessbase\channels.ini Wed Mar 22 17:27:19 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken. Wed Mar 22 17:27:32 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\temp\cmdlineext02.dll Wed Mar 22 17:27:32 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Wed Mar 22 17:27:44 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\tempwm_fuins.bat Wed Mar 22 17:27:44 2006 => System found infected with statblaster Spyware/Adware (tempwm_fuins.bat)! Action taken: No Action Taken. Wed Mar 22 17:27:47 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe Wed Mar 22 17:27:47 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. Wed Mar 22 17:47:56 2006 => Scanning File C:\download\netpumper\netpumper-1.20.1-setup.exe Wed Mar 22 17:47:59 2006 => File C:\download\netpumper\netpumper-1.20.1-setup.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.v". Action Taken: No Action Taken. Wed Mar 22 19:00:40 2006 => Scanning File C:\Sicherheit\netpumper-1.20-setup.exe Wed Mar 22 19:00:42 2006 => File C:\Sicherheit\netpumper-1.20-setup.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken. Wed Mar 22 20:39:12 2006 => Scanning File C:\treiber\netpumper-1.10.5-setup.exe Wed Mar 22 20:39:14 2006 => File C:\treiber\netpumper-1.10.5-setup.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken. Scheint einiges zu sein. Was tun? Danke im vorraus. |
23.03.2006, 11:40 | #9 |
| systemauslastung&logfile Hallo, wahrscheinlich hab ich mich beim installieren von eScan bisschen dumm angestellt, es wäre trotzdem nett, wenn mir jemand sagen könnte, was ich mit den Funden von eScan machen sollte & evtl. auch noch mal gucken könnte, ob das HijackThis log vom Anfang sauber ist (trotz nicht upgedatetem sp2). Dankeschön & Grüße |
23.03.2006, 11:44 | #10 |
| systemauslastung&logfile Servus wieder! Da liegt/lag keine böse Absicht dahinter, dass niemand (auch ich nicht) bisher geantwortet hat. Öffne mal das Logfile von escan und Suche nacheinander nach den Begriffen "offending", "tagged" und "Infected" und poste das Ergebnis hier. Das was man bisher sieht, ist möglicherweise nicht alles! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
23.03.2006, 12:23 | #11 |
| systemauslastung&logfile Hi, bin mwav.log nochmal durchgegangen, die angezeigten funde sind tatsächlich alle, unter "scan complete" werden auch nur insg. 11 objekte angezeigt. Ich habe noch die zwei "scanning folder " Einträge mitgeposted, weil "infected" im text auftauchte, glaube aber, das die jeweils nur quarantäne verzeichnisse von Av o.ä. sind. Grüße P.S.: Dankeschön! Wed Mar 22 17:26:55 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Wed Mar 22 17:26:55 2006 => Loading Spyware Signatures from new External Database (Size: 154040). Wed Mar 22 17:26:57 2006 => Indexed Spyware Databases Successfully Created... Wed Mar 22 17:27:13 2006 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken. Wed Mar 22 17:27:15 2006 => Offending Key found: HKLM\Software\blue haven media !!! Wed Mar 22 17:27:15 2006 => Object "kazoom Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Mar 22 17:27:15 2006 => Offending Key found: HKCU\Software\kazaa !!! Wed Mar 22 17:27:15 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Mar 22 17:27:18 2006 => Offending file found: C:\DOKUME~1\Ich\LOKALE~1\Temp\cmdlineext02.dll Wed Mar 22 17:27:18 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Wed Mar 22 17:27:19 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\chessbase\channels.ini Wed Mar 22 17:27:19 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken. Wed Mar 22 17:27:32 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\temp\cmdlineext02.dll Wed Mar 22 17:27:32 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Wed Mar 22 17:27:44 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\tempwm_fuins.bat Wed Mar 22 17:27:44 2006 => System found infected with statblaster Spyware/Adware (tempwm_fuins.bat)! Action taken: No Action Taken. Wed Mar 22 17:27:47 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe Wed Mar 22 17:27:47 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. => Scanning Folder: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 176c5a6a13c1796237573cc68824cea0f35.zip\iNFECTED\*.* => Scanning File C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 176c5a6a13c1796237573cc68824cea0f35.zip\iNFECTED\install.txt Wed Mar 22 17:47:59 2006 => File C:\download\netpumper\netpumper-1.20.1-setup.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.v". Action Taken: No Action Taken. Wed Mar 22 19:00:42 2006 => File C:\Sicherheit\netpumper-1.20-setup.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Wed Mar 22 20:39:14 2006 => File C:\treiber\netpumper-1.10.5-setup.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken. 22 21:17:30 2006 => ***** Scanning complete. ***** Wed Mar 22 21:17:30 2006 => Total Objects Scanned: 129081 Wed Mar 22 21:17:30 2006 => Total Critical Objects: 11 Wed Mar 22 21:17:30 2006 => Total Disinfected Objects: 0 Wed Mar 22 21:17:30 2006 => Total Objects Renamed: 0 Wed Mar 22 21:17:30 2006 => Total Deleted Objects: 0 Wed Mar 22 21:17:30 2006 => Total Errors: 7 Wed Mar 22 21:17:30 2006 => Time Elapsed: 03:50:17 Wed Mar 22 21:17:30 2006 => Virus Database Date: 3/22/2006 Wed Mar 22 21:17:30 2006 => Virus Database Count: 179400 Wed Mar 22 21:17:30 2006 => Scan Completed. Wed Mar 22 21:29:14 2006 => Virus Database Date: 3/22/2006 Wed Mar 22 21:29:14 2006 => Virus Database Count: 179400 Wed Mar 22 21:29:16 2006 => AV Library Unloaded (3)... Einige der files habe ich schon gelöscht: die beiden "cmdlineext02.dll"; "channels.ini" ;"tempwm_fuins.bat" ; und die drei "netpumper-1.20.1-setup.exe." -- "ctfmon.exe" hab ich gelassen weil kaspersky online scanner gesagt hat das die datei sauber ist und die keys in der registry hab ich zwar gefunden, aber die Finger von gelassen. Edit: Is mir grad noch eingefallen: vielleicht sind die Errors ja wichtig?: Wed Mar 22 17:26:28 2006 => ERROR!!! Invalid Entry = C:\WINDOWS\System32\fkbdro.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{98FFF5CC-78AF-49BF-B278-D1526AB87C3F}). No Action Taken. Wed Mar 22 17:26:41 2006 => ERROR!!! Invalid Entry Patches Value = WinGamed.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. Wed Mar 22 17:26:41 2006 => ERROR!!! Invalid Entry Patches Value = WinGamed.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. Wed Mar 22 17:26:44 2006 => ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI... Wed Mar 22 17:26:49 2006 => ERROR!!! Invalid Entry \SystemRoot\\SystemRoot\System32\DRIVERS\sr.sys in SYSTEM\CurrentControlSet\Services\sr... Wed Mar 22 17:44:51 2006 => Result: ERROR!!! File C:\download\adaware\aawsepersonal.exe is Not Scanned Wed Mar 22 18:25:32 2006 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!! Wed Mar 22 18:25:32 2006 => ERROR!!! ScanFile fails for C:\pagefile.sys Wed Mar 22 18:42:11 2006 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned Geändert von schabadu (23.03.2006 um 12:45 Uhr) |
23.03.2006, 12:56 | #12 |
| systemauslastung&logfile Servus wieder! Hol Dir folgende Tools: clearprog 1.4.1 final, Spybot S&D(falls Du das noch nicht hast) und regseeker, update Adaware und Spybot. Wechsle dann in den abgesicherten Modus und lass regseeker laufen und mit reinige mit der Option "clear registry" die error-Meldungen (Achte hier darauf, dass die Rücksicherungsfunktion - Häkchen unten - aktiviert ist) Lass dann mal auch im abgesicherten Modus adaware und Spybot laufen und entferne, was vorgeschlagen wird. Anschließend lass dann clearprog-Option "Clear all" laufen. Jetzt neu starten und unbedingt Windows Updaten - Servicepack2 und Sicherheitsupdates nachholen! Dir muss klar sein, dass Dein Uraltsystem in Verbindung mit P2P (kazaa) ein Eiertanz ist. Abschließend neues HJT Logfile (nach Systemaktualisierung) und Ergebnisbericht posten! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
23.03.2006, 13:54 | #13 |
| systemauslastung&logfile Hallo, Erstmal Danke für die tipps, ich habe die tools im abgesicherten Modus laufen lassen, und regseeker hat eine Menge Einträge (~900) gefunden & gelöscht, ebenso hat clearprog einiges entfernt. Ad-aware & spybot haben nix gefunden, die lasse ich aber auch jeden Tag updaten & suchen. Unten ist das aktuelle hijackthis-log angehängt, auf SP2 hab ich allerdings nicht upgegraded, da ich demnächst den Rechner sowieso komplett neu einrichte; kannst Du trotzdem was zum log sagen oder bringt das nix solange SP2 nicht drauf ist? Falls das so ist, muß ich halt bis zum Neuinstallation mit dem Risiko leben. Auf jeden Fall vielen Dank für die Mühe und die Tipps! Grüße P.S. Kazaa et cetera nutze ich nicht, kann ich den Key hkcu\\software\kazaa entfernen? Logfile of HijackThis v1.99.1 Scan saved at 13:46:53, on 23.03.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\TBPanel.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\cidaemon.exe C:\WINDOWS\System32\wuauclt.exe C:\wincmd\TOTALCMD.EXE c:\download\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {98FFF5CC-78AF-49BF-B278-D1526AB87C3F} - (no file) O3 - Toolbar: (no name) - {3B01B67F-EB38-4C5B-AB2E-B0D25C87ED43} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: concept/design's onlineTV - {73542959-6A08-4D44-920C-AA778B5F2581} - C:\Dokumente und Einstellungen\Ich\Desktop\onlineTV.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093710112468 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Themen zu systemauslastung&logfile |
100%, adobe reader, antivir, avira, bho, browser, desktop, downloader, dsl, excel, firefox, gainward, icqtoolbar, ie explorer, internet, internet explorer, langsam, logfile, malware, malware?, mozilla, mozilla firefox, rundll, security, security center, sehr langsam, server, software, symantec, system, urlsearchhook, vielen dank, windows, windows xp |