Hallo zusammen, könnt ihr euch das mal bitte ansehen? Es ist der Rechner einer Freundin und ihr netter Ex soll ihr angeblich irgendwas eingebaut haben

Sie sagt nur, dass der Rechner total langsam geworden ist...und das stimmt !

Vielen Dank im Voraus für eure Hilfe und für Tips bin ich sehr dankbar !

Logfile of HijackThis v1.99.1
Scan saved at 23:09:10, on 25.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Antivir\AVWUPSRV.EXE
D:\Programme\Antivir\AVWIN.EXE
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\Tom\LOKALE~1\Temp\Rar$EX01.000\HijackThis.exe
D:\DOKUME~1\Tom\LOKALE~1\Temp\Rar$EX04.829\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.lycos.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\Downloadmanager\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\Downloadmanager\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\Downloadmanager\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0BA9B72A-4BB9-4EB9-B863-E73BA44CB1A7} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0BA9B72A-4BB9-4EB9-B863-E73BA44CB1A7} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127129386609
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127131107640
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: McAfee Firewall - Unknown owner - D:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)



Gruß Kelle

Das Logfile sieht m. E. nach sauber aus. Mach mal einen Check mit eScan siehe Anleitung und poste das mit der FIND.BAT erstellte Logfile "escan_neu.txt".

Hallo, hab das mit eScan probiert. Der Rechner lässt sich aber nicht im abges. Modus starten und hängt sich nach dem er abgesichert hochfährt auf (schwarzer Bildschirm, blinkender Cursor/Strich oben links)

Ansonsten hab ich mal über MSCONFIG in den Systemstart gesehen.

- wftestb.exe
- wf32b.exe
- phqghu.exe
- wf32vbc.exe
- csrs.exe
- mstftp.exe

ich glaub das gehört da nicht hin, oder ?

Das sieht nicht gut aus. Wenn ich wüsste dass diese Prozesse mal auf meinem Rechner gelaufen sind, hätte ich den schon längst platt gemacht bzw. ein Image eingespielt.

Sorry, was heist ein Image eingespielt ???

Zitat:

Zitat von denoiser99

Sorry, was heist ein Image eingespielt ???

Du kannst mit Programmen wie Norton Ghost oder Acronis True Image Backups anlegen, z.B. von der Systempartition. Ist das System versaut oder die Platte kaputt kann man schnell binnen weniger Minuten das System mit diesem Image wiederherstellen.

Laufen diese Sachen denn jetzt aktiv mit oder sind das Altlasten? Hab ich die Möglichkeit das herauszufinden und zu sehen ob da vielleicht noch jemand im Hintergrund ist ???

Offensichtlich nicht aktiv, jedenfalls nicht durch HJT ersichtlich.
Die Prozessnamen sehen für mich aber irgendwie nach Netzwerkwürmern aus. D.h. also auch wenn die nicht mehr aktiv wären, ist das System nicht mehr vertrauenswürdig und sollte dringends neu aufgesetzt werden.

Hmmm, dann werd ich das demnächst mal machen. Ich danke dir jedanfalls erstmal für die Hilfe !

Gruß Kelle