Hallo,
bei mir häufen sich in letzter Zeit ein wenig eigenartige Vorfälle, die sich zwar alle einzeln erklären lassen mich aber insgesamt doch etwas unruhig schlafen lassen, da ich derzeit internetbanking benutze.
Vorfall 1) Windows braucht bis zu 10 min um ausm Standby wieder hochzufahren, google sagt, dass das eine Microsoftmacke ist und man da bisher nichts gegen tun kann. Hochfahren tut er ganz normal.
Vorfall 2) Letzten Montag und gestern entfleuchte meinem Rechner aufeinmal ein durchdringender Ton, der sich nur durch Neustarten abstellen lies. Hier würde ich eher auf nen kaputten Lautsprecher tippen, aber es sammelt sich eben an
Vorfall 3) Firefox und Thunderbird hängen sich in letzter Zeit häufiger auf, insbesondere beim Thunderbird geschieht es mittlerweile etwa alle 5 Tage.

Da Vorsicht die Mutter der Porzellankiste ist, dachte ich such mir bei euch ein wenig Rückenstärkung gegen mein unruhiges Gewissen.
Ich benutze ein 3-jahre altes Acer travelmate 660.
früherer Befall:
Ich hatte mir im Dezember einen Trojaner eingefangen, den ich erst Anfang März mit einer Demoversion von Spysweeper (mE komplett) entfernt habe, da ich vorher kein Internet besass, (habe damals auch Anleitungen von ähnlichen Vorfällen hier nachgelesen) Namen habe ich leider vergessen (Er produzierte Pop-ups und wollte nach Hause telefonieren)
Im April hat Symantec in meinen Temp-Dateien nochmal einen Trojan-Downloader gefunden, der aber durch meine (Zonealarm)Firewall geblockt worden war und somit keine Wirkung entfalten konnte.
Das wars dann auch schon...
Hier noch mein HJT:
Logfile of HijackThis v1.99.1
Scan saved at 23:38:09, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\PGPserv.exe
C:\WINDOWS\srvany.exe
C:\WINDOWS\PCard.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\DisTM.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\Programme\Samurize\Client.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: samurize.lnk = C:\Programme\Samurize\Client.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: PGPtray.lnk = ?
O4 - Global Startup: VPTray.lnk = C:\Programme\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe
O23 - Service: PSecret - Unknown owner - C:\WINDOWS\srvany.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Was mich ausserdem beunruhigt, sind die Zahlen und buchstabenkürzel die hinter einigen Programmen aufgetaucht sind (zb bei Daemon tools), haben die etwas zu bedeuten? Und wie werd ich den 023-Sony eintrag los, oder kann man Sony gar nicht loswerden?
BTW: Die Autoauswertung erkennt alle als gut... da hab ich mich bisher drauf verlassen... besitze auch noch einige ältere logs, wenn denn was gefunden werden sollte.
Drückt mir die Daumen :s
lg kathrin

Zitat:

Im April hat Symantec in meinen Temp-Dateien nochmal einen Trojan-Downloader gefunden, der aber durch meine (Zonealarm)Firewall geblockt worden war und somit keine Wirkung entfalten konnte.

Naja, Schädlinge können an der PFW vorbei senden oder sie beenden...aber lassen wir das.

Dein Logfile sieht soweit sauber aus. Die Zahl, die z.B. bei Daemontools auftaucht wird wohl nur ein Startparameter sein, nichts Beunruhigendes also.
O23-Einträge (Dienste) lassen sich nicht einfach so fixen. Du musst schon das dazugehörige Programm deinstallieren oder in der Dienstekonfig. (services.msc) den jew. Dienst stoppen und ggf. den Starttyp ändern.
Sind Thunderbird und Firefox aktuell? Auch die ggf. installierten Erweiterungen?
Deinen Autostart könntest Du evtl. auch mal ausmisten...

Zitat:

Zitat von cosinus

O23-Einträge (Dienste) lassen sich nicht einfach so fixen. Du musst schon das dazugehörige Programm deinstallieren oder in der Dienstekonfig. (services.msc) den jew. Dienst stoppen und ggf. den Starttyp ändern.

Deinstalliert habe ich das vor langer Zeit, danach nochmal einen Haufen Teilprogramme, die auf meinem Rechner verblieben waren deinstalliert und schließlich den Sony Ordner gelöscht (er hat sich auch nicht gewehrt), nur das taucht immer auf. Das man es nicht einfach so fixen kann, kann ich bestätigen

Zitat:

Zitat von Cosinus

Sind Thunderbird und Firefox aktuell? Auch die ggf. installierten Erweiterungen?

Eigentlich schon, Thunderbird hat die Erlaubnis selbst nach Updates zu suchen, Firefox soll Bescheid sagen.
Thunderbird: Version 1.5.0.2
Extensions: MinimizeToTray Version0.0.1.2006022107
Update Notifier 0.1.2
Firefox: Version 1.5.0.3
Extensions: bin ich ehrlich gesagt zu faul alle abzutippen. Aber der Extensionmanager meint die wären alle up to date.

Wenn ich annehmen kann, dass die Abstürze intern verursacht werden und nicht von externen Angriffen, kann ich da auch mit Leben

Zitat:

Zitat von Cosinus

Deinen Autostart könntest Du evtl. auch mal ausmisten...

Gibts da besonderes zu beachten oder reicht es den Autostartordner zu leeren? In dem sind eigentlich keine Programme die ich da auch nicht haben will. :s

Das die an meiner Firewall vorbeikönnen kann ich mir denken , aber ich hoffe einfach mal dass er das nicht getan hat. Zumal ich mir einbilde, dass er entweder von meiner Firewall geblockt wird oder an ihr vorbeikommt, aber nicht beides gleichzeitig tut. *hoff*

Zitat:

Deinstalliert habe ich das vor langer Zeit, danach nochmal einen Haufen Teilprogramme, die auf meinem Rechner verblieben waren deinstalliert und schließlich den Sony Ordner gelöscht (er hat sich auch nicht gewehrt), nur das taucht immer auf. Das man es nicht einfach so fixen kann, kann ich bestätigen

Ich hab das Gefühl, der wurde nicht richtig deinstalliert, vllt. traten bei der Deinstallation Probleme auf. Denn normalerweise sollten die Uninstaller auch die angelegten Dienste de-registrieren. Wenn er Dich so sehr stört, kannst Du mal versuchen, den über HijackThis zu löschen. Unter config => misc tools => delete an NT service. Dort den genauen Dienstnamen eintippen. Sollte bei dir, wenn ich das jetzt richtig sehe, SPTISRV sein.

Zitat:

Thunderbird: Version 1.5.0.2
Extensions: MinimizeToTray Version0.0.1.2006022107
Update Notifier 0.1.2
Firefox: Version 1.5.0.3

Die Mozilla-Software scheint aktuell zu sein.

Zitat:

Gibts da besonderes zu beachten oder reicht es den Autostartordner zu leeren? In dem sind eigentlich keine Programme die ich da auch nicht haben will. :s

Dann kannst es auch so lassen.
Achso, das mit dem Standby würde ich lassen. Lass den Rechner an und mach den Monitor aus oder fahr den Rechner runter, wenn der längere Zeit nicht benutzt wird.

Zitat:

Zitat von cosinus

Ich hab das Gefühl, der wurde nicht richtig deinstalliert, vllt. traten bei der Deinstallation Probleme auf. Denn normalerweise sollten die Uninstaller auch die angelegten Dienste de-registrieren. Wenn er Dich so sehr stört, kannst Du mal versuchen, den über HijackThis zu löschen. Unter config => misc tools => delete an NT service. Dort den genauen Dienstnamen eintippen. Sollte bei dir, wenn ich das jetzt richtig sehe, SPTISRV sein.

Hijack sagt er kann den nicht entfernen, da das Programm benutzt wird, ich kann den Beitrag auch nicht erst durchs fixen deaktivieren um ihn dann zu entfernen.
Ich hab mal nachgesehen und der Ordner Sony Shared existiert nicht mehr, folglich dürfte doch auch die exe-Datei nicht existieren und kann schlecht ausgeführt werden?
An die Deinstallation kann ich mich nicht mehr so recht erinnern, ich weiß nur noch, dass ich 1 Programm installiert hab aber etwa 5 wieder deinstallieren musste und am Schluss nach Holzhackerart vorgegangen bin... da wird dann wohl dieser Prozess noch am Leben gewesen sein.
Soll man also davon ausgehen, dass das der arme Geist einer von mir schändlich gemeuchelten Datei ist, der nicht gehen kann, bevor dieses Unrecht nicht aufgedeckt wurde?

Ich erinner mich auch nur noch dunkel daran, warum ich diese Datei unbedingt weghaben wollte, aber gabs es nicht mal nen Skandal um Sonysoftware die ihre Nutzer überwacht hat?
Da ich also offensichtlich schon selber nicht mehr weiß warum ich sie überhaupt loswerden wollte und es auch schon wieder viel zu spät für mich ist, werde ich sie also weiterhin spuken lassen.
Vielen Dank fürs überprüfen!

Schau mal in die Dienstekonfig: Start, Ausführen, services.msc eintippen und Enter/Return drücken.
Such dort mal den Sony-Dienst und beende ihn falls er noch gestartet sein sollte. Wenn er dann beendet ist, sollte er sich killen lassen.

Zitat:

Zitat von cosinus

Schau mal in die Dienstekonfig: Start, Ausführen, services.msc eintippen und Enter/Return drücken.
Such dort mal den Sony-Dienst und beende ihn falls er noch gestartet sein sollte. Wenn er dann beendet ist, sollte er sich killen lassen.

Vielen Dank, habs deaktiviert und jetzt gelöscht.

Mfg Kathrin