Hi,

habe seit einiger Zeit das Problem, dass der Systemstart unendlich lange dauert, soll heißen, windows fährt soweit hoch, bis der desktop (allerdings ohen taskleiste und symbole) zu sehen ist.

Nachdem ich mal probierte ob den überhaupt der Taskmanager während dieser Wartezeit anspricht, sah ich, dass eine Datei mit kryptischem Dateinamen ausgeführt wurde (Dateiname ist immer wieder ein anderer, immer eine wilkürlich erscheinende Buchstabenkombination) und sonst nur die wichtigsten dateien in der Prozessansicht zusehen waren.

Ein anderes Mal meldete ZoneAlarm, dass eine Datei eine Instanz von svchost.exe starten wollte. Daraufhin habe ich das Prog Security Task Manager ausgeführt und festgestellt, dass die verantwortliche Datei auf der System-Partition im Programme-Ordner vorhanden war. Als ich dort nachsah, fand ich eine ganze Reihe solcher Datein dort (namentlich: DZ.exe, fWo.exe, hdPLscXSu.exe, HV.exe, IKiCBh.exe, lFpovOnOi.exe, MyvlCbhyP.exe, npi.exe, opayTSu.exe, prH.exe, qI.exe, tesu.exe, ugLpvghb.exe, Uogf.exe, vEPJ.exe, Wf.exe, xCNweiifn.exe, YKplHSncr.exe, yvfnGJ.exe). Alle diese Datein sind in grüner Schriftfarbe, was wohl heißt, dass sie verschlüsselt sind. ich kann sie nicht kopieren oder sowas, auch sie direkt nach viren zu prüfen schlägt fehl.

Dazu muss ich noch sagen, dass wenn die Instanz einer dieser dateien sich beendete (rechtsklick Prozess beenden funktioniert nicht), sei es wel ZA weitere operationen verhindert, oder aus anderen gründen, sind auch alle dateien im Ordner Programme verschwunden.

Als Benutzername im Taskmanager ist nicht System oder mein Benutzername angegeben, sondern xCOCcSCWDwJbrs.

Eine Googlesuche diesbezüglich hat gar keine Ergebnisse gebracht, hoffe nun, dass mir hier geholfen werden kann.

Ciao, Lars

Hallo Lars,

am besten erstmal nen HJ Log machen und Posten.

Anleitung siehe SIG!

Gruß Mellosun

@WTSX,

hast du mal versucht im abgesicherten Modus zu starten? Versuch folgendes Tool zu laden: --> Regcleaner
führe eine komplette Registry Säuberung durch, und schau dir die Autostart Einträge an. Lösch alles was du nicht kennst!
Sollte dies funktionieren, erstell ein Hijacklog und poste das Ergebnis..

Gruß
Daniel

Hi,

HJ hatte ich auch schon durchlaufen lassen, das problem ist, dass man keine maliziösen einträge findet, nicht im Autostart/Systemstart oder im HJLog.

Nichtsdestotrotz, hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 20:45:20, on 21.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\oodag.exe
G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
G:\Programme\Softwin\BitDefender9\vsserv.exe
G:\WINDOWS\system32\devldr32.exe
H:\DAEMON Tools\daemon.exe
H:\iTunes\iTunesHelper.exe
G:\Programme\iPod\bin\iPodService.exe
G:\WINDOWS\system32\atwtusb.exe
G:\Programme\Softwin\BitDefender9\bdmcon.exe
G:\Programme\Softwin\BitDefender9\bdoesrv.exe
G:\Programme\Softwin\BitDefender9\bdswitch.exe
G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
G:\Programme\Opera 9 Beta\Opera.exe
G:\DOKUME~1\L.Ars\LOKALE~1\Temp\Rar$EX00.043\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atomfilms.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A6AF877-EAF9-640C-9ECF-9BFBFCCD1512} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "H:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "H:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [BDMCon] "G:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "G:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "G:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{53133DBF-9078-4435-BE7C-866198FEBE8D}: NameServer = 217.237.149.225 217.237.150.188
O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - G:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - d:\programme\norton internet security\norton antivirus\navapsvc.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - G:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - G:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

...
...im abgesicherten Modus, fährt er natürlich ohne Probleme hoch, auch mit der Windows-Installation, die ich auf einer anderen Partition laufen habe, keine Problem. Merkwürdig sind für mich immer noch die Dateien, die sich nur beim Systemstart, auf meinem Rechner zu befinden scheinen.

so denn, Lars

Hallo,

naja ein paar Auffälligkeiten gibt es schon, hast Du z.B. ein Wacom Pen Tablet HID?

Wenn nein z.B. diese Datei

G:\WINDOWS\system32\atwtusb.exe

bei http://www.virustotal.com scannen lassen, Ergebnis hier posten.
Dann die Frage, warum Dein OS auf "G:" liegt, was liegt davor?
Und warum lese ich Symantec und Softwin in Deinem Log?

edit:

Zitat:

G:\Programme\Opera 9 Beta\Opera.exe

die Beta solltest Du auch mal aktualisieren, falls noch nicht geschehen. /edit

Gruß

Schrulli

"hast Du z.B. ein Wacom Pen Tablet HID"
nein, ich hab ein Trust Pen Tablet.

"warum Dein OS auf "G:" liegt"
meine Windows liegt auf G, weil bei der Installation die IDE Platte noch vor der ATA erkannt wird, als o C: schon vergeben war, n bekanntes XP Problem soweit ich weiß.

"warum lese ich Symantec und Softwin"
Du ließt Symantec und Softwin, wel ich sich Noton Internet Security nicht 100 pro deinstallieren ließ, keine Ahnung wieso, und ich auf BitDefender umgestiegen bin.

Ich wußte noch gar nicht das es schon ne offizielle Opera9 version gibt. werd ich gleich mal aktualisieren.

Hi,
Ich hatte ein ähnliches Problem. Leerer Desktop für ca. 1,5 min. Allerdings hat meine Rechner 'gewartet' im Leerlauf.
Grund dafür war der Bonjour-Dienst, der mit iTunes 7 installiert wird. Es handelt sich um einen DNS Autoresponder, der im Netzwerk die Kommunikation mehrerer iTunes Rechner erlaubt. Wie auch immer.
Im Ereignis Protokoll stand immer, das der Dienst nicht korrekt gestartet sei. Bei den Diensten steht aber der Zusatz 'gestartet'.
Ich habe ihn beendet und auf 'manuell' eingestellt. Jetzt startet mein Rechner wieder normal ohne Verzögerung.
Vielleicht hilft es dir - habe an deinem HK log gesehen, das du iTunes installiert hast.

Gruss
prmusic

Vielen Dank,

hab mein System bereits wieder von Grund auf erneuert, also besteht besagtes Problem nicht mehr. Ich glaube auch nicht, dass es an dem Bonjour-Dienst lag (ich glaube zu diesem Zeitpunkt war iTunes 6 noch aktuell), finde ihn auch gar nicht in meinen Diensten.

Das merkwürdigste waren aber die Programme im Taskmanager die als Benutzer "xCOCcSCWDwJbrs" gestartet wurden und die diversen Dateien im Programme-Ordner.

Naja, ist seit der Neuinstallation des OS nicht wieder aufgetreten.

Dennoch Danke für die Posts.