Ich habe folgendes Problem: Ca. 5 Minuten nach Aufbau der Internet-Verbindung reagiert die Taskleiste nicht mehr. Ausserdem: taskmgr.exe reagiert nicht mehr und sogar der Befehl "tasklist" in MS-DOS kommt nicht mehr zurück. Im offline passiert es nicht.

Ein Virus-Scan (McAfee) hat diese 5 Files gefunden:
c:\WINDOWS\progman.ini:xftyhq New Malware.q(Trojan)
c:\WINDOWS\SUSSET.dat:yuxagy New Malware.q(Trojan)
c:\WINDOWS\_default.pif:bgzqet New Malware.q(Trojan)
c:\WINDOWS\_default.pif:ipjesx New Malware.q(Trojan)
c:\WINDOWS\_default.pif:vrjyvr New Malware.q(Trojan)
c:\WINDOWS\_default.pif:wwfslu New Malware.q(Trojan)
die aber laut der McAfee Homepage als "low risk" eingestuft sind. Also vermute ich daß die nicht mit meinem Taskleisten-Problem zu tun haben.

Ad-Aware SE Personal and Spybot haben auch nichst nennenswertes gefunden (nur tracking cookies die ich alle gelöscht habe).

HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:17, on 14.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\srvany.exe
c:\program files\sapdb\indep_prog\pgm\serv.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Compaq\EAB\EABSERVR.EXE
C:\Program Files\T-DSL SpeedManager\SpeedMgr.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\T-DSL SpeedManager\tsmsvc.exe
C:\Freeware\ProcessExplorerNt\procexp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToConnKi.exe
C:\Freeware\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.startup.homepage", "file:///xxx)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_Germany.src"); (C:\Documents and Settings\d002441\Application Data\Mozilla\Profiles\default\8opxbm3y.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Plugin Class - {56CD20F0-7C09-11D5-A768-0050042307CE} - C:\Program Files\PlayerIE.dll
O4 - HKLM\..\Run: [SAP SDFUL] sdful.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AdminCheck] wscript "C:\Program Files\xxx\eus\_admincheck.vbs"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EABSERVR.EXE /Start
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Program Files\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: SSOUser.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://xxxx
O15 - Trusted Zone: *.xxx.corp (HKLM)
O16 - DPF: {D84C4D49-A63A-4432-B319-718ECA705773} - https://xxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B7A987-D192-4EAC-80DF-1B4548468392}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = xxx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = xxx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = xxx
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Rescue_Account - Unknown owner - C:\WINDOWS\srvany.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Program Files\T-DSL SpeedManager\tsmsvc.exe


===> Ist da vielleicht etwas dabei was mein Taskleisten-Problem verursachen könnte?

Guten Morgen,

c:\program files\sapdb\indep_prog\pgm\serv.exe


Ist Dir das bekannt?
Mal bei Jotti und Virustotal Auswerten lassen und das gesamte Ergebnis Posten!


Gruß Mellosun

Zitat:

Zitat von Mellosun

c:\program files\sapdb\indep_prog\pgm\serv.exe
Ist Dir das bekannt?

Ja, ist mir bekannt. Das ist Teil einer http://www.mysql.com Datenbank welche auf meinem PC installiert ist. Viel macht das Teil nicht: Es ist nur ein Service der darauf wartet ob eine Datenbank hochgefahren wird um dann die erforderlichen Aktionen einzuleiten. Für das Teil kann ich meine Hand ins Feuer legen zumal die Software unverändert seit Jahre stabil bei mir läuft. Insofern sehe ich keinen Handlungsbedarf den MySQL Service bei Jotti und Virustotal auswerten zu lassen.


Die anderen Prozesse im geposteten HijackThis-Log sind alle harmlos?


Könnten die 5 Treffer vom McAfee Virus-Scan
c:\WINDOWS\progman.ini:xftyhq New Malware.q(Trojan)
c:\WINDOWS\SUSSET.dat:yuxagy New Malware.q(Trojan)
c:\WINDOWS\_default.pif:bgzqet New Malware.q(Trojan)
c:\WINDOWS\_default.pif:ipjesx New Malware.q(Trojan)
c:\WINDOWS\_default.pif:vrjyvr New Malware.q(Trojan)
c:\WINDOWS\_default.pif:wwfslu New Malware.q(Trojan)
eventuell doch etwas mit dem Problem zu tun haben? Ich habe gerade an einem anderen PC nachgeschaut (auch Windows XP SP1) und da existieren diese Files nicht.


Ergänzung zum ursprünglichen Posting:
Als ich heute ins Internet ging ohne irgendwelche Applikationen aufzumachen (außer Firefox), so lief der PC stabil. Bis ich den Windows Explorer (explorer.exe) aufmachte und mit Doppelcklick eine .TXT Datei öffnete. Dann schlug das Problem zu. Wenn ich dagegen offline bin, so machen explorer.exe + Doppelcklick keine Probleme. Sprich: Es passiert nur wenn ich gleichzeitig im Internet bin und etwas in explorer.exe anklicke.

Hallo nochmal,

was ist mit den 017 Einträgen? Was standen da für Zahlen dahinter?

Mache mal bitte einen eScan. Alles dazu gibt hier mit Anleitung.
Poste das Ergebnis mit Hilfe der Find.zip! ( Punkt [5] der Anleitung! )


Gruß Mellosun

Zitat:

Zitat von Mellosun

was ist mit den 017 Einträgen? Was standen da für Zahlen dahinter?

Da stand SearchList = xxx, wobei xxx=Homepage meines Arbeitgebers

Zitat:

Zitat von Klaus_R

Könnten die 5 Treffer vom McAfee Virus-Scan
c:\WINDOWS\progman.ini:xftyhq New Malware.q(Trojan)
c:\WINDOWS\SUSSET.dat:yuxagy New Malware.q(Trojan)
c:\WINDOWS\_default.pif:bgzqet New Malware.q(Trojan)
c:\WINDOWS\_default.pif:ipjesx New Malware.q(Trojan)
c:\WINDOWS\_default.pif:vrjyvr New Malware.q(Trojan)
c:\WINDOWS\_default.pif:wwfslu New Malware.q(Trojan)
eventuell doch etwas mit dem Problem zu tun haben?

Mit Altavista habe ich zu diesen Meldungen in einem USA-Forum einen Hinweis auf das "About Buster" Programm gefunden. Nach starten dieses Tools wurden diese Files bereinigt. Ausserdem hat es auch noch ein File C:\WINDOWS\System32\exycc.dat gelöscht, welches vom Virus-Scanner nicht gemeldet wurde.

Zitat:

Zitat von Mellosun

Mache mal bitte einen eScan. Alles dazu gibt hier mit Anleitung.

Bevor ich das starte hätte ich eine Frage zur Anleitung. Dort heisst es "Deaktiviere anschliessend die Systemwiederherstellung". Dies macht mir doch etwas Angst, denn wenn man die die Systemwiederherstellung deaktvitiert, dann könnte man doch auf keinen der alten Restore-Punkte zurückgehen, oder? Das wäre mir natürlich wichtig, denn falls das händische Suchen der Problemursache nicht zum Erfolg führen sollte, so würde ich auf einen Restore-Punkt von letzte Woche zurückgehen. Deshalb die Frage: Kann man eScan auch ohne deaktivieren der Systemwiederherstellung starten?

Abbei das Ergebnis von eScan (habe es ohne deaktivieren der Systemwiederherstellung gestartet!). Das gesamte log ist 10 MB groß, deshalb poste ich nur die "critical" Meldungen daraus:

-------------------------------------------------

Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\hsa !!!
Object "hsa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sw !!!
Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\dashbar !!!
Object "gain dashbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\gain publishing !!!
Object "claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\sites about !!!
Object "smartfinder Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending file found: C:\WINDOWS\instsrv.exe
System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.

File C:\System Volume Information\_restore{288977B1-D228-4EFE-8A58-4E4FC429DDCD}\RP293\A0068571.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet.e". Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall6_98.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet.e". Action Taken: No Action Taken.

--------------------------------------

Anmerkungen: Die "Offending Key" Log-Einträge scheinen Reste von Spyware zu sein, welche ich letzes Jahr bereinigt habe. Interessanter sind wohl die anderen drei Meldungen. Keins dieser drei programme ist mir bekannt. Könnten die etwas mit meinem Taskleisten-Problem zu tun haben?