Hallo alle zusammen,

ich habe ein grosses Problem, Windows braucht lange zum starten, dann wenn ich zu früh den IE öffne stürzt der Rechner ab. Ich kann nichts machen.

Da ich schon mehrfach Scanner am laufen hatte, habe ich mal eine sogenannte HijackThis erstellt, was immer das ist, vielelicht kann mir jemand von euch helfen.

Mir ist gerade aufgefallen wenn ich mit dem Online Virus checkker : Trend Micro House Call meinen rechner überprüfe geht immer kurz vor Ende der IE zu und das kann ich ganz normal weiter machen, ich denke da steckt irgendwo was drin.

Logfile of HijackThis v1.99.1
Scan saved at 17:07:06, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
G:\XPHOME\System32\smss.exe
G:\XPHOME\system32\winlogon.exe
G:\XPHOME\system32\services.exe
G:\XPHOME\system32\lsass.exe
G:\XPHOME\system32\Ati2evxx.exe
G:\XPHOME\system32\svchost.exe
G:\XPHOME\System32\svchost.exe
G:\XPHOME\system32\svchost.exe
G:\XPHOME\system32\Ati2evxx.exe
G:\XPHOME\Explorer.EXE
G:\XPHOME\system32\spoolsv.exe
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Trojancheck 6\tcguard.exe
G:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
G:\XPHOME\SOUNDMAN.EXE
G:\XPHOME\system32\ctfmon.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\XPHOME\system32\tcpsvcs.exe
G:\XPHOME\System32\snmp.exe
G:\XPHOME\system32\svchost.exe
G:\DOKUME~1\SASCHA~1.REC\LOKALE~1\Temp\Temporäres Verzeichnis 2 für ProcessExplorer.zip\procexp.exe
G:\XPHOME\system32\wscntfy.exe
G:\Programme\PC Connectivity Solution\ServiceLayer.exe
G:\Programme\Internet Explorer\iexplore.exe
G:\DOKUME~1\SASCHA~1.REC\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
G:\DOKUME~1\SASCHA~1.REC\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
G:\XPHOME\Explorer.EXE
G:\Programme\WinRAR\WinRAR.exe
G:\DOKUME~1\SASCHA~1.REC\LOKALE~1\Temp\Rar$EX00.672\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.travian.at/login.php?id=360766&c=087
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] G:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ATIPTA] G:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [IMJPMIG8.1] "G:\XPHOME\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] G:\XPHOME\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [mwavscan] "G:\DOKUME~1\SASCHA~1.REC\LOKALE~1\Temp\mexe.com" /s /AUTORUNBOOT
O4 - HKCU\..\Run: [ctfmon.exe] G:\XPHOME\system32\ctfmon.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: G:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171013128548
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F23FCD9-5391-4C40-8145-42586EEE5D69}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F23FCD9-5391-4C40-8145-42586EEE5D69}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS3\Services\Tcpip\..\{0F23FCD9-5391-4C40-8145-42586EEE5D69}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - G:\XPHOME\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\XPHOME\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\XPHOME\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - G:\XPHOME\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\XPHOME\system32\ZoneLabs\vsmon.exe

Hi,

einmal fixen bitte:

Zitat:

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

Ansonsten ist dein LogFile unauffällig. Mach bitte folgendes:

Anleitung SmitfraudFix:
Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Arbeiten mit MWAV (eScan):
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:
* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

mfg Cleriker

Blacklight hat absolut nichts gefunden, keine items found.

Hier der Rapport von SmitfraudFix :

SmitFraudFix v2.142

Scan done at 18:09:09,20, 17.02.2007
Run from G:\Dokumente und Einstellungen\Sascha.RECHNER\Eigene Dateien\Empfangene dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» G:\


»»»»»»»»»»»»»»»»»»»»»»»» G:\XPHOME


»»»»»»»»»»»»»»»»»»»»»»»» G:\XPHOME\system


»»»»»»»»»»»»»»»»»»»»»»»» G:\XPHOME\Web


»»»»»»»»»»»»»»»»»»»»»»»» G:\XPHOME\system32


»»»»»»»»»»»»»»»»»»»»»»»» G:\XPHOME\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» G:\Dokumente und Einstellungen\Sascha.RECHNER


»»»»»»»»»»»»»»»»»»»»»»»» G:\Dokumente und Einstellungen\Sascha.RECHNER\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» G:\DOKUME~1\SASCHA~1.REC\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» G:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Laut MWAV auch nichts gefunden. Wenn er die Logdatei sucht schliesst sich der Finder, somit schreibe ich es nur so das er nichts gefunden hat.

Also scheinbar nichts schädliches auf meinem System trotzdem alles komisch, naja suche ich mal weiter.