einige windows programme stürzen direkt nach start ab, zb mediaplayer und messenger. Hab auch das gefühl das der pc generell langsamer sit. Antivir hatte letztens noch nix erkannt
Hier das logfile:



Logfile of HijackThis v1.99.1
Scan saved at 20:25:44, on 30.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\spd.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\cFosSpeed.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Coci.XPNEU\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: IEHlprObj Class - {F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} - LineAudio.dll (file missing)
O4 - HKLM\..\Run: [Ins3DT] G:\INSTALL4\INS3DT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [cctray] "C:\Programme\CA\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS.0\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.0\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\spd.exe" -service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

danke schonmal im voraus

Hi,

kein Wunder. Wenn man alles installiert, was sich Virenscanner oder Firewall nennt, dann ist ds ganz normal. Alles deinstallieren, ein Virenscanner soll bleiben, eine Firewall darf bleiben, falls die von Windows dir nicht ausreichend erscheint.

Und was ist das?

Code: Alles auswählenAufklappen

ATTFilter

G:\INSTALL4\INS3DT.EXE
         

Wenn nicht bekannt (vermute ich stark), bei VirusTotal scannen lassen und Ergebnisse inklusive Dateigröße, MD5, usw. hierher kopieren. Vielleicht ist damit dann alles klar.

Gruß, Karl

ertsmal danke für die schnelle antwort!

ins3dt.exe soll ja laut hjt im laufwerk G: sein. Es ist mein cd-rw laufwerk

Leider lässt sich dort nix finden.Auch wenn ich über ordneroptionen alle geschützten systemdateien usw anzeigen lasse. Worann könnts liegen?

Danke im voraus

Hallo,
man beachte auch diesen Eintrag :

Zitat:

C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe

Die 0 hinter Windows steht in aller Regel für zwei Möglichkeiten....
Entweder Windows drüber gebügelt,oder eine geklaute Version.
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,
man beachte auch diesen Eintrag :


Die 0 hinter Windows steht in aller Regel für zwei Möglichkeiten....
Entweder Windows drüber gebügelt,oder eine geklaute Version.
Irrlicht

haha keine angst, is keine geklauter version, wurde ma drübergebügelt,
kann gerne ein foto von der cd machen...
aber zurück zum thema:
Falls ich eine cd mit der datei finde , wie soll ich dann vorgehen

danke im voraus

Die Datei mal online scannen lassen. Es kann auch was anderes sein, aber der Name verheißt nichts gutes. Und auf jeden Fall vermeiden daß der Rechner mit der eingelegten CD gestartet wird, ebenso Ab- und Anmeldung eines Benutzers, das würde den Start der Datei verursachen.

Hallo,

Zitat:

haha keine angst

Ich ?? wovor ?? Es ist deine Kiste....

Zitat:

is keine geklauter version, wurde ma drübergebügelt

Dieb oder Depp...letztendlich ist das egal...
Du bist derjenige,der mit den kryptischen Fehlermeldungen kämpfen darf...

Zitat:

kann gerne ein foto von der cd machen...

Geschenkt...

Da eh schwer zu vermuten ist,das du üblem Zeug auf deiner Kiste Unterschlupf gewährt hast,wäre eine Neuinstallation am Angebrachtesten.
Irrlicht

Kann schon sein. Dann hat irgendeine Software-CD, die Du da mal drinnen hattest, einen Starteintrag auf eine Datei dieser CD gesetzt. Eine kurze Google Recherche mit dem Dateinamen hat massig Hinweise auf eine Backdoor erbracht, aber Dateinamen sind natürlich nicht eindeutig. Es wäre aber sinnvoll, daß Du deinen Bestand an CDs mal durchsiehst, auf einer wird es einen Ordner INSTALL4 mit dieser Datei da drinnen geben.