hallo,
in letzter zeit wird mein pc immer langsamer!! und ich weiss nicht ob ich einen virus hab. ich habe in letzter zeit viel von torrent geladen, und ob ich mir da vlt nen virus eingefangen hab

auf jeden fall stürzen in letzter zeit immer häufiger programme ab, z.B. "firefox.exe hat ein problem festgestellt und muss beendet werden. Problembericht senden/nicht senden"
ich habe erst so vor ungefähr 2 monaten neu aufgesetzt. ist vielleicht irgendetwas auffälliges an meinen hijack?:





Logfile of HijackThis v1.99.1
Scan saved at 19:34:50, on 18.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\*****\Desktop\ZoomIt.exe
C:\Programme\SuperCopier2\SuperCopier2.exe
D:\Programme\ObjectDock\ObjectDock.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\Programme\CCleaner\ccleaner.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\*****\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sysinternals Screen Magnifier] C:\Dokumente und Einstellungen\****\Desktop\ZoomIt.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Programme\SuperCopier2\SuperCopier2.exe
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\ObjectDock\ObjectDock.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\******\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - D:\Programme\Advanced Registry Doctor\RegManServ.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: T-DSL Manager (TDslMgrService) - Unknown owner - D:\Programme\T-DSL Manager\DslMgrSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





falls ich noch irgendwelche angaben machen muss, bitte sagst mir
thx in advance

Hallo das sieht übel aus.

Fixe folgenden Eintrag im angesicherten Modus:

* O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 *

Dann mache bitte einen eScan nach Anleitung aus meiner Signatur

Zitat:

ch habe in letzter zeit viel von torrent geladen,

das ist strafbar und gefährlich.

Zitat:

Zitat von undoreal

Hallo das sieht übel aus.

Fixe folgenden Eintrag im angesicherten Modus:

* O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 *

Dann mache bitte einen eScan nach Anleitung aus meiner Signatur
.

sorry bin neu hier, wie meinst du das mit sichern? ich hab mal in den regedit (im nicht abgesicherten mod) reingeschaut, und da gibt es "DisableRegedit=1" nicht!?!
also ich hab hier mal an screenshot von meinen regedit gemacht, bitte sag mir was ich tun soll
escan mach ich danach

o.k. kein Problem.

Du wechselst in den abgesicherten Modus (F8 beim Hochfahren) und startest dort Hijackthis. Nun lässt du dein System überprüfen und suchst dir danach den Eintrag
* O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 *
raus; setzte hinter ihm ein Häkchen und drücke unten den Button "fix checked".
Danach startest du den Rechner ganz normal und führst die Anleitung aus meiner Signatur zu eScan/MWAVE aus.
Gruß
Undoreal

Zitat:

Zitat von undoreal

Du wechselst in den abgesicherten Modus (F8 beim Hochfahren) und startest dort Hijackthis. Nun lässt du dein System überprüfen und suchst dir danach den Eintrag
* O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 *
raus; setzte hinter ihm ein Häkchen und drücke unten den Button "fix checked".

Hab ich gemacht

Zitat:

Zitat von undoreal

Danach startest du den Rechner ganz normal und führst die Anleitung aus meiner Signatur zu eScan/MWAVE aus.

hier:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.4
Sprache: German
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula toptext Spyware/Adware (engines.dat)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\****\Desktop\Bildschirm schoner\fireworks18wh.exe//WISE0016.BIN/wbhshare.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.bb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\*****\Desktop\Bildschirm schoner\fireworks18wh.exe//WISE0016.BIN/wbhshare.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.bb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Programme\aLustige Progs!!\prolangeweile.exe markiert als not-virus:BadJoke.Win32.VB.ai. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tamosoft\smartwhois\engines.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c197fed6-d30c-11db-9b67-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {c197fed6-d30c-11db-9b67-806d6172696f}\Name\Shell\AutoRun\command: E:\SETUP.EXE
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 169248
Gefundene Viren: 10
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 34
Dauer des Scans bisher: 01:17:26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:08:20,75
Batchende: 14:09:13,04





Und jetzt?
PS: du hast recht gehabt, sieht echt übel aus..10 viren

Hmmm. Da hätte ich mehr erwartet.

Vertraust du diesem Prog: prolangeweile.exe ?

Lade dir killbox.

Wechsel in den abgesicherten Modus und starte das Prog.

Markiere die Option "Delet on Reboot".

Suche dir folgende Dateipfade raus und klicke danach auf das rote X. Du wirs gefragt ob du den Rechner Neustarten willst; verneine bis du alle Dateien aufgerufen hast. Bei der letzten drückst du auf "Yes".

" C:\Dokumente und Einstellungen\****\Desktop\Bildschirm schoner\fireworks18wh.exe//WISE0016.BIN/wbhshare.dll "

" C:\Dokumente und Einstellungen\*****\Desktop\Bildschirm schoner\fireworks18wh.exe//WISE0016.BIN/wbhshare.dll "

wenn du dem hier nicht vertraust dann hau es auch weg..

" D:\Programme\aLustige Progs!!\prolangeweile.exe ".

Nach dem Neustart lasse mal cCleaner aufräumen. Die Registry musst du mehrmals durchsuchen lassen.

Danach poste bitte ein neues HijackThis log ! !

Dann solltest du mal alle Laufwerke Defragmantieren lassen aber sauber müsstest du dann eigentlich sein..

Gruß

Undoreal