PC lahm - hier mein HJT - Lofgile

Mojo_Risin · 03.03.2008, 19:55

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:56, on 03.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\RVS\COR\RVS_CENT.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195833780926
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXXX.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3674DE44-7993-4F1E-A16E-0F5E797CEA12}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{72DAB205-4002-41D8-B0E6-91570E5D167E}: NameServer = 192.168.100.199
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***rone.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TSI LinkToNet Service (INetSrv) - LapLink.com, Inc. - C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, München - C:\PROGRA~1\RVS\COR\RVS_CENT.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - LapLink.com, Inc. - C:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://****scout24.de/***/img/rps/3/4/1.gif

--
End of file - 6075 bytes

Hab so ein flaues Gefühl dass da so einiges im Argen liegt.
Was ich bisher getan habe:
Adware
Antivir
Registry Clean Up
Temp Files gelöscht
sowie diverse Freeware wie Spybot etc. - alles ohne Ergebnis, bzw. mit kleinen Funden jedoch keiner Systemverbesserung.

Meine CPU springt auf 100 % sobald ich im Netz bin.

Besten Dank für eure Hilfe.

myrtille · 04.03.2008, 11:44

Hi,
so direkt seh ich keinen Befall, allerdings könnte dein Internetproblem zb an diesem Eintrag liegen:

Zitat:

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

Hast du da letzten versucht etwas zu installieren? Hat die Installation geklappt?
Was nutzt den die gesamte CPU wenn du ins Netz gehst? Welche Prozesse laufen zusätzlich?

Lass bitte noch folgende Tools über deinen Rechner laufen und poste das Log hier, allerdings denke ich nicht, dass du infiziert bist.

Silentrunners
blacklight

lg myrtille

Mojo_Risin · 04.03.2008, 14:42

Danke erstmal!

Hab im Taskmanager auch so ein paar Dinger gefunden die auffällig viel Speicher fressen:
services.exe; explorer.exe; avguard.exe; svchost.exe; fsbl.exe
Gerade der avguard.exe nervt da er sich nicht löschen lässt.

Hoffe ich habe die Programme richtig angewandt, ist ne mords Liste....:aplaus:

Zitat:

Zitat von Silentrunners

Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"pdfSaver3" = ""C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"" ["Tracker Software Products Ltd."]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"WinVNC" = ""C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper" ["RealVNC Ltd."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"WINDVDPatch" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINNT\UpdReg.EXE" ["Creative Technology Ltd."]
"Jet Detection" = "C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [empty string]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{FA9ECA60-F5FE-11D1-A9AE-00E029170CEB}" = "RVS Shortcut InfoTip Handler"
-> {HKLM...CLSID} = "RVS Shortcut InfoTip Handler"
\InProcServer32\(Default) = "C:\WINNT\System32\RVSITIPS.DLL" ["RVS Datentechnik GmbH, München"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWA RE\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe" [MS], ["LapLink.com, Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> NavLogon\DLLName = "C:\WINNT\system32\NavLogon.dll" [null data]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "http://i.friendscout24.de/datingr5/img/rps/3/4/1.gif"
"SubscribedURL" = "http://i.friendscout24.de/datingr5/img/rps/3/4/1.gif"

Startup items in "Office" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"VR-NetWorld Auftragsprüfung" -> shortcut to: "C:\Programme\VR-NetWorld\VRToolCheckOrder.exe /autostart" [empty string]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClick.exe /schedulestart" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
RVS CAPI, RVS_CE, "C:\PROGRA~1\RVS\COR\RVS_CENT.EXE" ["RVS Datentechnik GmbH, München"]
TSI LinkToNet Service, INetSrv, "C:\PROGRA~1\LAPLIN~1\TSIINET.EXE" ["LapLink.com, Inc."]
TSI Remote Control Service, TSIRCSRV, "C:\WINNT\System32\TSIRCSRV.EXE" ["LapLink.com, Inc."]

Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]
PDF-XChange\Driver = "C:\WINNT\system32\pxc25pm.dll" ["Tracker Software"]
RVS Fax Monitor\Driver = "RVSMONNT.DLL" ["RVS Datentechnik GmbH, München"]
TSI Print Monitor\Driver = "tsimonnt.dll" ["LapLink.com, Inc."]

---------- (launch time: 2008-03-04 14:08:55)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 118 seconds, including 4 seconds for message boxes)

Zitat:

Zitat von Blacklight

03/04/08 14:00:59 [Info]: BlackLight Engine 1.0.67 initialized
03/04/08 14:00:59 [Info]: OS: 5.0 build 2195 (Service Pack 4)
03/04/08 14:01:00 [Note]: 7019 4
03/04/08 14:01:00 [Note]: 7005 0
03/04/08 14:01:04 [Note]: 7006 0
03/04/08 14:01:04 [Note]: 7011 284
03/04/08 14:01:04 [Note]: 7026 0
03/04/08 14:01:05 [Note]: 7026 0
03/04/08 14:01:10 [Note]: FSRAW library version 1.7.1024
03/04/08 14:09:25 [Note]: 7007 0

myrtille · 04.03.2008, 14:50

Die Logs sind sauber.
Es dürfte sich also nicht um Befall handeln.

Die services.exe & svchost.exe sind Windowsdateien, die sollten eigentlich nicht allzuviel Speicher fressen, müssen aber laufen
avguard.exe ist dein Antivirenprogramm, das kann man auf diese Art und Weise sicher nicht beenden, sonst würd das jeder Virus tun.

Ich würde auch nicht empfehlen, das zu beenden.

Und fsbl.exe ist blacklight, das ich dich eben hab ausführen lassen. Das sollte allerdings auch schon wieder verschwunden sein.

Es scheint als hättest du noch Reste von Symantec auf deinem Rechner:

Zitat:

O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe

Hast du in letzter Zeit Antivirenschutz gewechselt? Hattest du vorher auch schon Probleme?
Wie alt ist denn dein Rechner? Welche Hardware hat? Vielleicht ist das gute Stück auch einfach ausgelastet?
lg myrtille

cosinus · 04.03.2008, 14:54

Kurz einmisch:

Zitat:

O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe

VNC kann riskant sein. Hast du das selbst installiert?

Mojo_Risin · 04.03.2008, 15:22

Kann ich dir gar nicht sagen. Bin alles andere als ein Held an der Tastatur.
Was kann ich dagegen tun?

Mojo_Risin · 04.03.2008, 15:36

Zitat:

Zitat von myrtille

Hast du in letzter Zeit Antivirenschutz gewechselt? Hattest du vorher auch schon Probleme?

Nee, vorher keine Probleme. Seit knapp 4 Wochen ist er so lahm.
Virenprogramm wurde nichts großartig verändert. Hi und da mal ne Freeware um dem Fehler auf die Spur zukommen, aber nichts besonderes. Meistens hab ich die dann gleich wieder gelöscht.

Die Probleme sind aber nicht nur im Internet. Auch wenn ich Word oder Outlook öfffne dauert es teilweise bis zu einer Minute bis endlich das Programm startet.

Zitat:

Wie alt ist denn dein Rechner? Welche Hardware hat? Vielleicht ist das gute Stück auch einfach ausgelastet?
lg myrtille

Der neueste isser nicht. WIN2000, Service Pack 4
X 86 Familiy 6 Model 8 Stepping 3
AT/ AT compatible
261.664 kb RAM

Grafikkarte NVidia Riva 128/ 128 ZX; 4 MB Speicher

Danke und Gruß,

KarlKarl · 04.03.2008, 17:31

Hi,

kontrolliere doch mal folgendes:

Systemsteuerung -> System -> Register Hardware -> Gerätemanager. Dort "IDE ATA/ATAPI-Controller" aufklappen, für jeden Eintrag darunter Rechtsklick -> Eigenschaften. Dort jeweils bei den Channels nachsehen, welcher "Transfer Mode" eingestellt ist. Es sollte etwas mit "DMA" sein, auf keinen Fall was mit "PIO". Normalerweise ist es am besten, wenn "Let BIOS select transfer mode" gewählt ist.

Gruß, Karl

cosinus · 04.03.2008, 18:27

Zitat:

Zitat von Mojo_Risin

Kann ich dir gar nicht sagen. Bin alles andere als ein Held an der Tastatur.
Was kann ich dagegen tun?

VNC über Systemsteuerung/Software deinstallieren. Denn das ist ein Fernsteuerungstool, damit kann man von einem anderen PC aus deinen Desktop komplett steuern!

Also weg damit wenn du dich damit nicht auskennst und es auch nicht selbst installiert hast!

Mojo_Risin · 04.03.2008, 18:28

Erstmal danke für den weiteren Tipp.

Im "IDE ATA/ATAPI-Controller" habe ich drei Angaben:

Intel 82371 (dort gibt es wohl keinen Transfer Code)
Primärer Kanal
Sekundärer Kanal

Im primären und sekundären Kanal gab es jeweils "Gerät 1" und "Gerät 2".
Auf dem sekundären Kanal stand eine Angabe auf "PIO". Hab das jetzt angepasst so dass alles auf "DMA, wenn verfügbar" steht.

Starte jetzt mal neu und melde mich später wieder. Danke.

Mojo_Risin · 04.03.2008, 18:44

Umstellung ist angenommen, Computer neu gestartet, aber immer noch das selbe Problem. Das Hochfahren an sich geht in normaler Geschwindigkeit, d. h. der Desktop baut sich "relativ" schnell auf.

Antivir benötigt bestimmt knapp 50 Sekunden bis es im Hintergrund aufgebaut ist und blockiert während dieser Zeit jeden anderen Vorgang. Wenn das dann erstmal steht geht es einigermaßen, aber dennoch deutlich langsamer wie noch vor kurzem.

Überlastet kann er nicht sein, oder? Hatte vor kurzem sogar nen ICQ drauf. Dachte dass wäre das Problem und habs runtergeschmissen. Keine Veränderung.
Auch beim Degfragmentieren bekomm ich die Angabe dass knapp 45% Speicherkapazität frei wären.

Mojo_Risin · 04.03.2008, 18:51

Zitat:

Zitat von root24

VNC über Systemsteuerung/Software deinstallieren. Denn das ist ein Fernsteuerungstool, damit kann man von einem anderen PC aus deinen Desktop komplett steuern!
Also weg damit wenn du dich damit nicht auskennst und es auch nicht selbst installiert hast!

Erledigt! Danke.

Mojo_Risin · 05.03.2008, 11:41

Lahm ist mein PC aber dennoch. Noch jemand mit nem guten Tipp?

cosinus · 05.03.2008, 12:01

Ich weiß nicht ob das eine Bremse ist, aber brauchst du wirklich diesen Laplink Gold dingsbums?

Laplink® Software - Laplink Gold - Ãœbersicht

Das kann ebenfalls als Fernwartungstool (anscheinend ähnlich wie VNC) eingesetzt werden. Wer installiert das immer auf diesen PC?

Wird der rein privat genutzt? Oder hatte der PC mal einen Vorbesitzer und das System wurde nicht neu aufgesetzt...

PC lahm - hier mein HJT - Lofgile

Log-Analyse und Auswertung: PC lahm - hier mein HJT - Lofgile