Hallo liebe Helferinnnen und Helfer,

Problem:
ich wundere mich schon seit längerer Zeit darüber, dass mein Rechner sehr langsam startet (6 Minuten) und der Browser (Firefox) auch ca. 30 sec. braucht um zu starten. Aktuell ist bei dem Browser jetzt auch der Button von dem Add-On "No-Script" nicht mehr aufzufinden, so dass ich Scripte nicht mehr zulassen oder verbieten kann.
Versuchte Lösungen:
Zunächste habe ich mein Arbeitsspeicher auf 1GB erhöht (mein zweiter Arbeitsspeicher [500 MB] wird seitdem nicht mehr erkannt, aber das ist ein anderes Problem) Dies brachte aber nicht die erhoffte Lösung.
Ich habe mir daraufhin Norton Antivir gekauft, defragmentiert, viele Dateien beim Systemstart deaktiviert, viele überflüssige Dienste deaktiviert und schließlich Spybot Search&Destroy installiert und laufen lassen. Er hat wie üblich viele verfolgende Cookies gefunden allerdings auch 2 Probleme bei der Firewall festgestellt und ein Problem beim SecurityCenter. (Asche auf mein Haupt: ich habe es gefixt aber nicht gespeichert um es hier zu posten).
Anschließend habe ich mit Hilfe von HijackThis ein Log erstellt. Wie die meisten habe auch ich ein Problem aus den ganzen Einträgen eventuelle Gefahren zu lokalisieren.
Hilfe:
Ich wäre deshalb sehr dankbar, wenn sich jemand meiner annehmen würde und mir mitteilt, ob in meinem Log auffällige Dinge zu finden sind. Sollte hier nichts vorliegen wäre ich auch über weitere Ratschläge dankbar!
Von daher schonmal thanks in advance!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:56, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
C:\WINDOWS\system32\ICO.EXE
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\FSRremoS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-502532856-4213931016-2963220762-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '***')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192785465468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192783370500
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - h**p://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - h**ps://www.heitman.com/login/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD14F5E-F4F3-4D28-B97B-C7713CB41D87}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: SymantecAntiBotAgent - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
         

Hallo justaname,

schöner, strukturierter Post

Logfile:
völlig unauffällig

Ratschlag:
Malwarebytes Anti-Malware und SUPERAntiSpyware laufen lassen. Alle anderen AV-Programme während dessen komplett beenden. Logfiles posten.

Grüße
a5cl3p1o5

@a5cl3p1o5, ehemals 45cl3p1u5:

vielen Dank für die schnelle Antwort und Hilfe.
Gerade immunisiert SB S&D noch ein wenig rum - was wahrscheinlich noch ein wenig dauert.
Deshalb werde ich Deine empfohlenen Programme wohl erst morgen ausführen können. Es wäre schön, wenn Du dann nochmal zur Verfügung stehen würdest. Bis dahin wünsche ich Dir einen schönen Abend oder besser Nacht...

@justaname, schon immer justaname

ich werde voraussichtlich erst morgen Abend wieder zur Verfügung stehen. Vielleicht hilft Dir bis dahin schon jemand anderes. Ansonsten bis morgen Abend.

Grüße
a5cl3p1o5

@a5cl3p1o5:

Problem ist, dass der Scan bei Malwarebytes' Anti-Malware bei den Dateien im Ordner "C:\WINDOWS\Installer... abschmiert. Sobald ich wieder die Herrschaft über meinen Rechner habe, werde ich den anderen Scan laufen lassen und mich dann wieder melden. THANKS!

@a5cl3p1o5:

Hallo,

ich habe jetzt beide laufen lassen mit dem vorher genannten Resultat für Malwarebytes Anti-Malware.

SuperAntiSpyware hat außer verfolgenden Cookies, die ich schon gelöscht habe, nichts gefunden. Von daher scheint keine bekannte Spyware für die Langsamkeit meines Rechners verantworlich zu sein.

Ich werde mich jetzt im Netz mal auf die Suche machen, woran es liegt, dass der zweite Arbeitsspeicher nicht mehr erkannt wird. Vielleicht komme ich ja auch in diesem Zusammenhang auf eine Idee weshalb der Rechner/Browser so langsam startet.
Dank Dir für Deine Hilfe!

Viele Grüße justaname.

Noch ein Nachtrag,

in dem ersten Log habe ist folgende Zeile auf mein Interesse gestoßen:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD14F5E-F4F3-4D28-B97B-C7713CB41D87}: NameServer = 213.191.92.86 62.109.123.7

Bei allen anderen Zeilen habe ich irgendwas Bekanntes ausmachen können. Was hat es denn hiermit auf sich?

Viele Grüße justaname...

Hallo,

das sind IP-Adressen, von denen Dein Computer Domainnamen bezieht. Wenn Du z.B. google.de eingibst, dann weiß Dein Computer nichts damit anzufangen, sondern fragt erstmal bei einem DNS-Server, wer google.de ist. Der DNS-Server antwortet dann mit einer IP und Du kannst mit der IP die Seite google.de aufrufen.
Beide IP-Adressen sind von Hansenet. Daher gehe ich davon aus, dass Dein Provider Alice ist. Korrekt?

Grüße
a5cl3p1o5

Hi a5cl3p1o5,

Ich scheute mich die IP Adressen einzugeben. Gibt es eine sichere Art den Namen von IP Adressen herauszufinden, oder gibst Du sie einfach ein?

Gruß justaname

Mit einer sog. whois-Abfrage kann man die Daten ermitteln:

IP: 62.109.123.7

Zitat:

Using server whois.ripe.net.
Query string: "-V Md4.7 62.109.123.7"

% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '62.109.64.0 - 62.109.127.255'

inetnum: 62.109.64.0 - 62.109.127.255
org: ORG-HTG2-RIPE
netname: DE-HANSENET-20010803
descr: HanseNet Telekommunikation GmbH
descr: Provider Local Registry
country: DE
admin-c: DM3738-RIPE
tech-c: TG819-RIPE
tech-c: SA1375-RIPE
tech-c: ASZ-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered

organisation: ORG-HTG2-RIPE
org-name: HanseNet Telekommunikation GmbH
org-type: LIR
address: Ueberseering 33a
address: 22297
address: Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
admin-c: DM3738-RIPE
admin-c: TINO1-RIPE
mnt-ref: HANSENET-NOC
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Danny Maack
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: GERMANY
phone: +49 40 237 26 0
fax-no: +49 40 237 26 3996
abuse-mailbox: abuse@hansenet.com
nic-hdl: DM3738-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

person: Andreas Schwarz
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: 22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 3772
remarks: PGP/GPG Key ID 0x3C40103A
nic-hdl: ASZ-RIPE
mnt-by: ASZ-MNT
source: RIPE # Filtered

person: Thomas Graumann
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: 22297 Hamburg
address: Germany
address: DE
phone: +49 40 23726 3294
fax-no: +49 4023726 3772
abuse-mailbox: abuse@hansenet.com
nic-hdl: TG819-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

person: Svend Andersen
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: GERMANY
phone: +49 40 237 26 3235
fax-no: +49 40 237 26 3772
abuse-mailbox: abuse@hansenet.com
nic-hdl: SA1375-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

% Information related to '62.109.64.0/18AS13184'

route: 62.109.64.0/18
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

IP: 213.191.92.86

Zitat:

Using server whois.ripe.net.
Query string: "-V Md4.7 213.191.92.86"

% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '213.191.64.0 - 213.191.95.255'

inetnum: 213.191.64.0 - 213.191.95.255
org: ORG-HTG2-RIPE
netname: DE-HANSENET-20000410
descr: HanseNet Telekommunikation GmbH
descr: Provider Local Registry
country: DE
admin-c: DM3738-RIPE
tech-c: TG819-RIPE
tech-c: SA1375-RIPE
tech-c: ASZ-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered

organisation: ORG-HTG2-RIPE
org-name: HanseNet Telekommunikation GmbH
org-type: LIR
address: Ueberseering 33a
address: 22297
address: Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
admin-c: DM3738-RIPE
admin-c: TINO1-RIPE
mnt-ref: HANSENET-NOC
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Danny Maack
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: GERMANY
phone: +49 40 237 26 0
fax-no: +49 40 237 26 3996
abuse-mailbox: abuse@hansenet.com
nic-hdl: DM3738-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

person: Andreas Schwarz
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: 22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 3772
remarks: PGP/GPG Key ID 0x3C40103A
nic-hdl: ASZ-RIPE
mnt-by: ASZ-MNT
source: RIPE # Filtered

person: Thomas Graumann
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: 22297 Hamburg
address: Germany
address: DE
phone: +49 40 23726 3294
fax-no: +49 4023726 3772
abuse-mailbox: abuse@hansenet.com
nic-hdl: TG819-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

person: Svend Andersen
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: GERMANY
phone: +49 40 237 26 3235
fax-no: +49 40 237 26 3772
abuse-mailbox: abuse@hansenet.com
nic-hdl: SA1375-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

% Information related to '213.191.64.0/19AS13184'

route: 213.191.64.0/19
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

Grüße
a5cl3p1o5

Cool, Danke.

Jetzt muss ich nur noch meinem Browser lehren das Protokoll zu öffnen. ;-)

Dank Dir für Deine Hilfe!

Hier nochmal ein Update der Probleme:

Aktueller Status Browserstart: Firefox ist deinstalliert und google chrome installiert (extrem schneller start!). Da jedoch unter Sicherheitsgesichtspunkten Google Chrome nicht das gelbe vom Ei ist, werde ich wohl Firefox nochmal installieren und schauen ob es besser geworden ist.


Aktueller Status Systemstart: System startet in angemessener Zeit. Einziges Problem ist, dass er nach der Deinstallation von " Malwarebytes Anti-Malware " beim Systemstart diesen nicht findet. So lange ich diesen Hinweis nicht mit einem Klick auf "OK" gewürdigt habe setzt er den Startprozess nicht fort. Hier wäre nun meine simple

Frage: was tun? Er gibt während des Systemstarts die Meldung raus, dass er ..."\malwarebytes" nicht findet. Kann er auch nicht, da ich es deinstalliert habe. Im Autostart ist es auch nicht mehr enthalten. Unter Dienste finde ich auch nichts mehr. Also weshalb versucht er (vor allen Dingen was?!) da immer noch was beim Systemstart zu finden?

Thanks again!