HI, kann jemand diesen HiJackThisLog auslesen

BlingBling · 14.09.2004, 15:43

Hier die probleme:
Grafikaussetzer (nur bei bestehender Internetverbindung), ein Systemprozess der das System auslastet (im taskmanager der vor dem Leerlaufprozess).
Hier der Log:
Logfile of HijackThis v1.98.2
Scan saved at 16:09:03, on 14.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\PC-Cillin\Tmntsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\PC-Cillin\PCCPFW.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\PC-Cillin\pccguide.exe
D:\Programme\PC-Cillin\PCCClient.exe
D:\Programme\PC-Cillin\Pop3trap.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\PC-Cillin\WebTrap.EXE
D:\Programme\ICQLite\ICQLite.exe
E:\Zeuch\systemprogs\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programme\PC-Cillin\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programme\PC-Cillin\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programme\PC-Cillin\Pop3trap.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...64106/thin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4C9A543-3F36-4815-9BA6-6E171A566B37}: NameServer = 217.237.149.161 217.237.151.225

Wär cool wenn jemand helfen könnte.Dank schonma.

Cidre · 14.09.2004, 17:42

Hallo,

dein Log-File ist sauber!

Zitat:

ein Systemprozess der das System auslastet (im taskmanager der vor dem Leerlaufprozess).

Du meintest sicherlich den zwischen winlogon.exe und svchost.exe.

Mal im Ernst, wie heißt dieser Prozess?

BlingBling · 14.09.2004, 22:55

Hi erstmal schönen dank für antwort also der prozess nennnt sich system und wird unter dem Benutzernamen system gestartet. Und schwankt ständig zwischen 0 und 20 hin und her. Ich bin der Server hier im netzwerk und mein kollege der sozusagen hinter mir sitz hat dies nicht. un ha t auch keine grafikaussetzer.

Cidre · 14.09.2004, 23:05

Lade dir mal den Process Explorer runter, mit diesem Tool kannst du vielleicht die Ursache lokalisieren.
Wie äußern sich die Grafikaussetzer?

MountainKing · 14.09.2004, 23:06

Ist es vielleicht die cthelper.exe? Die ist dafür bekannt, dass sie immer mal solche Probleme verursacht und ist außerdem überflüssig, du kannst sie also aus dem Autostart entfernen.

Bsp. damit:

http://www.mlin.net/StartupCPL.shtml

oder halt mit msconfig.

BlingBling · 15.09.2004, 18:02

Schönen dank für eure Meldungen,
das mit der cthelper.exe werd ich gleich mal checken und die Grafikaussetzer äussern sich zB beim Radsportmanager dadurch das es laggt und das wiederum nur bei bestehender Internetverbindung ohne läufts prima.

AntiVir · 15.09.2004, 18:59

So, mir ist diese Log nicht ganz geheuer...

Logfile of HijackThis v1.98.2
Scan saved at 19:56:59, on 15.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Winad Client\Winad.exe
C:\temp\msbb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [dslib] C:\WINDOWS\dslib.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...2ce89775140bcf
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

Vor allem bekomme ich andauernd Trojaner Warnung, wenn ich den Trojaner jedoch löschen, in quarantäne verschieben oder umbennen will, findet er die datei nicht...

bitte um hilfe...
danke im Voraus

Hoyko

rock · 15.09.2004, 19:44

@ AntVir,

gehört dein posting zu dem thema und zum anderen log dazu hier? finde den zusammenhang nicht.

in deinem log sind mindestens 6 oder 8 einträge die auf backdoor oder andere malware hinweisen. Sdbot, Rbot und konsorten schätz ich mal...

aktiviere die XP interne firewall, mach dringends microsoft updates wenn welche vorhanden sind! (sicherheitspatch)

dann check mit einem onlinescanner das system:
http://de.trendmicro-europe.com/ente...all_launch.php

rock

14.09.2004, 23:05	#4
Cidre Administrator, a.D.	HI, kann jemand diesen HiJackThisLog auslesen Lade dir mal den Process Explorer runter, mit diesem Tool kannst du vielleicht die Ursache lokalisieren. Wie äußern sich die Grafikaussetzer? __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

HI, kann jemand diesen HiJackThisLog auslesen

Log-Analyse und Auswertung: HI, kann jemand diesen HiJackThisLog auslesen