Hallo!
Auf dem Rechner eines Freundes geht fast nix mehr.
Er hat Windows2000. Direkt nach dem Start zeigt mir der TaskManager eine CPU - Auslastung von 80-100% an. Das meiste davon verbraucht der Prozess EXPLORER.EXE. Ich kann ihn aber nicht beenden.
Wenn ich im Internet bin, dann geht nach 3-4 Seitenwechseln gar nichts mehr und er zeigt mir keine Seite mehr an.
Habe die Vermutung, dass da was mit dieser EXPLORER.EXE was nicht stimmt. Hier mein Logfile: Wäre klasse, wenn da jemand einen Tipp hat. DANKE

Logfile of HijackThis v1.98.2
Scan saved at 19:37:13, on 27.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\RUNDLL16.EXE
C:\WINNT\System32\msnmsgrr.exe
C:\WINNT\System32\host32.exe
C:\WINNT\System32\MSlti64.exe
C:\WINNT\System32\hhkkyv.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\DOKUME~1\FLOTTM~1\LOKALE~1\Temp\Rar$EX01.195\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINNT\System32\oaboo.dll
O2 - BHO: (no name) - {5290F742-9B15-0020-CD3C-10A378A9D53C} - C:\WINNT\System32\bahiham.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [win_upd2.exe] C:\WINNT\System32\WINdirect.exe
O4 - HKLM\..\Run: [wpds.exe] C:\WINNT\System32\doriot.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\RUNDLL16.EXE
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\Run: [Windows Compliant] hhkkyv.exe
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] hhkkyv.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKCU\..\Run: [key] C:\WINNT\System32\sys_xp.exe
O4 - HKCU\..\Run: [win_upd2.exe] C:\WINNT\System32\WINdirect.exe
O4 - HKCU\..\Run: [wpds.exe] C:\WINNT\System32\doriot.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINNT\System32\winerdir.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\Run: [Windows Compliant] hhkkyv.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: bviestrt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {24AD5133-62E6-40F6-B339-324CA0C9F409} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {24AD5133-62E6-40F6-B339-324CA0C9F409} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c7bb9c4edf493f

@Flottimat

du hast folgendes im system
C:\WINNT\RUNDLL16.EXE
http://www.liutilities.com/products/...rary/rundll16/
C:\WINNT\System32\msnmsgrr.exe
http://www.trendmicro.com/vinfo/viru...BOT.PZ&VSect=T
C:\WINNT\System32\host32.exe
http://www.sophos.de/virusinfo/analyses/w32rbotgu.html

bereite dich im geiste schon mal auf ein neu aufsetzens des systems vor
du kannst escan noch probieren
http://www.trojaner-board.de/42731-escan-anleitung.html
aber ich würde dir folgendes raten
(Zitat von Cidre)
Es sieht so aus, als wären viele Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html


chaosman