Hallo,
in letzter zeit habe ich immer wieder, nachdem mein pc gestartet ist, dass er für die ersten ca 5-10 min für nichts zu gebrauchen ist. Er arbeitet viel zu langsam, was denke ich mal, durch die hohe arbeitsauslastung der svchost und wuauclt exe-dateien liegt. (mehr als 160k)

hier meine HijackThis logfile

ich bitte um hilfe... danke ;-)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Xfire\xfire.exe
C:\WINDOWS\system32\taskmgr.exe
c:\programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://192.168.1.1/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000341&p=GRfox000&si=&a=RqFWdFtJgoaQvZ.3UcDbYw&n=2010070611
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Jante\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Jante\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1202403439
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5337 bytes

1. poste einen GMER scan
http://www.trojaner-board.de/74908-a...t-scanner.html
2.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

hier die otl und danach die extras datei.
beim GMER scan habe ich leider nichts, da ich ihn nach ca 1 std laufzeit abbrechen musste. leider hat sich auch direkt danach mein pc aufgehangen so dass ich ihn neustarten musste.

im anhang befinden sich die beiden dateien.

warum musstest du ihn abbrechen? starte ihn halt noch mal neu und schau obs läuft bitte.

Aus zeitlichen Gründen. Jetzt kann er aber ruhig wieder seine stunden durchscannen. poste das ergebnis dann.

ok, trenne die internetverbindung und schalte alles an aktieven programmen aus, auch antivirus

... Gibts doch nicht....
über ne std hat der gescannt und aufeinma startet windows einfach neu... und danach kommt ne systemmeldung, dass windows nach einem schwerwiegenden fehler neu gestartet wurde....
nochmal scannen wäre ja kein problem, wenn ich nebenbei trotzdem was am pc machen könnte... mist...

ne das wäre ja nicht sinn und zweck und würde den scan verfälschen. wir versuchen was anderes.
download:
RootRepeal
http://ad13.geekstogo.com/RootRepeal_beta.exe
trenne internetverbindung, schalte alles an laufenden programmen ab.
doppelklicke das programm
klicke auf report und scan,hake an:
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
klicke ok
nun wirst du gefragt welches laufwerk, klicke c: klicke ok.
wenn fertig, wähle safe report
speichere das log als RootRepeal.txt auf dem desktop
poste den inhalt.

Mhmm.. hab das programm jezz schon 2 mal scannen lassen, am schluss kommt dann nen kleineres fenster mit ok... wo das programm sich dann einfach schließt... und wenn ich vorher auf save report klicke, kommt nen fenster, wo drinne steht, dass der ordner nicht gefunden wurde und irgendwas mit rechtsklick und eigenschaften. dann kommt das normale fenster wo ich speicher kann, kann dort aber weeder desktop auwählen noch klappt es wenn ich die datei einfach speicher, das programm wirkt dann auch leicht so, als würde es abschmieren.
lass es jezz nocheinmal scannen.


Edit: So, das 3. mal gescannt und wieder konnte ich den report nicht speichern. hab auch keine ahnung woran das liegen könnte, kann einfach nichts auswählen beim speicherfenster, außer den dateinamen und den speicherbutton, aber selbst dann speichert er nichts, da keine datei mit dem namen vorhanden ist... schade...

So, jezz hats geklappt.
Einfach mal ne neue version runtergeladen. das layout sah auch eher nach deiner beschreibung aus, als die version von dir.
naja. ist ja jezz auch egal. im anfang befindet sich der report.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

So, hier der die Datei im Anhang.
Musste das Programm aber zweimal starten, da der Pc beim ersten mal, knapp vor ende einfach neugestartet hat, wieder mit systemfehler, schwerwiegender fehler.

download malwarebytes:
Malwarebytes
instalieren, updaten, über die registerkarte aktualisierung, dann schalte alles an laufenden programmen aus, trenne die internetverbindung, starte nen komplett scan, funde löschen, antivirus + internet ein, log posten.

hier der komplette scan im anhang.

noch immer hohe speicherauslastung?