|
Computer langsam eworden bitte Logfile checken Hallo, in letzter Zeit ist mein Pc ziemlich langsam geworden könnte jemand mal checken ob da sich was eingenistet hat . ok danke schon mal im vorraus. Betriebssystem :Windows XP Home Edition Alex Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:17:52, on 6.1.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Programme\Internet Radio\Radio.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU) O9 - Extra 'Tools' menuitem: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU) O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - h**p://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://alex2one.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - h**p://h20270.w*w2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://alex2one.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing) O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe -- End of file - 7001 bytes |
Hallo kire. Suche bitte wie in meiner Signatur beschrieben wird nach der Datei " svchost.exe " Wenn du sie gefunden hast lade sie bie VT hoch und poste das Ergebnis. Dann fixe bitte folgende Einträge mit HJT: * O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 * * O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Programme\Internet Radio\Radio.exe (file missing) * Kennst du diese I-Net-Addi und vertraust ihr? h**p://alex2one.spaces.live.com/PhotoUpload/MsnPUpld.cab Nutzt du die Windows Firewall oder die von KAV? Aktiviere bitte unbedingt die KAV Firewall und schaue unter den Ausnahmen und Vertrauenswürdigen Zonen nach das dort KEINE svchost.exe auftaucht! Die darf NICHT kommunizieren! Poste am besten mal ein Verbindungsprotokoll der Kav Firewall. |
hallo, danke erstmal für die schnelle Antwort. 1. Datei svchost.exe empfangen 2008.01.06 13:57:32 (CET) Status: Beendet Ergebnis: 0/32 (0.00%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 - AntiVir 7.6.0.46 2008.01.04 - Authentium 4.93.8 2008.01.05 - Avast 4.7.1098.0 2008.01.06 - AVG 7.5.0.516 2008.01.06 - BitDefender 7.2 2008.01.06 - CAT-QuickHeal 9.00 2008.01.05 - ClamAV 0.91.2 2008.01.06 - DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.03 - eTrust-Vet 31.3.5432 2008.01.04 - Ewido 4.0 2008.01.05 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 - F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 - Kaspersky 7.0.0.125 2008.01.06 - McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 - NOD32v2 2767 2008.01.06 - Norman 5.80.02 2008.01.04 - Panda 9.0.0.4 2008.01.06 - Prevx1 V2 2008.01.06 - Rising 20.25.62.00 2008.01.06 - Sophos 4.24.0 2008.01.06 - Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 - TheHacker 6.2.9.181 2008.01.05 - VBA32 3.12.2.5 2008.01.06 - VirusBuster 4.3.26:9 2008.01.05 - Webwasher-Gateway 6.6.2 2008.01.04 - weitere Informationen File size: 14336 bytes MD5: 65a819b121eb6fdab4400ea42bdffe64 SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 PEiD: - 2.Ich kann nicht fixendann kommt die Warnemeldung "Das Bearbeiten der Registrierung wurde durch den Admistrator deaktiviert." :headbang: Weiss jemand wie man das beheben kann ?(bin leider kein "computerprofi":o) 3.Ja die "Addi" kenn ich die ist von meinen Sohn und die stuf ich als vertrauungswürdig ein. 4.Ich benutze die von Kaspersky 5.die svchost.exe war in der "Vertrauenszone" drinne.Hab sie rausgenommen. 6.Wo findet man das Verbindungsprotokoll?:D |
Zitat:
Erst diesen *O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1* und danach den anderen *O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Programme\Internet Radio\Radio.exe (file missing)* Zitat:
Zitat:
Die ist da übrigens nicht reingeflogen ;) das hat jemand erlaubt.. Zitat:
Oder im Firewall Modul. |
Hallo, ich hatte grad versucht die "Einträge" zu fixen(im Abgesicherten Modus) nur ist jetzt das Problem Sie nicht mehr im Scan enthalten sind. Und noch ein Problem :heulen: als ich der "svchost.exe" die Verbindung zum Internet abgedreht hatte konnte ich auch nicht mehr rein .Habe Sie jetzt wieder kurz freigegeben um einzutreten. Hoffe ihr könnt mir immer noch weiterhelfen. mfg ALex |
Ich würde den Rechner auf jeden Fall neuaufsetzten! Der ist sowas von kompromitiert.. Anleitung dazu gibt's in meiner Sigantur. Ändere danach alle Passörter und Zugansdaten! PS: :) Huhu Franz.. |
Hallo. :) Den HASH-Werten zufolge (zu finden am Ende des Virustotal-Ergegnisses) hast du auch die "echte" svchost.exe, sprich die legitime Windows-Systemdatei gescannt und ihr den Zugang zum Netz verwehrt. Diese svchost.exe ist zu finden im Pfad c:\windows\system32. Dass du danach nicht mehr ins Internet konntest, ist normal. Verdächtig ist in deinem HijackThis-Logfile aber dieser Eintrag: Zitat:
Versuche noch einmal, wie von Undoreal angegeben, die verdächtige svchost.exe zu finden. edit: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board