Notebook reagiert nach dem Hochfahren länger nicht
 

Hallo,

seit gut einem halben Jahr braucht mein Notebook (Win XP, Baujahr 2003, neue Festplatte 2006) nach dem Hochfahren immer ein paar Minuten, bis es reagiert und ich Programme öffnen kann. In den letzten Wochen ist es nochmal schlimmer geworden.

Ich habe den Autostart ausgemistet, die Festplatte defragmentiert, mit ccclean gesäubert und überwache die Prozesse mit dem Task-Manager. ctfmon.exe hab ich ebenfalls deaktiviert. Außer dem AVG-update und dem AVG-Scanner selbst sind nirgends hohe Prozentzahlen, dennoch ist die CPU-Auslastung offenbar sehr hoch.

(Heute überraschte mich Windows noch damit, dass statt meiner gewählten "klassischen Ansicht" im Desktop plötzlich "XP-Design" eingestellt war, aber das nur nebenbei.)

Über Tipps, was da erstens los ist und wie ich es zweitens beheben kann, wäre ich sehr dankbar.

Hier das HijackThis.log:

Halli hallo.

Magst du die logs die du postest bitte ohne die nervigen Zeilenumbrüche darstellen..
Da bekommt man Augenkrebs von.. ;)

Das log ist unauffällig und sieht nach einem aufgeräumten PC aus. Deinstalliere bitte ZoneAlarm und räume mit dem cCleaner auf.

Überprüfe den Rechner danach mit Anti-Malware und poste das log.

Ok. Vielen Dank für die Hilfe. :-) - Außer durchs Weglassen des "Zitat"-Modus weiß ich nicht, wie ich Zeilenumbrüche verhindern soll. ZoneAlarm deinstalliert (brauch ich das nicht? muss ich die XP-Firewall nun wieder aktivieren?) und CCleaner drüberlaufen lassen (eine dreistellige MB-Zahl gelöscht), Anti-Malware-Logfile wie folgt:

---
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1477
Windows 5.1.2600 Service Pack 3

09.12.2008 16:19:15
mbam-log-2008-12-09 (16-19-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 94169
Laufzeit: 1 hour(s), 16 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
---

Was bedeutet das? Kann ich noch etwas tun?
Danke für Eure Mühe!

Zone Alarm brauchst du nicht! Aktiviere die Windows Firewall.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Danke für die Hilfe. Ich hab das Tutorial gelesen, aber noch eine Frage, bevor ich loslege:

Was hab ich denn da laut log? Oder ist das ComboFix eine Art weiterer Scan/Test um auszuschließen, dass ich noch was weiteres habe? - Bevor ich mich in Bereiche meines Computers begebe, in die ich mich noch nie gewagt habe, wüsste ich gern, wieso ich das tue. ;-)

Malwarebytes hat was gefunden was weitere Analysen notwendig macht. Im CF log können wir sehr viel sehen..

Combofix - Welche Software für Wiederherstellungskonsole?
 

Ich folge grad dem Combofix-Tutorial und hänge an dem Punkt: "Wiederherstellungskonsole installieren" fest - Mein Computer behauptet, XP Home Edition und Service Pack 3 zu haben. Welche Datei soll ich für die Wiederherstellungskonsole nehmen? Ich krieg nur Software für SP 1 oder SP 2 angeboten auf dem Link vom ComboFix-Tutorial.
Ich hab so ein vorinstalliertes XP gehabt und keine Windows-CD, nur eine Recovery-CD und die kennt den Pfad nicht, wo die Wiederherstellungskonsole sein sollte.

(PS. Mein Computer startet jetzt öfter mit der "XP-Design-Einstellung" obwohl ich "klassisch" ausgewählt habe... *angst*)

NImm die Wiederherstellungskonsole für SP2. Die läuft ohne weiteres auch auf dem SP3...

ComboFix-Log
 

Danke! :-) - Ich hoffe, das ist so besser mit den Zeilenumbrüchen. - Ist etwas relevantes zu sehen in dem Log? - Die unendliche Langsamkeit nach dem Hochfahren hat sich schon sehr gebessert (aber schon nach Schritt eins.)

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Danke. Wieso muss ich mir dafür die versteckten Dateien anzeigen lassen (hab es gemacht, verstehe es aber nicht)?

Hier die Virustotalscanauswertungen (Reihenfolge wie bei undoreal):

Heißt das, dass die Files ok sind? Nochmal vielen Dank, undoreal, für alle schon getane Arbeit und Sucherei in diesen logfiles...

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Und lasse bitte das AVP-Tool laufen. Poste die logs.

Poste auch ein frisches HJT log. Wie geht es dem Rechner? Noch Auffälligkeiten?

Panda Active Scan
 

Hier das Log vom Panda Active Scan:
AVG-Tool und HijackThis mache ich morgen. Rate ich richtig, dass alles, was dieser Pandascanner gefunden hat, Mailanhänge sind, noch dazu v.a. von Mails im Junkordner?

Ja. Ist aber kein Problem. Du solltest dein Konto mal komprimieren lassen.
Erst deinen Postkasten aufräumen, alte Mails löschen dann den Inhalt des Junk Ordners löschen und dann Datei -> Alle Ordners des Kontos komprimieren lassen.

Also, das AVP-Tool hat nichts gefunden (aber 5h gesucht, ist das normal?).

Die Ordner sind komprimiert.

Dafür dauerte es jetzt wieder ewig nach dem Hochfahren, bis irgendein Programm reagierte :-( - Nur avgrsx.exe hat eine hohe Zahl Speicherverbrauch.

Hier also noch ein neues Hijackthis-Log:

Dass der IE im Log ist, ist neu mit den angegebenen Websiten. Ich benutzte ihn (was ich sonst nie tue) weil einer der Scanner nur auf IE lief.

ist es denn durchgelaufen? Also stand dort: Scan beendet oder so?

Ja, Scan erfolgreich beendet oder sowas. Und ein komplett leeres Reportfeld.

Die logs sind sauber. Wie geht's dem Rechner?

Danke fürs Log-Checken!

Nach dem Hochfahren hält er sich immer noch gut ne Minute damit auf bei ausgelastetem CPU offenbar mit avgrsx.exe zu kämpfen (hat auch später noch 27.000 k Speicherauslastung), danach ist er aber wieder flott.
Heute stürzte der Windows-Explorer 4-5mal ab, als ich im Bilderordner war, mit der Behauptung "dtw32.exe hat ein Problem festgestellt und muss beendet werden." - Dateiname aus dem Kopf zitiert, der Fehler ließ sich grade nicht provozieren. - Früher hatte ich das einmal im Monat, meist auch im Bilderordner...

Und die "bösen" Dateien im Mailordner hab ich ja auch nicht gelöscht - muss ich die noch irgendwie rauswerfen?

Die Meldung und die Abstürze gefallen mir nicht...

Wen er das nächste mal eine Fehlermeldung bringt dann schreibe diese unbedingt mit und poste sie hier!!!


Systembereinigung

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
  
• Unter File -> Database Update ->Start drücken.
  
• Unter AVZPM -> Install extended monitoring driver drücken.
  
• Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
  
  
• Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  
• Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  
• Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  
• Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png

• Nun starte den Scan bitte durch Drücken des Start Buttons.
  
  
• Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
  Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

http://img393.imageshack.us/img393/165/logti9.png

• Die beiden logs hänge bitte an deinen nächsten Post an.
  
  
• Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Wichtig! Wann soll ich meine Systemwiederherstellung wieder einschalten? Nach dem nächsten Hochfahren?

Die beiden Logs von AVZ:

Der Rapidsharelink der Systemanalyse (entstellt falls die Forenregeln das wollen):

h**p://rapidshare.com/files/174678691/avz_sysinfo.zip.html

? :confused:
Hab' ich doch geschrieben...
Wenn wir hier fertig sind kannst du sie wieder aktivieren.


Wechsel bitte in die AVZ Quarantäne und stelle folgende Dateien wieder her:

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript): Der Rechner startet dabei neu!

Danke! Noch eine Rückfrage. Ich war nach dem Posten gestern nicht sicher, ob ich nach dem ersten Schritt "Systembereinigung" nochmal hätte CCleaner laufen lassen sollen, bevor ich das gezippte log speichere. Ich habe es so verstanden, dass das zwei "Standardbausteine" waren, die du mir gepostet hast, die beide voraussetzen, dass Systemherstellung deaktiviert ist und CCleaner gelaufen ist.

Wenn es aber so ist, dass nach dem Scan nochmal CCleaner hätte laufen müssen, dann hab ich es falsch gemacht. Ist das so und ändert das was an den heutigen Hausaufgaben?

Vielen, vielen Dank für die Hilfe, ich komm mir allmählich ganz schlecht vor, deine Zeit so in Anspruch zu nehmen ohne Gegenleistung...

edit: C:\WINDOWS\System32\Drivers\avgtdix.sys;4;Kernel-mode hook - kann ich im Quarantäneordner nicht finden. - Habe ansonsten alle Schritte ausgeführt bis auf das AVZ-Script - dafür hätte ich gern noch ein ok, das zu machen, obwohl ich diese Datei nicht wiederherstellen konnte, da sie nicht im Quarantäneordner war.

Hast alles richtig interpretiert und richtig ausgeführt! :daumenhoc

Immer gerne. Wenn du mir eine Gegenleistung bringen möchtest dann halte deinen Rechner in Zukunft sauber! :) Damit ist allen Usern des WorldWideWeb geholfen und wir sind glücklich.. ^^


AVZ-Skript laufen lassen: Ja!


PS: Was ist das eigentlich für ein Ordner?

Virustotalscan von c:\windows\startupmonitor.exe:
...und für C:\WINDOWS\system32\DRIVERS\16177588.sys

Das ist ein Ordner auf meinem Desktop, in dem das Kaspersky Virus Removal Tool rumliegt. So wie all die anderen schicken Dinge, die ich im Laufe dieser Odyssee runtergeladen habe, jetzt auf dem Desktop liegen. Wieso fragst du?

Jo, die logs sehen gut aus. Wenn's keineAuffälligkeiten mehr gibt bist du entlassen.. ;)

*uff*

Vielen Dank für den Support. Ich vermute mal, durchs viele Aufräumen ist alles schon ein bißchen schneller geworden, die komische Fehlermeldung hatte ich jetzt tagelang nicht mehr und dass der sich am Anfang am AVG-Start so lange aufhält, ist wohl nicht zu ändern....

Wirklich ein irrsinnig guter Service hier - vielen Dank nochmal!