Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: PC lahm - hier mein HJT - Lofgile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.03.2008, 19:55   #1
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Pfeil

PC lahm - hier mein HJT - Lofgile



Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:56, on 03.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\RVS\COR\RVS_CENT.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195833780926
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXXX.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3674DE44-7993-4F1E-A16E-0F5E797CEA12}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{72DAB205-4002-41D8-B0E6-91570E5D167E}: NameServer = 192.168.100.199
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***rone.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TSI LinkToNet Service (INetSrv) - LapLink.com, Inc. - C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, München - C:\PROGRA~1\RVS\COR\RVS_CENT.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - LapLink.com, Inc. - C:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://****scout24.de/***/img/rps/3/4/1.gif

--
End of file - 6075 bytes
Hab so ein flaues Gefühl dass da so einiges im Argen liegt.
Was ich bisher getan habe:
Adware
Antivir
Registry Clean Up
Temp Files gelöscht
sowie diverse Freeware wie Spybot etc. - alles ohne Ergebnis, bzw. mit kleinen Funden jedoch keiner Systemverbesserung.

Meine CPU springt auf 100 % sobald ich im Netz bin.

Besten Dank für eure Hilfe.

Alt 04.03.2008, 11:44   #2
myrtille
/// TB-Ausbilder
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Hi,
so direkt seh ich keinen Befall, allerdings könnte dein Internetproblem zb an diesem Eintrag liegen:
Zitat:
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
Hast du da letzten versucht etwas zu installieren? Hat die Installation geklappt?
Was nutzt den die gesamte CPU wenn du ins Netz gehst? Welche Prozesse laufen zusätzlich?

Lass bitte noch folgende Tools über deinen Rechner laufen und poste das Log hier, allerdings denke ich nicht, dass du infiziert bist.

Silentrunners
blacklight

lg myrtille
__________________


Alt 04.03.2008, 14:42   #3
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Danke erstmal!

Hab im Taskmanager auch so ein paar Dinger gefunden die auffällig viel Speicher fressen:
services.exe; explorer.exe; avguard.exe; svchost.exe; fsbl.exe
Gerade der avguard.exe nervt da er sich nicht löschen lässt.

Hoffe ich habe die Programme richtig angewandt, ist ne mords Liste....:aplaus:

Zitat:
Zitat von Silentrunners
Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"pdfSaver3" = ""C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"" ["Tracker Software Products Ltd."]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"WinVNC" = ""C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper" ["RealVNC Ltd."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"WINDVDPatch" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINNT\UpdReg.EXE" ["Creative Technology Ltd."]
"Jet Detection" = "C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [empty string]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{FA9ECA60-F5FE-11D1-A9AE-00E029170CEB}" = "RVS Shortcut InfoTip Handler"
-> {HKLM...CLSID} = "RVS Shortcut InfoTip Handler"
\InProcServer32\(Default) = "C:\WINNT\System32\RVSITIPS.DLL" ["RVS Datentechnik GmbH, München"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWA RE\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe" [MS], ["LapLink.com, Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> NavLogon\DLLName = "C:\WINNT\system32\NavLogon.dll" [null data]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "http://i.friendscout24.de/datingr5/img/rps/3/4/1.gif"
"SubscribedURL" = "http://i.friendscout24.de/datingr5/img/rps/3/4/1.gif"


Startup items in "Office" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"VR-NetWorld Auftragsprüfung" -> shortcut to: "C:\Programme\VR-NetWorld\VRToolCheckOrder.exe /autostart" [empty string]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClick.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
RVS CAPI, RVS_CE, "C:\PROGRA~1\RVS\COR\RVS_CENT.EXE" ["RVS Datentechnik GmbH, München"]
TSI LinkToNet Service, INetSrv, "C:\PROGRA~1\LAPLIN~1\TSIINET.EXE" ["LapLink.com, Inc."]
TSI Remote Control Service, TSIRCSRV, "C:\WINNT\System32\TSIRCSRV.EXE" ["LapLink.com, Inc."]


Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]
PDF-XChange\Driver = "C:\WINNT\system32\pxc25pm.dll" ["Tracker Software"]
RVS Fax Monitor\Driver = "RVSMONNT.DLL" ["RVS Datentechnik GmbH, München"]
TSI Print Monitor\Driver = "tsimonnt.dll" ["LapLink.com, Inc."]


---------- (launch time: 2008-03-04 14:08:55)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 118 seconds, including 4 seconds for message boxes)

Zitat:
Zitat von Blacklight
03/04/08 14:00:59 [Info]: BlackLight Engine 1.0.67 initialized
03/04/08 14:00:59 [Info]: OS: 5.0 build 2195 (Service Pack 4)
03/04/08 14:01:00 [Note]: 7019 4
03/04/08 14:01:00 [Note]: 7005 0
03/04/08 14:01:04 [Note]: 7006 0
03/04/08 14:01:04 [Note]: 7011 284
03/04/08 14:01:04 [Note]: 7026 0
03/04/08 14:01:05 [Note]: 7026 0
03/04/08 14:01:10 [Note]: FSRAW library version 1.7.1024
03/04/08 14:09:25 [Note]: 7007 0
__________________

Alt 04.03.2008, 14:50   #4
myrtille
/// TB-Ausbilder
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Die Logs sind sauber.
Es dürfte sich also nicht um Befall handeln.

Die services.exe & svchost.exe sind Windowsdateien, die sollten eigentlich nicht allzuviel Speicher fressen, müssen aber laufen
avguard.exe ist dein Antivirenprogramm, das kann man auf diese Art und Weise sicher nicht beenden, sonst würd das jeder Virus tun. Ich würde auch nicht empfehlen, das zu beenden.

Und fsbl.exe ist blacklight, das ich dich eben hab ausführen lassen. Das sollte allerdings auch schon wieder verschwunden sein.

Es scheint als hättest du noch Reste von Symantec auf deinem Rechner:
Zitat:
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
Hast du in letzter Zeit Antivirenschutz gewechselt? Hattest du vorher auch schon Probleme?
Wie alt ist denn dein Rechner? Welche Hardware hat? Vielleicht ist das gute Stück auch einfach ausgelastet?
lg myrtille

Alt 04.03.2008, 14:54   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC lahm - hier mein HJT - Lofgile - Icon32

PC lahm - hier mein HJT - Lofgile



Kurz einmisch:

Zitat:
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe
VNC kann riskant sein. Hast du das selbst installiert?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.03.2008, 15:22   #6
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Kann ich dir gar nicht sagen. Bin alles andere als ein Held an der Tastatur.
Was kann ich dagegen tun?

Alt 04.03.2008, 15:36   #7
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Zitat:
Zitat von myrtille Beitrag anzeigen
Hast du in letzter Zeit Antivirenschutz gewechselt? Hattest du vorher auch schon Probleme?
Nee, vorher keine Probleme. Seit knapp 4 Wochen ist er so lahm.
Virenprogramm wurde nichts großartig verändert. Hi und da mal ne Freeware um dem Fehler auf die Spur zukommen, aber nichts besonderes. Meistens hab ich die dann gleich wieder gelöscht.

Die Probleme sind aber nicht nur im Internet. Auch wenn ich Word oder Outlook öfffne dauert es teilweise bis zu einer Minute bis endlich das Programm startet.

Zitat:
Wie alt ist denn dein Rechner? Welche Hardware hat? Vielleicht ist das gute Stück auch einfach ausgelastet?
lg myrtille
Der neueste isser nicht. WIN2000, Service Pack 4
X 86 Familiy 6 Model 8 Stepping 3
AT/ AT compatible
261.664 kb RAM

Grafikkarte NVidia Riva 128/ 128 ZX; 4 MB Speicher

Danke und Gruß,

Alt 04.03.2008, 17:31   #8
KarlKarl
/// Helfer-Team
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Hi,

kontrolliere doch mal folgendes:

Systemsteuerung -> System -> Register Hardware -> Gerätemanager. Dort "IDE ATA/ATAPI-Controller" aufklappen, für jeden Eintrag darunter Rechtsklick -> Eigenschaften. Dort jeweils bei den Channels nachsehen, welcher "Transfer Mode" eingestellt ist. Es sollte etwas mit "DMA" sein, auf keinen Fall was mit "PIO". Normalerweise ist es am besten, wenn "Let BIOS select transfer mode" gewählt ist.

Gruß, Karl

Alt 04.03.2008, 18:27   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC lahm - hier mein HJT - Lofgile - Ausrufezeichen

PC lahm - hier mein HJT - Lofgile



Zitat:
Zitat von Mojo_Risin Beitrag anzeigen
Kann ich dir gar nicht sagen. Bin alles andere als ein Held an der Tastatur.
Was kann ich dagegen tun?
VNC über Systemsteuerung/Software deinstallieren. Denn das ist ein Fernsteuerungstool, damit kann man von einem anderen PC aus deinen Desktop komplett steuern!

Also weg damit wenn du dich damit nicht auskennst und es auch nicht selbst installiert hast!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.03.2008, 18:28   #10
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Erstmal danke für den weiteren Tipp.

Im "IDE ATA/ATAPI-Controller" habe ich drei Angaben:
  • Intel 82371 (dort gibt es wohl keinen Transfer Code)
  • Primärer Kanal
  • Sekundärer Kanal

Im primären und sekundären Kanal gab es jeweils "Gerät 1" und "Gerät 2".
Auf dem sekundären Kanal stand eine Angabe auf "PIO". Hab das jetzt angepasst so dass alles auf "DMA, wenn verfügbar" steht.

Starte jetzt mal neu und melde mich später wieder. Danke.

Alt 04.03.2008, 18:44   #11
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Umstellung ist angenommen, Computer neu gestartet, aber immer noch das selbe Problem. Das Hochfahren an sich geht in normaler Geschwindigkeit, d. h. der Desktop baut sich "relativ" schnell auf.

Antivir benötigt bestimmt knapp 50 Sekunden bis es im Hintergrund aufgebaut ist und blockiert während dieser Zeit jeden anderen Vorgang. Wenn das dann erstmal steht geht es einigermaßen, aber dennoch deutlich langsamer wie noch vor kurzem.

Überlastet kann er nicht sein, oder? Hatte vor kurzem sogar nen ICQ drauf. Dachte dass wäre das Problem und habs runtergeschmissen. Keine Veränderung.
Auch beim Degfragmentieren bekomm ich die Angabe dass knapp 45% Speicherkapazität frei wären.

Alt 04.03.2008, 18:51   #12
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Zitat:
Zitat von root24 Beitrag anzeigen
VNC über Systemsteuerung/Software deinstallieren. Denn das ist ein Fernsteuerungstool, damit kann man von einem anderen PC aus deinen Desktop komplett steuern!
Also weg damit wenn du dich damit nicht auskennst und es auch nicht selbst installiert hast!
Erledigt! Danke.

Alt 05.03.2008, 11:41   #13
Mojo_Risin
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Lahm ist mein PC aber dennoch. Noch jemand mit nem guten Tipp?

Alt 05.03.2008, 12:01   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC lahm - hier mein HJT - Lofgile - Standard

PC lahm - hier mein HJT - Lofgile



Ich weiß nicht ob das eine Bremse ist, aber brauchst du wirklich diesen Laplink Gold dingsbums?

Laplink® Software - Laplink Gold - Ãœbersicht

Das kann ebenfalls als Fernwartungstool (anscheinend ähnlich wie VNC) eingesetzt werden. Wer installiert das immer auf diesen PC?
Wird der rein privat genutzt? Oder hatte der PC mal einen Vorbesitzer und das System wurde nicht neu aufgesetzt...
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu PC lahm - hier mein HJT - Lofgile
1.exe, adobe, antivir, avira, bho, clean, cpu, diverse, explorer, gelöscht, hijack, hijackthis, internet, internet explorer, lahm, link, logfile, micro, microsoft, pc lahm, picasa, programme, remote control, software, symantec, system, system32, tracker, userinit.exe, windows



Ähnliche Themen: PC lahm - hier mein HJT - Lofgile


  1. irgendwas legt mein antivierensystem lahm
    Plagegeister aller Art und deren Bekämpfung - 22.07.2014 (3)
  2. Internetverbindung ist so lahm geworden, das es eine stunde dauerte dies hier zu posten.
    Alles rund um Windows - 01.02.2012 (3)
  3. avgwdsvc.exe legte mein Notebook lahm
    Log-Analyse und Auswertung - 23.05.2011 (3)
  4. Legt Firefox mein System lahm?
    Log-Analyse und Auswertung - 18.05.2009 (0)
  5. Mein PC ist in letzter zeit relativ lahm
    Log-Analyse und Auswertung - 04.03.2009 (11)
  6. Hilfe mein laptop ist lahm
    Log-Analyse und Auswertung - 20.08.2008 (16)
  7. Bitte um Lofgile-Auswertung
    Log-Analyse und Auswertung - 19.03.2008 (17)
  8. Mein Rechner ist Lahm Hilfe^^
    Log-Analyse und Auswertung - 13.03.2008 (0)
  9. Mein Internet ist sau lahm
    Log-Analyse und Auswertung - 17.11.2007 (2)
  10. Mein PC ist lahm und angeblich hat er Würmer :-(
    Mülltonne - 17.11.2007 (0)
  11. Mein Pc ist lahm wie noch was!!
    Log-Analyse und Auswertung - 19.05.2007 (22)
  12. Mein Pc ist so lahm in Games
    Plagegeister aller Art und deren Bekämpfung - 14.12.2006 (18)
  13. FUCK. mein pc ist so übel lahm
    Plagegeister aller Art und deren Bekämpfung - 04.12.2006 (18)
  14. SVCHOST legt CPU lahm --- hier das Log-File
    Log-Analyse und Auswertung - 12.07.2006 (3)
  15. Mein PC ist sau lahm....
    Log-Analyse und Auswertung - 10.02.2006 (22)
  16. Lofgile-Auswertung: Bisher nur Teilerfolge erzielt
    Log-Analyse und Auswertung - 18.02.2005 (8)
  17. Rechner elendig lahm -> hier meine HT-Log
    Plagegeister aller Art und deren Bekämpfung - 19.05.2004 (8)

Zum Thema PC lahm - hier mein HJT - Lofgile - Zitat: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:42:56, on 03.03.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: - PC lahm - hier mein HJT - Lofgile...
Archiv
Du betrachtest: PC lahm - hier mein HJT - Lofgile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.