Hi,

bei mir gibts das Problem, das win xp (sp1) nicht richtig herunterfährt. Jedesmal kommt die Meldung "Anwendung reagiert nicht - sofort beenden / abbrechen" die Anwendung ist in der Fensterleiste als "Sample" bezeichnet. Im taskmanager ist nichts von dieser anwendung zu sehen. Was ist Sample? Wie kann ich das sytem ohne neuformatierung wieder richtig zum runterfahren bekommen?

aktueller virenscan (kaspersky 4.5 home) hat nix gebracht.

hier mal die tasklist

Abbildname PID Dienste
========================= ===== =============================================
System Idle Process 0 Nicht verf�gbar
System 4 Nicht verf�gbar
smss.exe 1264 Nicht verf�gbar
csrss.exe 1384 Nicht verf�gbar
winlogon.exe 1416 Nicht verf�gbar
services.exe 1464 Eventlog, PlugPlay
lsass.exe 1476 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 1656 RpcSs
svchost.exe 1720 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem, helpsvc, HidServ, Irmon,
lanmanserver, lanmanworkstation, Messenger,
Netman, Nla, RasMan, RemoteAccess, Schedule,
seclogon, SENS, ShellHWDetection, TapiSrv,
TermService, Themes, TrkWks, W32Time,
winmgmt, WZCSVC
Smc.exe 1756 SmcService
ZCfgSvc.exe 192 Nicht verf�gbar
svchost.exe 232 Dnscache
explorer.exe 312 Nicht verf�gbar
svchost.exe 236 LmHosts, RemoteRegistry, SSDPSRV, WebClient
avpcc.exe 504 Nicht verf�gbar
atiptaxx.exe 568 Nicht verf�gbar
ctfmon.exe 628 Nicht verf�gbar
acrotray.exe 664 Nicht verf�gbar
spoolsv.exe 1092 Spooler
ati2evxx.exe 308 Ati HotKey Poller
avpcc.exe 404 AVPCC
AvpM.exe 640 KAVMonitorService
wdfmgr.exe 856 UMWdf
wmiprvse.exe 1144 Nicht verf�gbar
Avp32.exe 2884 Nicht verf�gbar
Avp32.exe 3156 Nicht verf�gbar
SmartSurfer.exe 372 Nicht verf�gbar
Opera.exe 2384 Nicht verf�gbar
taskmgr.exe 4048 Nicht verf�gbar
TOTALCMD.EXE 2660 Nicht verf�gbar
cmd.exe 2824 Nicht verf�gbar
tasklist.exe 1816 Nicht verf�gbar
wmiprvse.exe 1364 Nicht verf�gbar



und das hijack logfile:



Logfile of HijackThis v1.99.0
Scan saved at 14:35:06, on 9.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpm.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\Avp32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\Avp32.exe
C:\Programme\Smart Surfer\SmartSurfer.exe
C:\Programme\Opera7\Opera.exe
D:\SOFTWARE\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /wait
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CplBCL50] C:\Programme\EzButton\CplBCL50.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Security Update Service] wmiprvce.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winscv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] winscv.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RealDownload.lnk = C:\Programme\RealDownload\Realdownload.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D62EEC5-03F8-449C-B9B2-C90B431833E3}: NameServer = 62.134.11.4 195.182.110.132
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe
O23 - Service: Adapter-Switching - Intel Corporation - C:\Programme\Intel\Switching\User\RoamSvc.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpm.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe




bin für jeden RAT, TIP dankbar.

bis später

xxregisxx

Hallo

O4 - HKLM\..\RunServices: [Security Update Service] wmiprvce.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winscv.exe

Diese Programme gehören alle zu Schädlingen mit Backdoorfunktionen (einfach mal die Dateien in google eingeben). Das beste wäre daher, du trennst deinen Rechner vom Netz und machst einen klaren Schnitt:

http://www.trojaner-info.de/report_i...nleitung.shtml

danke mountain king,

bin mit den trojaner keys noch nicht so vertraut... aber das wird langsam.

habe auch den fehler für das shut down problem gefunden. es lag am intel pro set package für wlan. xp hat fürs wlan erstmal ausreichende konfigurationsmöglichkeiten, deshalb intel zeuch runter vom rechner.
der ausschlaggebende prozess war der zcfgsvc.exe prozess. für alle die dasselbe problem haben unten noch mal die kurzbeschreibung.

ciao

xxregisxx

p.s. neuaufsetzen meiner systempartition hab ich jetzt echt keine lust. das aktuelle hijacklog ist sauber. der tipp mit dem eingeschränkten surfkonto ist gut - mach ich später dann.




ZCfgSvc.exe

(Intel)

Zero Config MFC Application Windows 2000/XP/2003 Service, part of Intel?s ProSET utilities and installed by the drivers for many of Intel wireless network cards, whether onboard as seen in some laptops (e.g. Intel Pro Wireless 2100 in Dell laptops amongst others), or in the shape of PCMCIA wireless network cards (e.g. Intel Pro Wireless 2011). This task provides background support functions for the Intel ProSET utilities which enable you to configure your wireless adapter and connection through the Intel ProSET icon in the System Tray.

Recommendation :
This is a difficult one. First, ZCFGSVC is actually essential to the proper functioning of many of the Intel ProSET utilities (but not all) and, as with most wireless adapters, whether from Intel or not, these System Tray ProSET utilities are a must if you are using your wireless connection, if only so you know when the signal is fading or dropping. Most importantly, part of the ProSET utilities are responsible for sending out the Wireless network name (SSID) that you need to connect to; so if you fully de?install the ProSET utilities, you will not be able to connect to your wireless network. Thus, if you are using your wireless adapter, you should in principle keep this service and the ProSET utilities. The problem is that, in some PCs, ZCFGSVC can be incredibly badly behaved : taking up to 100% of CPU time and therefore resulting in an extremely slow PC, preventing the installation of software or Windows updates, or causing ?Not Responding? or ?End this Program? shutdown problems. If you experience this, try first the very latest drivers from Intel or your laptop manufacturer. If that still does not solve the problem and you have Windows XP/2003, try setting the ?Wireless Zero Configuration? service to Disabled. If that still does not solve the problem, then try renaming the C:\Windows\System32\ZCfgSvc.exe file to ZCfgSvc.exe.old as ZCFGSVC is seemingly not necessary for the part of the ProSET utilities which enable you to connect to your wireless network.

Zitat:

Zitat von regis

p.s. neuaufsetzen meiner systempartition hab ich jetzt echt keine lust.

Dann nimm Deine Wurmkiste bitte sofort vom Netz, Du gefährdest nicht nur Deinen Rechner, sondern auch die Dritter!

Vielleicht hast Du Lust neu aufzusetzen, wenn Du das gelesen hast:
http://www.trojaner-board.com/showthread.php?t=13239
http://www.trojaner-board.com/showthread.php?t=12696

Gruß
Yopie