hallo,
seit einigen Tagen "verhält" sich mein pc seltsam:
(BS: Win XP Prof.+SP2)
1. er ist eindeutig langsamer geworden, vor allem im Internet
2. Windows Task Manager lässt sich am start noch öffnen, nach ein paar sekunden funktioniert die Anzeige über die CPU Belastung und Memory verbrauch nicht mehr O_o
3. Der PC schaltet sich manchmal nicht mehr aus sondern macht nen restart

bisher hatte ich Kaspersky Internet Security Suite 2006 installiert und tägliche updates aktiviert. Windows Updates + Windows Firewall sind auch aktiviert.
habe folgende Scanner installiert und im Abgesicherten Modus laufen lassen:
1.Kaspersky
2.Escan Nod32
3.Antivir
4.Online Scan Panda Antivirus

Die haben alle nichts gefunden.

RootkitRevealer meldet folgendes:

Code: Alles auswählenAufklappen

ATTFilter

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	15.10.2006 13:49	0 bytes	Access is denied.
C:\Documents and Settings\thenand\Desktop\HijackThis.exe	16.02.2005 11:06	213.00 KB	Hidden from Windows API.
C:\Documents and Settings\thenand\Desktop\hijackthis.log	03.11.2006 14:18	5.05 KB	Hidden from Windows API.
C:\Documents and Settings\thenand\Local Settings\Temp\~DF2786.tmp	03.11.2006 14:16	16.00 KB	Visible in Windows API, but not in MFT or directory index.
         

hijackthis.log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:18:59, on 03.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_12\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\RootkitRevealer.exe
C:\DOCUME~1\thenand\LOCALS~1\Temp\FTOWS.exe
C:\Documents and Settings\thenand\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\winsock32.sys (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_12\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [VIP Organizer] C:\Program Files\VIP Quality Software\VIP Organizer\VIP Organizer.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: FTOWS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\***\LOCALS~1\Temp\FTOWS.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NONIFKGA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NONIFKGA.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: WDXXATEFBFML - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WDXXATEFBFML.exe
         

Ich hoffe ihr könnt mir helfen

Und es liegt sicher nicht an der Hardware (Fehler, mangelnde Stromversorgen etc.)?
Haste irgendwas ausm Internet gesaugt? (Filesharing oder auf ner Lan?)

Kuck dir mal dein HijackThis Logfile genauer an und werte es mal unter www.hijackthis.de aus!

Bei Icesword 2 Fehlermeldungen mit Hijackthis,.. aber das 3.?

sollte eigentlich nicht an einem Hardwaredefekt liegen. vor allem würde das nicht die seltsame Anzeige des Task Managers erklären: manchmal wird unten gar nicht angezeigt oder der Wert ändert sich nicht.

Die Auslastung+Memory usage ist wie eingefroren und ändert sich nicht

Tolle Begründung
Überprüfe trotzdem/deshalb mal die Hardware, die Temperaturen (insbesondere von MoBo und CPU), teste die Festplatte und den Speicher etc. (und auch besonders das was ich grad schreiben wollte und während des Schreibens wieder vergessen habe )

Warum hast du die AV-Scanner alle installiert? (oder warum es Online-Scanner gibt)
Dein Java hat schon historischen Charakter.

mOIn allerseits

die Probleme könnte aber auch dieser Eintrag verursachen

O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\winsock32.sys (file missing)

(evtl. Ciadoor) ein Backdoortrojaner was das Neuaufsetzen bedeuten könnte(sollte).

MFG

hab nod32 nochmals aktualisiert und im abgesichertem modus laufen lassen und der hat in der Datei C:\windows\system32\drivers\etc\hosts den Trojaner Win32/Qhosts Trojaner gefunden. konnte dann auch im agesicherten Modus gelöscht werden. Muss ich jetzt wirklich das ganze system neu aufsetzen?

Hallo,
müssen tust du gar nichts....Es ist nämlich deine Kiste........
Wenn ich mir aber die Beschreibung deines Viechs ansehe ,wird mir mal ganz anders :http://www.sophos.de/security/analyses/trojqhosts1.html
Der gefundene Pfad deines AV-Proggis deutet darauf hin ,daß der Trojaner genau das tut was er soll.D.h. volle Aktivität,für dich bedeutet es ,das du nun Mitglied in einem Zombienetzwerk bist und demnäxhst wohl eine "DoS-Attacke" mitreiten darfst......
Die wird üblicherweise auf große Server veranstaltet,nach diversen vorherigen Erpressungsversuchen der Firmen die im Besitz dieser Server sind.Üblicherweise wehren die sich mit Schadensersatzforderungen,gegenüber jedem den sie erwischen können.Also setze neu auf ,oder zähle dein Kleingeld !
Irrlicht

juhu..mit dem pc an die front *just kiddin*
ne..ich glaub dann ist es wirklich an der zeit das system neu aufzusetzen. wichtig wäre nur zu wissen,wie der Trojaner in mein System kam ohne, dass kaspersky ihn bemerkt hat... verbreitet der sich eigentlich im Lan automatisch weiter?(bestimmt oder )