Hallo, ich bin Taktikus.

Generell habe ich das Problem, daß mein Rechner nicht ganz die Leistung bringt, die er sollte, jedenfalls wenn ich seine Komponenten mit den Rechnern anderer Spieler aus meiner Gilde vergleiche, ich spiele Lotro, das böse Spiel WoW, AoC etc. Natürlich ist soetwas subjektiv, aber wenn meine Ladezeiten 10 mal solange sind wie bei anderen ist das schon auffällig.

Dazu hatte ich vor ein paar Wochen eine Infektion mit Windows Antivirus Pro und heute, schon bedeutend lästiger, mit Total Secure. Ich habe nach Total Secure gegoogelt und nur eins mit der Zahl 2009 gefunden, die habe ich bei mir nicht gesehen.

Das Windows Antivirus Pro bin ich mit Spybot SD und AntiMalware losgeworden (ansch. (?)). Total Secure heute war schon bedeutend lästiger, weil ich den Prozess nicht stoppen konnte, der Task-Manager ist immer sofort wieder zugegangen. Ich habe in der Programmauswahl von Total Secure dann gewählt, daß ich keinen Schutz möchte, obwohl ich normalerweise unbekannte Programme immer beende und keine der angebotenen Auswahlmöglichkeiten nehme. Anschl. habe ich SpybotSD verwendet, daß hat einiges gefunden, dann AntiMalware mit QuickScan mit 6 Treffern, und dann wars weg.

In keinem Fall habe ich der Installation irgendwelcher Software zugestimmt, aber ich war immer im Inet als es passierte.

Ich wüßte gerne, ob ich ein schwerwiegendes Problem auf meinem Rechner habe, und ich wundere mich auch etwas, daß ich jahrelang nie Probleme habe, und jetzt 2 mal hintereinander ein ähnliches.

Ich verwende die Firewall meines Routers FritzBox Wlan 3170, die von Windows ist aus. Mein Virenscanner ist von AVG, der umsonste. Sonst lasse ich nur ab und zu den Spybot laufen.

Ich bin übrigens geistig behindert, ich bin Asperger-Autist. Man kann normal mit mir umgehen, nur tue ich mich schwer mit versteckten Bedeutungen und "zwischen den Zeilen lesen". Auch neige ich dazu, alles wörtlich zu verstehen. Ich glaube nicht, daß das hier ein Problem ist. Aber wenn jemand meint, ich reagiere etwas "neben der Spur", dann liegt das wahrscheinlich daran.

Ich habe mir HijackThis runtergeladen und dieses File bekommen:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:14, on 23.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
F:\System\AVGANT~1\avgwdsvc.exe
E:\Systemprogramme\Fritz!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
F:\System\AVGANT~1\avgrsx.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\SerExt.exe
E:\Systemprogramme\WinAmp\winampa.exe
F:\System\AVGANT~1\avgtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Systemprogramme\Fritz!DSL\FwebProt.exe
E:\Systemprogramme\Fritz!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
E:\Systemprogramme\Firefox Portabel\Portable _Firefox 3.0.1_deutsch\Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Sicherheits-Werkzeuge\HiJack This\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Systemprogramme\AcrobatReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - F:\System\AVG Antivirus\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {A6E81192-9B84-4B2C-8EDA-FCF9356ADF56} - C:\WINDOWS\system32\pdh32.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug 
O4 - HKLM\..\Run: [WinampAgent] E:\Systemprogramme\WinAmp\winampa.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVG8_TRAY] F:\System\AVGANT~1\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\System\Sony\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = E:\Systemprogramme\Fritz!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = E:\Systemprogramme\Fritz!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\SYSTEM~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: h**p://download.windowsupdate.com
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - F:\System\AVG Antivirus\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AntipyPro_12 (AntipPro2009_12) - Unknown owner - C:\WINDOWS\svchast.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - F:\System\AVGANT~1\avgwdsvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - E:\Systemprogramme\Fritz!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: xControlCOM - Siemens - E:\Systemprogramme\ISDN-Anlage\talk&surf_6_0\xcontrolcom.exe

--
End of file - 5551 bytes
         

Ich hoffe, daß mit dem in "[code]" setzen hat geklappt, wenn ich # drücke kommt bei mir nämlich nur #.

Für Eure/Ihre Hinweise bin ich sehr dankbar.

Wenn meine Systemkonfiguration gewünscht wird muß ich die Rechnung raussuchen, mache ich aber gerne.

Hallo und

Poste doch mal bitte ein paar Eckdaten Deines System, wie CPU, RAM, Mainboard, Platte...

Seit wann ist der Rechner so langsam, ist das nach dem Befall erst gewesen? Einige Reste sind da nämlich noch zu sehen:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {A6E81192-9B84-4B2C-8EDA-FCF9356ADF56} - C:\WINDOWS\system32\pdh32.dll (file missing)
O23 - Service: AntipyPro_12 (AntipPro2009_12) - Unknown owner - C:\WINDOWS\svchast.exe (file missing)
         

Ich würde Dir daher erstmal vorschlagen, diese Liste zu beachten und abzuarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Ich habe leider im Moment nicht sehr viel Zeit, deshalb dauert das alles etwas.

Ich habe gestern noch MAM gemacht und CCleaner, RSIT fehlt noch, da komme ich hoffentlich heute zu.

So, die Liste ist abgearbeitet, die Dateien sind gezippt und hier:

File-Upload.net - Trojaner-Suchergebnisse.zip

hochgeladen. Ich verwende MAM schon länger, habe die alten Logdateien gefunden und dazugepackt. Dann waren da in der MAM-Quarantäne noch div. Dinge. Davon habe ich ein Bild erstellt, weil ich den Inhalt nicht kopieren konnte, das ist ebenfalls dabei. Mittlerweile ist der Inhalt der Quarantäne gelöscht, so wie ich es hier irgendwo gelesen habe als Tip.

Von dem CCleaner habe ich nichts gefunden an Ergebnissen. Das HiJackThis-Log ist auch noch einmal dabei.

Bei der Hardware ist das Problem, daß mir vor nem Jahr oder so das Netzteil durchgebrannt ist. Bei der Rep. wurde so ziemlich alles ausgetauscht, was drin war von meinem Händler, auf Garantie, also nützt mir die Re. nichts. Ich werde mir aus dem Netz ein Diagnose-Tool besorgen und damit mal nachschauen. Vorerst nur folgendes, CCleaner meldet:

MS Windows XP Home SP3
AMD Athlon 64 X2 Dual Core Processor 4200+
3,2 GB RAM (4 GB sind drin, ich weiß, daß XP nur 3,4 oder so nutzen kann)
NVIDIA GeForce 8800 GTS

Ich verwende noch SpybotSD ab und zu und ein XP-Antispy, mit dem ich in erster Linie das autom. Anlaufen der opt. Laufwerke und ActiveX ausschalte.

Edith sagt:
Der erste Link vom CCleaner ist nicht von mir, weiß nicht wie das kommt.

Ach ja, den genauen Zeitpunkt des langsamerwerdens kann ich nicht nennen. Ich habe ziemlich lange Zeit ausgesetzt mit Lotro. Am Anfang gab es bei dem Spiel erhebliche Performance-Probleme bei den meisten. Nach ca. einem halben bis einem Jahr Pause kann man dann nicht mehr sagen, ob es schneller ging damals oder nicht. Es ist jetzt aber so, daß das Spiel erheblich länger zum laden braucht als bei Mit-Gildies und die Festplatte arbeitet wie verrückt bei mir, bei den anderen nicht.

Ich verwende zum surfen nur den Firefox, der IE ist nur noch auf der Platte, weil ich ihn für die Updates (leider) brauche, sonst verwende ich ihn nie, auch dann nicht, wenn andere Programme ihn starten.

Wird dieser Fred noch bearbeitet von jemandem?

Soll ich die Dateien viell. doch noch posten statt verlinken?

Dein Strang ist etwas untergegangen. Hab bitte etwas Geduld! Ich bin nicht Tag und Nacht permanent im Board.

Starte HijackThis (bei Vista mit Rechtsklick als Administrator) => Do a system scan only => mache vor folgenden Zeilen einen Haken (sofern diese noch existieren) und klicke dann unten den Button "Fix checked":

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {A6E81192-9B84-4B2C-8EDA-FCF9356ADF56} - C:\WINDOWS\system32\pdh32.dll (file missing)
         

Einen anderen Eintrag, nämlich diesen hier:

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: AntipyPro_12 (AntipPro2009_12) - Unknown owner - C:\WINDOWS\svchast.exe (file missing
         

Bekommt man übers fixen nicht wirklich weg. Da gehst Du bitte so vor:

1. Klick auf Start, Ausführen (oder Wintaste+R), gib cmd ein => ok
2. das hier eintippen: sc delete AntipyPro_12

Damit der Dienst gelöscht wird.

Code: Alles auswählenAufklappen

ATTFilter

S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
         

Hast Du ein Mainboard von Gigabyte?

Außerdem hab ich noch einen kleinen Rest gesehen. Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus.

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry values to delete:
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\4_pinnew.exe"

files to delete:
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\4_pinnew.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Bitte verzeih, wenn ich aufdringlich oder ungeduldig wirke.

Ich habe mir hier mittlerweile sehr viele Freds durchgelesen und festgestellt, daß, wenn sich jemand nur dumm/uneinsichtig/unangemessen/nervig genug (Firesystem) anstellt, keine Antworten mehr bekommt (was ich durchaus auch für angemessen halte angesichts Eures Engagements hier in diesem Forum). Also bin ich davon ausgegangen, daß ich etwas falsch gemacht habe, weil keine Antwort mehr kam, und war bemüht, den angenommenen Fehler auszubügeln.

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {A6E81192-9B84-4B2C-8EDA-FCF9356ADF56} -C:\WINDOWS\system32\pdh32.dll (file missing)
         

ist ge-"fix-checked", habe vorher alles zugemacht.

AntipyPro_12

Der angegebene Dienst ist kein installierter Dienst anschl. im HJT-Protokoll nachgesehen, ist nicht mehr vorhanden.

Code: Alles auswählenAufklappen

ATTFilter

S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
         

Habe ich nicht, habe im HJT-Log nur R mit Nummern und O mit Nummern, kein S; ich habe nachgesehen und die gdrv.sys nicht gefunden, allerdings konnte ich das Dokument nicht automatisiert durchsuchen, mußte lesen, was fehleranfällig ist.

Motherboard ist

MSI K9N Neo V2

Mein Virenscanner ist die freie Version von AVG. Damit lässt sich leider nicht alles nach belieben ausschalten, leider , deshalb werde ich den auch ersetzen. Bei dem sind jetzt, vor dem Avenger, folgende Komponenten aktiv:

Anti-Virus
Anti-Spyware
License

nicht aktiviert ist:

ID Protection

Disabled sind:

Link Scanner
Resident Shield (ich hoffe, das ist der von Dir erwähnte Hintergrundwächter)

Wenn ich, z. B. für die Installation eines Spiels, den Virenscanner komplett ausschalten will muß ich ihn deinstallieren, das ist ziemlich nervig auf die Dauer.

Der Avenger wollte nach der 1. Bestätigung noch eine weitere, vor dem Reboot. Da hat das Programm angemerkt, daß dies nicht die richtige/ordentliche/was auch immer, ich konnte den Text nicht kopieren, Methode ist, um diese Dinge zu entfernen. Ich habe die Abfrage ebenfalls mit "Ja" beantwortet.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not delete registry value 

"HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardp

rofile\authorizedapplications\list|"C:\DOKUME~1\Besitzer\LOKALE~1\Temp\4_pinnew.exe""
Deletion of registry value 

"HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardp

rofile\authorizedapplications\list|"C:\DOKUME~1\Besitzer\LOKALE~1\Temp\4_pinnew.exe"" 

failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\4_pinnew.exe" not found!
Deletion of file "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\4_pinnew.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Meine Festplatte ist von Samsung, SP2504C

G9 Laser Mouse

Netzwerkadapter:
ISDN WAN Driver 1.20.0032 (ist glaube ich von der ISDN-Anlage von Siemens, ist dann uralt)
Realtek RTL 8168/8111 PCI-E Gigabit Ethernet NIC

Soundkarte ist eine Soundblaster PCI 128 (ist älter als uralt, wahrsch. älter als ich ).

Mir fällt gerade ein, daß ich den Rechner mit SpybotSD immunisiert habe kürzlich. Ist das ein Problem? Ich habe hier im Forum irgendwo gelesen, daß die Maßnahme nicht angesagt ist.

P.S.
Warum entsteht eig. kein Lesezeichen, wenn ich im FF versuche, eins direkt zu diesem Fred zu erstellen?

Danke übrigens für Deine Mühe

Zitat:

Habe ich nicht, habe im HJT-Log nur R mit Nummern und O mit Nummern, kein S; ich habe nachgesehen und die gdrv.sys nicht gefunden, allerdings konnte ich das Dokument nicht automatisiert durchsuchen, mußte lesen, was fehleranfällig ist.

Das stammt NICHT aus dem Hijackthis-Logfile, sondern aus dem von RSIT!
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\gdrv.sys
         

So, hatte keine Zeit in letzter Zeit.

Ich gehe mal davon aus, daß mein Problem erledigt ist, da keine weiteren Anweisungen gegeben wurden.

Ich danke schön eure Hilfe. Eine Möglichkeit für eine Spende habe ich nicht gefunden, dann wird es jemand anderes bekommen, ich denke, das ist in eurem Sinne .

Ansonsten werde ich es mir nicht nehmen lassen, öfter mal vorbeizuschauen, um auf dem laufenden zu bleiben und mein System nach euren Hinweisen umzubauen.

Zitat:

Zitat von Taktikus

Ich danke schön eure Hilfe. Eine Möglichkeit für eine Spende habe ich nicht gefunden, dann wird es jemand anderes bekommen, ich denke, das ist in eurem Sinne .

Du kannst was auf mein Konto überweisen