Trojaner-Board - hiiilfe, mein hijack:

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - hiiilfe, mein hijack: (https://www.trojaner-board.de/10437-hiiilfe-hijack.html)

hiiilfe, mein hijack:

hi!

obwohl ich all eure empfohlenen sicherheitseinstellungen vorgenommen habe, ist mein compi seit 2 tagen kaum mehr zu gebrauchen, da er für alle operationen (zB öffnen des start-menüs, herunterfahren) minuten braucht!!

hab ich mir da etwas eingefangen, könntet ihr mal schauen?

wenn ich im gastkonto surfe erscheint immer: "win service manager cant be open-elby check will stop". im adminkonto ist alles normal. wo liegt da das problem?

thanks!!!!!

Logfile of HijackThis v1.98.2
Scan saved at 15:17:50, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla1.7.3\Mozilla.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\e\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab

Kennst du diese Datei: C:\WINDOWS\vsnpstd.exe

Wenn nein, dann sende sie mal an partytime-germany.ice@web.de

Zitat:

"win service manager cant be open-elby check will stop". im adminkonto ist alles normal. wo liegt da das problem?

Clone CD benötigt vermutlich Admin Rechte um voll funktionsfähig zu sein.
Entweder diesen Eintrag fixen oder höhere Rechte vergeben:
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL

Zitat:

Zitat von *Christian*

Kennst du diese Datei: C:\WINDOWS\vsnpstd.exe

Wenn nein, dann sende sie mal an partytime-germany.ice@web.de

ja, das ist die webcam.

Zitat:

Zitat von Cidre

im gastkonto kann ich ja nix fixen, aufgrund der eingschr. rechte.
wenn ich diese also im adminkonto fixe, kann ich clonecd ja gar nicht mehr nutzen, oder?

anbei noch der hijack vom gastkonto, falls euch da etwas auffällt?
ansonsten hab ich nix ungewöhnliches laufen? warum ist der dann so lahm auf einmal?

Logfile of HijackThis v1.98.2
Scan saved at 16:10:21, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla1.7.3\mozilla.exe
C:\Dokumente und Einstellungen\Gast\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab

Schau mal bitte im Gastkonto wie hoch deine CPU-Auslastung ist (Strg+Alt+Entf -> Reiter "Systemleistung")

Mit diesem Tool kannst du Clone CD mit Admin Rechten laufen lassen: http://www.pcwelt.de/news/software/105305/index6.html

btw:
Definiere "lahm" genauer.

Zitat:

Zitat von Haui45

Schau mal bitte im Gastkonto wie hoch deine CPU-Auslastung ist (Strg+Alt+Entf -> Reiter "Systemleistung")

weselt jetzt zw. 1-8%.

wenn er spinnt liegt sie bei 90-100%.

Zitat:

Zitat von Cidre

Mit diesem Tool kannst du Clone CD mit Admin Rechten laufen lassen: http://www.pcwelt.de/news/software/105305/index6.html

btw:
Definiere "lahm" genauer.

lahm=startmenü aufrufen dauert 20-30 sec. herunterfahren ca. 1 min +.

Auch wenn die Frage jetzt etwas komisch klingt:
Kann es sein, dass die CPU-Auslastung nur dann so hoch ist, wenn du dich gleich nach dem Einschalten als Gast anmeldest, d.h wenn du vorher als Administrator angemeldet bist und dann aufs Gastkonto wechselst alles "normal" ist?

Zitat:

Zitat von Haui45

nö, gerade probiert.

aber ich hab nen anderen verdacht: ich wollte MSN installieren, die anmeldung klappte aber nie, er konnte zum netz keine verbindung aufbauen, obwohl ich extra activeX hiefür erlaubt hatte.
seit dem hängt er.

hat jemand das gleiche problem nach den unten erwähnten einstellungsänderungen?

Zitat:

ich wollte MSN installieren

Was willst´n mit dem? Microsoft füttern?
@ haui:
ich mischm mich nicht weiter ein.... ;)

@cacatoa
misch dich ruhig ein, mir gehen irgendwie die nicht vorhandenen Ideen aus :(

@emi
ich glaube nicht, dass das mit MSN zu tun hat!
Also nochmal als Zusammenfassung: du hast dein System neu aufgesetzt. Im Benutzerkonto mit vollen Rechten funktioniert alles wie es soll, nur im Gastkonto ist die CPU-Auslastung sehr hoch?! Wenn das so ist, gibt es irgendeinen Prozess der die hohe Auslastung verursacht?

@ emi
wieviele Prozesse laufen eigentlich gleichzeitig?

danke an alle,

problem gefunden!!!

der messenger hat gesponnen...de - und neuinstalliert ... jetzt funzts wieder!!

thx!!!!!