Trojaner-Board - HILFE: PC braucht total lange bis er startet

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HILFE: PC braucht total lange bis er startet (https://www.trojaner-board.de/27019-hilfe-pc-braucht-total-lange-startet.html)

HILFE: PC braucht total lange bis er startet

Hi,
zum teil braucht mein Rechner mehrere Minuten bis er startet.
Ist aus dem HiJackThis Log-File etwas zu sehen woran es liegen könnte?
Für jeden Tip bin ich sehr dankbar

Logfile of HijackThis v1.99.1
Scan saved at 22:22:47, on 20.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116366254326
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hallo Charly22,

schon defragmentiert und den Datenträger bereinigt (mit clearprog)?

Fixe diesen Eintrag:
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h..p://www.azebar.com/install/azesearch.cab

Dein System muss auch mal wieder upgedatet werden.
Das hast Du schon seit einigen Monaten nicht mehr getan.

dartus

Hallo,
seit zwei Tagen habe ich das gleiche Problem, der Rechner braucht ungewöhnlich lange zum Hochfahren, hängt dabei auch immer kurz (das Musiksignal kommt nur mit kurzen Pausen).
Ich habe schon mit Hijackthis gescannt und automatisch auswerten lassen. Die einzigen Einträge die unbekannt waren, beziehen sich auf mein Virenprogramm (F-Secure). Hat jemand damit Erfahrung - meint Ihr, das kann Ärger machen?
Ad-aware hat überhaupt nichts gefunden. Ein Virenscan mit F-Secure war ohne Ergebnis.
Gruß
janamira

Analyse des Bootvorgangs

@die zwei Probanden

Bitte mal folgendes durchführen und einen Screenshot machen (kann zB bei rapidshare.de hochgeladen werden):

http://www.trojaner-board.de/showpos...37&postcount=4

Hallo

Ich habe das mit Bootvis versucht. Zum Schluss kam ein Fenster mit folgender Information:
Number of physical drives in the trace file is 0.
Trace file has invalid configuration information.

Was ist schief gegangen, bzw. was glaubst Du, liegt da im Argen?
Vielen Dank für Deine Ideen/Überlegungen!
janamira

Hallo,
ich habe es später noch mal mit escan versucht. Dabei kam folgende Fehlermeldung (in dem sehr langen logfile):

Tue Feb 21 17:19:45 2006 => ERROR!!! Invalid Entry AOLMIcon = C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Tue Feb 21 17:19:53 2006 => ERROR!!! Invalid Entry System32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw...

Der PC ist auch nicht nur beim Hochfahren langsam, sondern alles dauert viel länger.
Vermutlich wird es auf neu aufsetzen herauslaufen, das letzte mal war erst vor vier Wochen...
Gruß
janamira

Mache mal folgendes

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\reg.log
reg query HKLM\SYSTEM\CurrentControlSet\Services\wanatw4 >> C:\reg.log

und poste danach den Inhalt der Datei C:\reg.log

Hallo,
"reg query"?
Was genau muss ich machen?
Sorry, ich bemühe mich, hab aber nur wenig Ahnung...
janamira

reg query ist ein Kommando für die sog. DOS-Box (DOS-Kommandozeile aka Eingabeaufforderung). Um dorthin zu gelangen machst Du folgendes:

Start -> Ausführen -> cmd (Enter drücken)
Ein neues Fenster öffnet sich. Dort gibst Du die von mir angebenen Zeilen vollständig ein (Zeile eingeben, Enter drücken...Zeile eingeben Enter drücken).

reg query schaut an den angebenen Stellen in der Registry nach was dort steht. Die Ausgabe dieses Befehls wird mit ">> C:\reg.log" in die Datei reg.log umgeleitet anstatt sie auf dem Bildschirm dar zustellen. Versuche es einfach mal. Sollte es nicht klappen, melde Dich einfach nochmal.

Ziel des ganzen ist zu sehen, ob falsche Registrierungseinträge dafür sorgen, dass der Start solange dauert.

BTW hast Du die AOL-Software mal deinstalliert oder etwas daran geändert? Unter Umständen könnte es helfen, diese zu deinstallieren und wieder zu installieren (falls Du sie noch nutzt).

Hallo,
vielen Dank ffür die kompetente Einweisung.
Ich hab das gerade versucht, dabei ist im Anschluss an die zweite Zeile + Enter folgender Hinweis erschienen:
Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden.

AOL habe ich nie benutzt, war aber bei Kauf vorinstalliert. Ich habe die Software über Systemsteuerung deinstalliert. Danach habe ich dann den Eintrag im Systemstart entdeckt (AOLMIcon) und ihn deaktiviert. Das war soweit ich weiß alles, was ich daran manipuliert habe. Ich kann das Programm nicht mehr installieren, da ich dazu keine Software habe.

Hier der reg.log:
! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HTpatch REG_SZ C:\WINDOWS\htpatch.exe
ATIPTA REG_SZ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
SoundMan REG_SZ SOUNDMAN.EXE
NeroCheck REG_SZ C:\WINDOWS\System32\\NeroCheck.exe
Dit REG_SZ Dit.exe
VOBRegCheck REG_SZ C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
PCMService REG_SZ C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
SunJavaUpdateSched REG_SZ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
QuickTime Task REG_SZ "D:\Programme\QuickTime\qttask.exe" -atboottime
F-Secure Manager REG_SZ "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
F-Secure TNB REG_SZ "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
F-Secure Startup Wizard REG_SZ "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
Microsoft Works Update Detection REG_SZ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

Soweit, vielen Dank, schon mal wieder!
janamira

O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe

Fixe mal bitte diesen Eintrag. Hast Du schon mal mit regedit gearbeitet? Nun, es wird Zeit.

Start -> Ausführen -> regedit

Navigiere dort zu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

und suche dort einen Eintrag der mit "wanatw" anfängt. Schaue dort mal, ob es innerhalb dieses Schlüssels einen Wert namens "Start" gibt. Falls ja, teile bitte mit, welchen Wert "Start2" hat (1,2 oder 3)

Hallo,
Ich habe gefixt (AOLMicon...) und ich habe die Sache mit regedit nachgeschaut.
Ich habe tatsächlich keine Ahnung was das ist, was ich da angeschaut habe.
Ein Start2 gibt es nicht, wohl aber Start, und der eingetragene Wert ist "3".
Ich bin gespannt, was jetzt passiert...
Vielen Dank mal wieder
janamira

:dummguck: Ich bin immer noch ratlos. Nach wie vor ist der PC langsam und braucht lange zum hochfahren.
Hat noch jemand eine Idee?

Ändere die "3" mal auf "4". Der Wert befindet sich in einem Zweig, der wie der Name schon vermuten lässt ( HKLM\SYSTEM\CurrentControlSet\Services) Dienste beinhaltet, also Programme, die meist beim Systemstart geladen werden und ihre Arbeit im Hintergrund verrichten. Der Wert "Start" für einen bestimmten Dienst gibt an, wie er gestartet werden soll. Mit "4" wollen wir Windows klar machen, dass der Dienst unter gar keinen Umständen gestartet werden soll (und somit auch keinen Ärger verursachen kann).

Gruß

Marc

Hallo,
was das für ne Sorte Programm oder was auch immer ist, weißt du auch nicht, oder? Könnte ich das irgendwo killen? Ansonsten probier ich das mit Wert 4, auf dem gleichen Weg wie vorher, nehm ich an (regedit)?
Gruß,
janamira