|
HILFE: PC braucht total lange bis er startet Hi, zum teil braucht mein Rechner mehrere Minuten bis er startet. Ist aus dem HiJackThis Log-File etwas zu sehen woran es liegen könnte? Für jeden Tip bin ich sehr dankbar Logfile of HijackThis v1.99.1 Scan saved at 22:22:47, on 20.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Dit.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\OnlineControl\ocontrol.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116366254326 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
Hallo Charly22, schon defragmentiert und den Datenträger bereinigt (mit clearprog)? Fixe diesen Eintrag: O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h..p://www.azebar.com/install/azesearch.cab Dein System muss auch mal wieder upgedatet werden. Das hast Du schon seit einigen Monaten nicht mehr getan. dartus |
Hallo, seit zwei Tagen habe ich das gleiche Problem, der Rechner braucht ungewöhnlich lange zum Hochfahren, hängt dabei auch immer kurz (das Musiksignal kommt nur mit kurzen Pausen). Ich habe schon mit Hijackthis gescannt und automatisch auswerten lassen. Die einzigen Einträge die unbekannt waren, beziehen sich auf mein Virenprogramm (F-Secure). Hat jemand damit Erfahrung - meint Ihr, das kann Ärger machen? Ad-aware hat überhaupt nichts gefunden. Ein Virenscan mit F-Secure war ohne Ergebnis. Gruß janamira |
Analyse des Bootvorgangs @die zwei Probanden Bitte mal folgendes durchführen und einen Screenshot machen (kann zB bei rapidshare.de hochgeladen werden): http://www.trojaner-board.de/showpos...37&postcount=4 |
Hallo Ich habe das mit Bootvis versucht. Zum Schluss kam ein Fenster mit folgender Information: Number of physical drives in the trace file is 0. Trace file has invalid configuration information. Was ist schief gegangen, bzw. was glaubst Du, liegt da im Argen? Vielen Dank für Deine Ideen/Überlegungen! janamira |
Hallo, ich habe es später noch mal mit escan versucht. Dabei kam folgende Fehlermeldung (in dem sehr langen logfile): Tue Feb 21 17:19:45 2006 => ERROR!!! Invalid Entry AOLMIcon = C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. Tue Feb 21 17:19:53 2006 => ERROR!!! Invalid Entry System32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw... Der PC ist auch nicht nur beim Hochfahren langsam, sondern alles dauert viel länger. Vermutlich wird es auf neu aufsetzen herauslaufen, das letzte mal war erst vor vier Wochen... Gruß janamira |
Mache mal folgendes reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\reg.log reg query HKLM\SYSTEM\CurrentControlSet\Services\wanatw4 >> C:\reg.log und poste danach den Inhalt der Datei C:\reg.log |
Hallo, "reg query"? Was genau muss ich machen? Sorry, ich bemühe mich, hab aber nur wenig Ahnung... janamira |
reg query ist ein Kommando für die sog. DOS-Box (DOS-Kommandozeile aka Eingabeaufforderung). Um dorthin zu gelangen machst Du folgendes: Start -> Ausführen -> cmd (Enter drücken) Ein neues Fenster öffnet sich. Dort gibst Du die von mir angebenen Zeilen vollständig ein (Zeile eingeben, Enter drücken...Zeile eingeben Enter drücken). reg query schaut an den angebenen Stellen in der Registry nach was dort steht. Die Ausgabe dieses Befehls wird mit ">> C:\reg.log" in die Datei reg.log umgeleitet anstatt sie auf dem Bildschirm dar zustellen. Versuche es einfach mal. Sollte es nicht klappen, melde Dich einfach nochmal. Ziel des ganzen ist zu sehen, ob falsche Registrierungseinträge dafür sorgen, dass der Start solange dauert. BTW hast Du die AOL-Software mal deinstalliert oder etwas daran geändert? Unter Umständen könnte es helfen, diese zu deinstallieren und wieder zu installieren (falls Du sie noch nutzt). |
Hallo, vielen Dank ffür die kompetente Einweisung. Ich hab das gerade versucht, dabei ist im Anschluss an die zweite Zeile + Enter folgender Hinweis erschienen: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden. AOL habe ich nie benutzt, war aber bei Kauf vorinstalliert. Ich habe die Software über Systemsteuerung deinstalliert. Danach habe ich dann den Eintrag im Systemstart entdeckt (AOLMIcon) und ihn deaktiviert. Das war soweit ich weiß alles, was ich daran manipuliert habe. Ich kann das Programm nicht mehr installieren, da ich dazu keine Software habe. Hier der reg.log: ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HTpatch REG_SZ C:\WINDOWS\htpatch.exe ATIPTA REG_SZ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe SoundMan REG_SZ SOUNDMAN.EXE NeroCheck REG_SZ C:\WINDOWS\System32\\NeroCheck.exe Dit REG_SZ Dit.exe VOBRegCheck REG_SZ C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg PCMService REG_SZ C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe SunJavaUpdateSched REG_SZ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe QuickTime Task REG_SZ "D:\Programme\QuickTime\qttask.exe" -atboottime F-Secure Manager REG_SZ "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash F-Secure TNB REG_SZ "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW F-Secure Startup Wizard REG_SZ "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot Microsoft Works Update Detection REG_SZ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents Soweit, vielen Dank, schon mal wieder! janamira |
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe Fixe mal bitte diesen Eintrag. Hast Du schon mal mit regedit gearbeitet? Nun, es wird Zeit. Start -> Ausführen -> regedit Navigiere dort zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services und suche dort einen Eintrag der mit "wanatw" anfängt. Schaue dort mal, ob es innerhalb dieses Schlüssels einen Wert namens "Start" gibt. Falls ja, teile bitte mit, welchen Wert "Start2" hat (1,2 oder 3) |
Hallo, Ich habe gefixt (AOLMicon...) und ich habe die Sache mit regedit nachgeschaut. Ich habe tatsächlich keine Ahnung was das ist, was ich da angeschaut habe. Ein Start2 gibt es nicht, wohl aber Start, und der eingetragene Wert ist "3". Ich bin gespannt, was jetzt passiert... Vielen Dank mal wieder janamira |
:dummguck: Ich bin immer noch ratlos. Nach wie vor ist der PC langsam und braucht lange zum hochfahren. Hat noch jemand eine Idee? |
Ändere die "3" mal auf "4". Der Wert befindet sich in einem Zweig, der wie der Name schon vermuten lässt ( HKLM\SYSTEM\CurrentControlSet\Services) Dienste beinhaltet, also Programme, die meist beim Systemstart geladen werden und ihre Arbeit im Hintergrund verrichten. Der Wert "Start" für einen bestimmten Dienst gibt an, wie er gestartet werden soll. Mit "4" wollen wir Windows klar machen, dass der Dienst unter gar keinen Umständen gestartet werden soll (und somit auch keinen Ärger verursachen kann). Gruß Marc |
Hallo, was das für ne Sorte Programm oder was auch immer ist, weißt du auch nicht, oder? Könnte ich das irgendwo killen? Ansonsten probier ich das mit Wert 4, auf dem gleichen Weg wie vorher, nehm ich an (regedit)? Gruß, janamira |
Zitat:
BTW sollten danach unerwartete Probleme auftreten, einfach start wieder auf "3" ändern. |
Hallo, ich muss mich noch mal vergewissern, bevor ich das mit regedit versuche. Es gibt neben "currentcontrol" noch "controlset001" und "controlset002", die beide dieses "wanatw" mit dem Wert 3 enthalten. Die Fehlermeldung kam aber über den Weg "currentcontrol", also sollte ich vermutlich nur da den Eintrag ändern. An welcher Stelle genau ändere ich "3" in "4"? Unter Wert steht folgendes: 0x00000003 (3) Ändere ich die erste 3, die zweite oder beide? :confused: Ich weiß nicht, ob ich übervorsichtig bin, aber ich möchte an dieser Stelle nicht unbedingt Mist bauen. Bitte um kurze Rückmeldung Gruß janamira |
interessiert mich nun aber auch .. ich würde schätzen, dass du alle einträge auf 4 setzen solltest, da sie ja anscheinend schädlich sind oder dein systema uf irgendeine andere art negativ beeinflussen :balla: aber warte den rat des fachmanns ab ... :kloppen: |
Eigentlich meinte ich CurrentControlSet, welches - wie der Name vermuten lässt - das gegenwärtig verwendete Set ist. Wenn Du die anderen Einträge aber mitänderst, sollte das zumindest keine negativen Einflüsse haben. Zum Ändern des Wertes: Rechter Mausklick auf den Wert Start. Dann Ändern anwählen und den neuen Wert "4" eintragen. Die beiden Dir angezeigten Werte sind identisch. Kleiner Exkurs: 0x00000003: Dies ist ein hexadezimaler Wert. Basis hiefür ist die 16. Gelesen wird von rechts nach links. "3" bedeutet "3 x (16 ^ 0) [16 hoch Null]. Irgendeine Zahl hoch Null ist 1. Damit ist "3 x (16 ^ 0)" = 3 (3x1). Hinzuaddiert werden die nächsten Werte, als da wären (von rechts nach links) 0x16^1, 0x16^2, 0x16^3 etc. Der Wert in der Klammer (3) ist die Übersetzung des hexadezimalen Wertes in das uns bekannte Dezimalsystem. BTW pro Stelle sind beim hexadezimalen System die Werte 0-9 und A-F (A=10, F=16) möglich. Als Beispiel folgendes: 0x0000008F (143) F (16) x 16^0 = 16 8 x 16^1 = 128 Summe: 143 |
Hallo, ich habe den Wert jetzt auf 4 gesetzt. Das Bootverhalten hat sich aber leider nicht verändert. Bootvis hab ich auch noch mal laufen lassen, das Resultat war aber auch dasselbe wie beim letzten mal. Schade eigentlich. Hat noch jemand eine Idee? |
Mal ne Frage: Benutzt Du Pinnacles InstantCD/DVD? Wie dem auch sei, lasse bitte mal folgende Dateien bei Jotti prüfen (Link siehe Signatur): C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\VOBREGCheck.exe Zudem fixe mal bitte den VOBREGCheck-Eintrag in HJT: O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg Sollte beim Check bei Jotti nichts rauskommen und das Fixen des Eintrages keine Verbesserung beim Booten, mache bitte mal einen Scan mit eScan unter wortwörtlicher Befolgung der Anleitung in meiner Signatur. |
Hallo, Pinnacles InstantCD/DVD kenne ich nicht, als Brennsoftware benutze ich Nero. Bei jotti hab ich eben vorbeigeschaut, da war aber wohl zuviel los. Ich habe, wenn ich mich recht erinnere, beim letzten Mal e-scan das Problem gehabt, dass ich das Programm im abgesicherten Modus nicht updaten konnte, weil ich in diesem Modus keine Internetverbindung herstellen kann. Vermutlich geht das doch, aber ich wusste auf die Schnelle nicht, wie. Wir gehen über einen Router ins Netz, der wählt im abgesicherten Modus nicht ein. Das Update für e-scan ließ sich aber nur aktuell runterladen und wurde soweit ich das sehen konnte nicht gespeichert, wenn ich für den abgesicherten Modus neu gestartet habe. Ich versuch das morgen noch mal. Gruß und vielen Dank janamira |
Hallo, ich habe die beiden Einträge bei jotti scannen lassen, beide ohne eine Virenmeldung. Das andere Teil habe ich bei HJT gefixt. Und gerade habe ich die Sache mit e-scan noch mal probiert. Das Problem ist wirklich dass ich die wortwörtliche Anleitung nicht befolgen kann. Der Download verläuft schon anders als auf der Seite erklärt (es sei denn ich hätte das falsche Programm runtergeladen, das glaube ich aber nicht - sieht exakt so aus, wie dargestellt). Ich musste mich nicht registrieren lassen oder einem Vertrag zustimmen. Ich nehme an, dass das nur bei der Kaufversion der Fall ist. Leider ist es dann auch so, dass die Updates nicht gespeichert werden ,so dass ich im abgesicherten Modus zwar mit der neusten Version von e-scan gearbeitet habe, aber ohne Updates. Diesmal war der Scan ohne Fehlermeldung, er ist ziemlich lang, soll ich trotzdem mal hier reinstellen (als Anhang war er zu groß)? So weit. Vielen Dank für die Unterstützung bisher. Gruß janamira :dummguck: |
Hallo, ich kann mit e-scan kein Problem mehr erkennen. Trotzdem hat sich das "zerhackte" Startverhalten (hörbar beim Siganlton) nicht verändert. Der PC ist auch sehr langsam, wenn ich eine Benutzeroberfläche abmelde und in ein anderes Profil gehe. Das Brennprogramm (Nero) hat letztens statt ca. 20 Minuten über 90 Minuten gebraucht. Soll ich das (sehr lange) e-scan-Ergebnis noch mal hierher kopieren? Hat noch jemand eine Idee? Vielen Dank, schon mal, janamira |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board