|
HILFEEEE ! lsas.exe, noch mehr ??? Hallo zusammen, könnt ihr euch das mal bitte ansehen? Es ist der Rechner einer Freundin und ihr netter Ex soll ihr angeblich irgendwas eingebaut haben :snyper: Sie sagt nur, dass der Rechner total langsam geworden ist...und das stimmt ! Vielen Dank im Voraus für eure Hilfe und für Tips bin ich sehr dankbar ! Logfile of HijackThis v1.99.1 Scan saved at 23:09:10, on 25.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\System32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE D:\Programme\Logitech\iTouch\iTouch.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe D:\WINDOWS\system32\taskmgr.exe D:\Programme\Antivir\AVWUPSRV.EXE D:\Programme\Antivir\AVWIN.EXE D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\Tom\LOKALE~1\Temp\Rar$EX01.000\HijackThis.exe D:\DOKUME~1\Tom\LOKALE~1\Temp\Rar$EX04.829\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.lycos.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\Downloadmanager\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\Downloadmanager\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\Downloadmanager\LeechGet 2004\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0BA9B72A-4BB9-4EB9-B863-E73BA44CB1A7} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0BA9B72A-4BB9-4EB9-B863-E73BA44CB1A7} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127129386609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127131107640 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Antivir\AVWUPSRV.EXE O23 - Service: McAfee Firewall - Unknown owner - D:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) Gruß Kelle |
Das Logfile sieht m. E. nach sauber aus. Mach mal einen Check mit eScan siehe Anleitung und poste das mit der FIND.BAT erstellte Logfile "escan_neu.txt". |
Hallo, hab das mit eScan probiert. Der Rechner lässt sich aber nicht im abges. Modus starten und hängt sich nach dem er abgesichert hochfährt auf (schwarzer Bildschirm, blinkender Cursor/Strich oben links) Ansonsten hab ich mal über MSCONFIG in den Systemstart gesehen. :teufel1: - wftestb.exe - wf32b.exe - phqghu.exe - wf32vbc.exe - csrs.exe - mstftp.exe ich glaub das gehört da nicht hin, oder ? |
Das sieht nicht gut aus. Wenn ich wüsste dass diese Prozesse mal auf meinem Rechner gelaufen sind, hätte ich den schon längst platt gemacht bzw. ein Image eingespielt. |
Sorry, was heist ein Image eingespielt ??? |
Zitat:
|
Laufen diese Sachen denn jetzt aktiv mit oder sind das Altlasten? Hab ich die Möglichkeit das herauszufinden und zu sehen ob da vielleicht noch jemand im Hintergrund ist ??? |
Offensichtlich nicht aktiv, jedenfalls nicht durch HJT ersichtlich. Die Prozessnamen sehen für mich aber irgendwie nach Netzwerkwürmern aus. D.h. also auch wenn die nicht mehr aktiv wären, ist das System nicht mehr vertrauenswürdig und sollte dringends neu aufgesetzt werden. |
Hmmm, dann werd ich das demnächst mal machen. Ich danke dir jedanfalls erstmal für die Hilfe ! :party: Gruß Kelle |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board