pc lahmt; woran liegt's?
 

hallo.

auf meinem laptop läuft vshield (mcaffee) und eine virusscankonsole (?). der scan sagt, dass nix gefunden wurde. wenn ich die ordner durchforste und rumgugel, bin ich mir aber nicht sicher, ob ich mir nicht doch etwas eingefangen habe, denn das lappi läuft langsamer, aber frisiert ist es nicht und auch nicht zu heiss.
(das soll zb verdächtig sein: O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} )

vielleicht kann jemand etwas aus diesen kryptischen file-logs herauslesen?
ich stoße einfach rasch an grenzen: zu manchen exe.dats gibt's widersprüchliches, zu anderen gar nichts and so on.

daher hoffe ich auf rat, trost, beistand und ein schnelleres laptop.
na, wenigstens eins von dem wäre schon mal super. :)

dank, gruß und los geht's:

Lad das mal bei www.virustotal.com hoch
Schalte Bonjour aus.
Windowstase + R -> services.msc -> Bonjour ode Apple -> Eigenschaften -> Startyp=Deaktiviert

Gruß

erstmal herzlichen dank!

1.) virustotal sagt:

Datei shdocvw.dll empfangen 2008.10.27 05:30:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)


2.) bin deinem pfad gefolgt: BONJOUR ist aus.
(kann das nicht auch ganz entfernt werden? wikipedia meint, es gehört zu safari, was ich schon deinstalliert habe)

lg tomas

Suche das und lade es dann hoch.

Ja Bonjour kann man ganz deinstallieren, aber das kann zu Problemen führen...


Gruß

Hast du dein PC mit nLite erstellt?

Gruß

Wenn du Bonjour ohne Probleme ganz entfernen willst, kann ich dir weiterhelfen.

nlite
 

1) Datei syssetup.dll empfangen 2008.10.27 13:36:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

2) ein bekannter vom frauenhofer-institut hat ihn erstellt; kann ich also nicht sagen. (frage ich aber nochmal per mail nach)

zu Bonjour:
gib unter Windowstaste + R->"%PROGRAMFILES%\Bonjour\mDNSResponder.exe" -remove ein
Im Ordner C:\Programme\Bonjour mdnsNSP.dll in mdnsNSP.alt umbenennen
Rechner neustarten
Jetzt den ganzen Bonjour-Ordner per Shift+Entf löschen.

Gruß

Das kann dazu führen, das das Internet nicht mehr funktioniert, da die LSP nicht fachkorrekt entfernt wurde.

Wie würdest du es entfernen?

Gruß

Mit LSPFix oder einem anderen, passendem Tool. Es ist aber bei diesen Programmen wichtig, dass man auch nichts anderes entfernt. Der Winsock LSP ist in dem Sinne sehr empfindlich.

Ich würde dem TO aber raten Bonjour nur zu deaktivieren und das hat er ja schon gemacht, denn an einem funktionierenden PC soll man nicht pfuschen.

Gruß

Wenn man Bonjour korrekt entfernt, gibts damit auch keine Probleme. ;)

Ja wenn...Wenn nicht dann aber schon:party:

Eben, drum sollte er so vorgehen:

1.)
mDNSResponder.exe manuell löschen, wenn Dienst deaktiviert wurde.

2.)
LSPFix anwenden:

Im WINSOCK von Windows werden Funktionen gesammelt (Bibliothek) welche zum Zugriff auf Netzwerkkomponenten nötig ist.
Winsock ergänzt Windows um das TCP/IP-Protokoll und ist für die Verbindung des PCs mit dem Internet zuständig.
Sie wird oftmals durch spezielle schädliche Software (Webhancer, NewDotNet) zerstört.

• Hilfe biete in diesem Fall das Tool -> LSPFix
• Nach dem Start erscheint diese Auswahl:

http://www.cevrik.sk/FORUM/ndn/lspfix.jpg

• Bewege nun die schädlichen Dateien von links (KEEP) nach rechts (REMOVE) und dann auf Finish:

• Danach das System neu starten lassen, und der Zugriff auf das Netzwerk/Internet sollte wieder funktionieren

(In deinem Fall befindet sich die mdnsNSP.dll wahrscheinlich schon im rechten Fenster

Was aber eigentlich wichtiger ist:

Läuft der PC noch langsam?

1) ich hatte den remove-befehl schon gegeben und die datei umbenannt, neugestartet, aber noch nicht gelöscht.
soll ich die datei rückbenennen, bevor ich das tool drüberjage?

2) neustart hat ewig gedauert ergo lahme ente.

Kannst du machen.

Läuft der PC noch langsam?

Das hab ich im Netz zu Bonjour gefunden.

1) pc läuft noch nicht schnell, aber gefühlt vielleicht etwas schneller. neustart dauert dennoch etwas......
aber sind laut internetsecurity ja auch noch schädliche dateien drauf. (ich habe ohne anweisung auch noch kein malware-tool oder combofix oder so drüberlaufen lassen)

2) mDNSResponder.exe gelöscht

3) datei rückbenannt, lspfix gestartet und neu gestartet.

Das HJT-Log hat nichts gefunden.
Also müssen wir anderst ran:

Mache mal einen Kaspersky Online Scan nach dieser Videoanleitung und poste die Ergebnisse.

Wichtig:
Mache den Scan mit dem IE
Schalte alle deine Antivirenprogramme und Firewalls vor dem Scan aus.

Nach dem Online Scan folgen evtl. Rootkitscans

Gruß

system-scan
 

merci!

1) IE javatechn. upgedatet, 3 stunden bei kaspersky gescannt:




2) bin mir nicht sicher, ob ich BONJOUR-dienst richtig deaktiviert habe. wie kann ich das kontrollieren? (im dienst-verz. find ich es nicht)


3) HJT-logfile nochmal hochgeladen. (hatte bisher noch nichts gefixt; soll ich mal?)
4 oder 5 hkus-dateien werden als schädlich angezeigt; "pacificpoker" hat sich von "sehr schädlich" auf "äusserst schädlich" verschlimmert.


4) apple scheint eine ziemlich aggressive firma zu sein. habe itunes deinstalliert, aber unter software werden noch bonjour und noch zwei andere apple-programme angezeigt. kann ich doch sicher auch deinstallieren, oder?
(der link des lonesomewalkers gibt ja eine genaue anleitung; befolgen oder erstmal ruhen lassen?)

Im HijackThis Logfile.
Wurde es nicht korrekt entfernt, ist ein O10-Eintrag vorhanden.

aaah - easy.

kein O10-eintrag, dann dürfte bonjour erstmal erledigt sein.

Die Anleitung ist von myrtille nicht von mir

Während dieser Scans soll(en):

* alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
* keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
* nichts am Rechner getan werden
* nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

* Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
* Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

* Lade dir Catchme runter auf deinen Desktop.
* Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
* Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
* Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

* Lade RootkitRevealer runter(der Downloadlink ist ganz unten) und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

yo, mach ich morgen; muss gleich zur arbeit.

danke erstmal an euch beide. gut zu wissen, dass keine infektionen vorhanden sind........bis zum jetzigen stand jedenfalls.

die latte der verdächtigen dateien (mit $-zeichen und so) werden hoffentlich morgen aufgespürt.


1) ich habe uninstall.exe und unwise.exe für pacificpoker suchen lassen und auch alles per hand durchgeklickt, aber es wurde nichts gefunden. wie kriege ich den müll runter? (warum ist die datei überhaupt äusserst schädlich? ist doch ein anbieter wie alle anderen auch)


2) mit easy-cleaner erstmal alles überflüssige gelöscht.




da mir euer know-how hilft/imponiert, stelle ich euch als gegenleistung das meine zur verfügung:
falls ihr nicht aus der hauptstadt kommt, aber irgendwann mal hinwollt oder fragen habt, fragt ruhig! dürfte echt nicht viele geben, die die stadt so gut kennen like moi. mit tipps und rat revanchiere ich mich gern. ist spontan jedenfalls das nützlichste, was mir einfällt.



melde mich morgen nach den scans....lg tomas