PC schläft ein

Dieses Thema im Forum "Windows" wurde erstellt von Skilla, 7. August 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 7. August 2007
    Hiho


    also ich hab ein kleines problem und zwar is mein pc so lahm das ich meistens nichts mehr machen kann. ich hab letztens erst defragmentiert und lasse gerade antivir drüberlaufen.

    könnt ihr mir vllt bei meinem problem helfen?

    Hab auch scho ein hijackthis logfile, wär geil wenn ihr euch des mal durchschaut.

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 01:47:59, on 07.08.2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
    C:\WINDOWS\asr.exe
    C:\WINDOWS\ctgt86.exe
    C:\WINDOWS\System32\sysc10trg.exe
    C:\WINDOWS\System32\odfwbc21.exe
    C:\WINDOWS\System32\oodtray.exe
    C:\WINDOWS\System32\pk32j.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Dominik\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rtayroywqcoqpovfmxbvwyyu.biz/HL2LySZkvG4AhP3CqVEROSaNWfWvS6re45NZsAkYSSrsZoSSwXts7iuEoP33O3j4.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alhfrhftnem.com/HL2LySZkvG79L0RD2Ey7T2gISaiQFGJKEZA_zObdKic.html
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {6E776272-E5FC-81E2-8AA7-BF3EE1C52C57} - C:\DOKUME~1\WIESEL~1\ANWEND~1\HEARTM~1\Comp support.exe (file missing)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
    O4 - HKLM\..\Run: [asr.exe] C:\WINDOWS\asr.exe s
    O4 - HKLM\..\Run: [xxndiag] C:\WINDOWS\ctgt86.exe
    O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\System32\servsq.exe -s
    O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\System32\svct_32.exe
    O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\System32\sysc10trg.exe
    O4 - HKLM\..\Run: [odfwbc21] C:\WINDOWS\System32\odfwbc21.exe
    O4 - HKLM\..\Run: [wmem] C:\WINDOWS\System32\wmem.exe
    O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\System32\servsq.exe
    O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\System32\oodtray.exe
    O4 - HKLM\..\Run: [msproject] C:\WINDOWS\System32\pk32j.exe
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
    O4 - HKCU\..\Run: [WaveLess] C:\DOKUME~1\Dominik\ANWEND~1\INTERC~1\ACE CAST.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
    O8 - Extra context menu item: &Search - ?p=ZSYYYYYYYYDE
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: autowinn - C:\WINDOWS\System32\autowinn.dll
    O20 - Winlogon Notify: odfwbc21 - C:\WINDOWS\System32\odfwbc21.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    O23 - Service: Norman NJeeves - Unknown owner - C:\DOKUMENTE UND EINSTELLUNGEN\DOMINIK\DESKTOP\nvc\BIN\NJEEVES.EXE (file missing)
    O23 - Service: Norman ZANDA - Unknown owner - C:\Dokumente und Einstellungen\Dominik\Desktop\NVC\BIN\Zanda.exe (file missing)
    O23 - Service: Norman Virus Control on-access component (nvcoas) - Unknown owner - C:\DOKUMENTE UND EINSTELLUNGEN\DOMINIK\DESKTOP\nvc\BIN\nvcoas.exe (file missing)
    O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\DOKUMENTE UND EINSTELLUNGEN\DOMINIK\DESKTOP\nvc\BIN\NVCSCHED.EXE (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    

    BW is klar
     
  2. 7. August 2007
    AW: PC schläft ein

    Wie wäre es, wenn du deinen Logfile mal hier postest: Log-Analyse und Auswertung - Trojaner-Board

    Die haben da sicher sehr viel mehr Ahnung.

    Ansonsten:
    1. Du hast rel. viele Prozesse am laufen (finde ich jedenfalls, aber mein PC ist auch schon etwas älter)
    2. Was ist das? C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    Was ist das? > C:\WINDOWS\System32\oodag.exe
    Unnötig? > C:\WINDOWS\SOUNDMAN.EXE
    Was ist das? > C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    Unnötig? DFÜ-Verbindung einrichten? > C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

    Diese hier kommen mir sehr verdächtig vor:
    Naja ist mir ein bisschen viel, dass alles durchzuschauen, aber da sehen mir ganz viele Einträge weiter unten sehr nach Virus aus. Schon die ersten beiden Einträge sehen sehr komisch aus...zudem alle Einträge, die zu den eben "verdächtig vorkommenden" laufenden Prozessen.

    Poste einfach mal im Trojaner-Board. Die haben verdammt viel Ahnung, was davon gefährlich ist und wie du es los wirst.

    Achja, wenn du die Einträge entfernen willst (dauerhaft), wirst du auf jeden Fall in den abgesicherten Modus gehen müssen und wahrschl. auch mehr machen müssen, als die Einträge mit Hijackthis zu entfernen. Viel Glück!


    mfg,
    m00pd00p
     
  3. 7. August 2007
    AW: PC schläft ein

    ich würde mir mal folgende genauer ansehen

    Code:
    O20 - Winlogon Notify: odfwbc21 - C:\WINDOWS\System32\odfwbc21.dll
     O8 - Extra context menu item: &Search - ?p=ZSYYYYYYYYDE
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
    O4 - HKLM\..\Run: [wmem] C:\WINDOWS\System32\wmem.exe
    O4 - HKLM\..\Run: [odfwbc21] C:\WINDOWS\System32\odfwbc21.exe
    O4 - HKLM\..\Run: [asr.exe] C:\WINDOWS\asr.exe s
     C:\WINDOWS\System32\odfwbc21.exe
    wenn du alles wissen willst geh auf HijackThis Logfileauswertung da kannst das log online kostenlos auswerten lassen.

    mfg
     
  4. 7. August 2007
    AW: PC schläft ein

    C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

    Code:
    Also die "Marmiko"-Einträge deuten auf irgendwelche Einwahlsoftware oder sowas hin.
    Hersteller: http://www.marmiko.com/prdkt_00.htm
    C:\WINDOWS\System32\oodag.exe

    Code:
    Dies müsste das Defragmentierungsprogramm von O&O Software sein.
    C:\WINDOWS\SOUNDMAN.EXE

    Code:
    Normalerweise eine harmlose Datei von der Firma 'Realtek'
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

    Code:
    Die wkufind / wkufind.exe gehört zu Picture-It von Microsoft.
    Das Programm versucht eine Verbindung in das Internet herzustellen.
    C:\WINDOWS\ctgt86.exe
    C:\WINDOWS\System32\sysc10trg.exe
    C:\WINDOWS\System32\odfwbc21.exe
    C:\WINDOWS\System32\pk32j.exe

    Code:
    Spyware/Trojaner


    Zudem kann ich dir die kostenlose Software a-squared Free 3.0 empfehlen gegen Trojaner&Co.

    Leute die 'asr.exe' ist doch irgendso ein Emulationstool oder Kopierschutzumgeher, gibt's glaub bei Daemon Tools auf der Homepage - das ist normal nix gefährliches.

    Zudem lade dir mal den 'CTFMON.EXE Remover' herunter, CTFMON ist ein Prozess von Microsoft Office und wird nicht dringend benötigt - zudem bremst er auch ältere Systeme aus

    Die CTFMON.EXE ist auch für den Wechsel des Eingabegebietsschemas (also der Wechsel des Tastaturschemas von z.B. Deutsch nach Englisch) zuständig, aber macht nix, das Tool kann bei Bedarf die Datei wiederherstellen so wie sie vorher war!

    Den Remover gibt's hier, virenfrei: CTFMON-Remover » Downloads » WinTotal.de
     
  5. 7. August 2007
    AW: PC schläft ein

    am besten du machst mal ein HJT log gleich nach deinem System start, ohne das irgendwelche Programme lauf, (z.B AntivirenProg. icq. usw)

    Oder gleich im Abgesicherten Modus.

    Gruß BenQ
     
  6. 7. August 2007
    AW: PC schläft ein

    Schonmal mit Programmen Deine Registrierung defragmentiert?
    Ansonsten hast du sehr sehr viele Prozesse, die da laufen ....
    EVTL schonmal unnötige Dienste oder Programme abschalten über
    Start --> msconfig --> Registerkarte Systemstart
    Installier doch mal den Security Tast Manager, der dir auch laufende Prozesse anzeigt, diese aber nach Bedrohung einschätzt!

    Gegen Spyware:
    Lavasoft Adware 2007
    Sypbot Search & Destroy
    FÜr die Real Time Protection, vielleicht Windows Defender!

    Sollte Dein Rechner wirklich so zu sitzen etc, helfen meist die besten Programme nichts mehr, weil sich immer was in der Registry verankert oder auch in den Windows System Ordnern.
    Hoffe konnte ein bisschen helfen!

    Bye
     
  7. 7. August 2007
    AW: PC schläft ein

    also vielen dank für die hilfe hab etz erst mal die ganzen prozesse enfernt und etz geht er wieda ganz gut.

    ich denk ich werd nen aber bald mal formatieren wenn des problem bald wieda auftaucht.

    BWs sind raus und nomal vielen dank

    >>closed<<
     
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.