[finn432]

Hallo,

mein PC mach seit ein paar Tagen probleme, das Hochfahren dauert ewig, und dann hat die CPU ständig 100% Auslastung. um Überhaupt noch was machen zu können, hilft nur die Kiste im Abgesicherten Modus zu starten. aber das ist auch keien Dauerlösung. Ich vermute das ich mir einen Virus eingefangen habe, nur eigentlich läuft bei mir ZoneAlarm und AntiVir beides immer Aktuell.

Gibt es noch ne andere Erklärung dafür? Bzw. was kann ich machen (ausser neuinstallation) um die Kiste wieder fit zu machen?

Gruß Micha

[Lutz1965]

Hallo

und wo sind die Angaben zum Betriebsystem und Deinen Rechner ?


Gruss

Lutz

[BlueWeasel]

@ finn432

also ausser dem Betriebssystem & deinen Angaben zum PC solltest du auch noch gleich hinschreiben welche Software installiert ist die immer mitstartet.

Ausserdem benutze das Tool hijackthis & poste den Log.

Ciao Blue

Dieser Beitrag wurde von BlueWeasel bearbeitet: 28. Juli 2004 - 15:48

[finn432]

Hallo,

hier nun mein HijackThis Log. allerdings aus dem Abgesicherten Modus heraus. Der normale Modus geht einfach nichtsmehr.

StartupList report, 28.07.2004, 22:31:44
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================


Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
PromulGate = "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
New.net Startup = rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
P2P Networking = C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
AltnetPointsManager = C:\Program Files\Altnet\Points Manager\Points Manager.exe -s 
Host = 
Mirabilis ICQ = C:\Programme\ICQ\NDetect.exe
PMXInit = C:\WINDOWS\System32\pmxinit.exe
apitb.exe = C:\WINDOWS\system32\apitb.exe
Zone Labs Client = C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
Realtime Audio Engine = mmrtkrnl.exe
WinampAgent = C:\Programme\Winamp 5-01\winampa.exe
Corel Reminder = 
AttuneClientEngine = C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
sdkxe32.exe = C:\WINDOWS\system32\sdkxe32.exe
CMESys = "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
CorelCorelDRAW10 Reminder = "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
KAZAA = C:\Programme\Kazaa\kazaa.exe /SYSTRAY
Trickler = "c:\windows\temp\adware\fsg_4104a.exe"
BDMCon = C:\Programme\BullGuard\\bdmcon.exe
BGNewsAgent = C:\Programme\BullGuard\\bgnewsag.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

apikx32.exe = C:\WINDOWS\apikx32.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

seticlient = C:\Programme\SETI@home\[email protected] -min
Host = 

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=sockspy.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\SETIHOME.SCR
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\winer32.dll - {B6FBF6C9-510D-F04F-75C4-47B77E2085E8}

--------------------------------------------------

Enumerating Download Program Files:

[Web P2P Installer]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5550578704

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #1: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #2: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #14: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #15: C:\Programme\NewDotNet\newdotnet6_30.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 7.019 bytes
Report generated in 0,040 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

Gruß Micha

System:
AMD Athlon XP 2600
QDI KuDoz 7X/600
512 MB Ram
acer 20/10/40
LG DVD Dual Layer
Samsung 80GB & 60GB
Creativ SBLive!
3Com LAN

[Strider]

GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
-> spyware

C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
Enumerating Winsock LSP files:

NameSpace #4: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #1: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #2: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #14: C:\Programme\NewDotNet\newdotnet6_30.dll
Protocol #15: C:\Programme\NewDotNet\newdotnet6_30.dll
-> böse, hijacker, wenn du es mit hijackthis nicht entfernen kannst, versuche es manuell zu deinstallieren, witzig aber funzt, siehe unter C:\Programme\NewDotNet nach nem uninstall

P2P Networking = C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
-> adware

AltnetPointsManager = C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
-> überflüssig, ob du das nur mit hijackthis ganz entfernen kannst ist fraglich
info

AttuneClientEngine = C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
-> fixen

sdkxe32.exe = C:\WINDOWS\system32\sdkxe32.exe
apikx32.exe = C:\WINDOWS\apikx32.exe
-> kenn ich nicht, klingt aber suspekt

Trickler = "c:\windows\temp\adware\fsg_4104a.exe"
-> adware, sollte klar sein

InProcServer32 = C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll
-> hmm würde ich fixen

naja im grossen und ganzen ein recht zugemültes system....
fixe mal diese einträge, vielleicht hilfts

was man immer vor dem posten seines hijcakthis-logs tun müsste :
ad-aware und spybot search&destroy downloaden und scannen lassen

ein guter tipp : an deiner stelle würde ich windows neu aufsetzen
Was ist Malware?
und beachte dann folgendes
Windows Sicherer Machen

Dieser Beitrag wurde von Strider bearbeitet: 28. Juli 2004 - 23:56

[finn432]

So, endlich mal wieder zeit gehabt mich um die Kiste zu kümmern. Nach ein bissel rumprobieren, hab ich mich dazu entschieden, den Rechner zu machen(Win + SP2!) bin bisher ganz zufrieden. hab auch mal mit den Benutzerrechten rumprobiert. einfach mir als Benutzer nur noch die nötigsten Rechte zu geben. somit kann mir doch eingentlich nichts mehr passieren, jede Veränderung einer (System-)Datei wird abgelehnt.

Danke für die vielen Tips!

Gruß Micha

[Strider]

ne neuinstallation war auch die bessere lösung

ich hoffe du hast die tipps in dem von mir angegebenen thread auch alle verfolgt, somit solltest du nun relativ sicher sein