[Piteye]

Seit einiger Zeit habe ich eine Problem mit Windows XP.
Wenn ich mich ins Internet per Smatsurfer einlogge reagiert XP garnicht mehr, bzw. die Maus bewegt sich, Ordner lassen sich öffnen, DOS Progs laufen und mit dem Browser kann ich ganz normal surfen, aber es lassen sich keine Programme mehr öffnen, Notepad, Media Player eben ein neues Programm, denn in diesem Moment reagiert auch die TaskLeiste nicht.
Wenn ich nun ein Programm starte, öffnet es sich auch dann erst nach einiger zeit(>5Min.), dann reagiert alles wieder die Task Leiste zeigt wieder alle geöffneten Fenster an und alle Programme, die ich geöffnet habe öffnen sich dann in diesem Moment.
Die Frage ist ja nun ganz klar, warum das so ist, ich hab schon einige Überlegungen gehabt ob es vllt an FSecure, ServicePack2 oder vllt etwas mit Norton zu tun hat, vllt steckt auch SpyWare dahinter, aber SpyBot und Ad-Aware findet nichts.
Kennt jemand zu diesem Problem eine andere Lösung als XP neu zu installieren.

[flo]

Laß mal Hijackthis drüberlaufen und poste hier das Log!


Von Norton kann ich dir auch nur abraten!

[janpi3]

Eine Frage ist SP2 auf ein neu aufgesetztes System installiert worden oder erst im danach

von Norton würd ich dir auch abraten!

[Piteye]

Service Pack 2 wurde im nachhinein installiert, also nicht direkt nach einer Neuinstallation. An SP2 liegt das auch wahrscheinlich weniger, da ich an meinen anderen Rechnern nicht dieses Problem habe.

Hijack This, lad ich dann erstma runter

Dieser Beitrag wurde von Piteye bearbeitet: 08. Januar 2005 - 12:20

[Piteye]

Logfile of HijackThis v1.99.0
Scan saved at 12:22:59, on 08.01.05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
F:\Viren\F-Secure\Anti-Virus\fsgk32st.exe
F:\Viren\F-Secure\Anti-Virus\FSGK32.EXE
F:\Viren\F-Secure\fswsclds.exe
F:\Viren\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\hfp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
F:\Viren\F-Secure\Common\FSMA32.EXE
C:\DOKUME~1\MEINPA~1\LOKALE~1\Temp\IXP000.TMP\fast.exe
F:\Viren\F-Secure\Common\FSMB32.EXE
F:\Viren\F-Secure\Common\FCH32.EXE
F:\Viren\F-Secure\Common\FAMEH32.EXE
F:\Viren\F-Secure\Common\FNRB32.EXE
F:\Viren\F-Secure\Common\FIH32.EXE
F:\Viren\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
F:\DFU\Classic PhoneTools\CapFax.EXE
C:\WINDOWS\system32\TaskSwitch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\fast.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
F:\Viren\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
E:\WISO\Börse 4\BIN\dptimer.exe
F:\MMedia\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
F:\DFU\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
I:\Spiele\Steam\Steam.exe
F:\DFU\NETSCAP7\NETSCP.EXE
C:\WINDOWS\system32\cidaemon.exe
F:\Spiele\ICQ\Icq.exe
D:\UTIL\DAP\DAP.EXE
D:\UTIL\DAP\DAPUPD.EXE
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///F:/DFU/Netscape/Users/bookmark.htm
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Programme\Google\Google Desktop Search\GoogleDesktopIE.dll
O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - f:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: (no name) - {55910916-8B4E-4C1E-9253-CCE296EA71EB} - (no file)
O4 - HKLM\..\Run: [CapFax] F:\DFU\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [CoolSwitch] TaskSwitch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [FastUser] fast.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Viren\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Buyertools Reminder] # "F:\DFU\Buyertools\Buyertools Reminder\Reminder.exe" /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [WB4-ZEITSTEUERUNG] "E:\WISO\Börse 4\BIN\dptimer.exe" /reg
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\MMedia\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - D:\UTIL\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\UTIL\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: eBay Powersuche - http://preispiraten.de/cgi-bin/e/tracker_p...search_adv.html
O8 - Extra context menu item: eBay Produktsuche - F:\DFU\Buyertools\Buyertools Browser\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://preispiraten.de/cgi-bin/e/tracker_p...://www.ebay.de/
O8 - Extra context menu item: Mein eBay - http://preispiraten.de/cgi-bin/e/tracker_p...y&pageType=1883
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - F:\DFU\Buyertools\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\SPIELE\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\SPIELE\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Spiele\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Spiele\ICQLite\ICQLite.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/track...p://www.ebay.de (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\SPIELE\YAHOOM~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\SPIELE\YAHOOM~1\YPAGER.EXE
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictive...cab/trad3rp.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...42c5c6546c7d1fb
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094852967078
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBE1AC0-FC51-4B4F-B808-70656825BAF7}: NameServer = 213.20.248.163 193.189.244.205
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - F:\Viren\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - F:\Viren\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent - F-Secure Corporation. All Rights Reserved. - F:\Viren\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent - F-Secure Corporation - F:\Viren\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service - F-Secure Corporation - F:\Viren\F-Secure\fswsclds.exe
O23 - Service: HFP Service - Unknown - C:\WINDOWS\system32\hfp.exe
O23 - Service: InteractiveLogon - Unknown - %SystemDrive%\DOKUME~1\MEINPA~1\LOKALE~1\Temp\IXP000.TMP\fast.exe (file missing)
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VNC Server - Constantin Kaplinsky - F:\DFU\TightVNC\WinVNC.exe

so wer wird daraus schlau

[WinlinMax]

posten bei hijackthis wirds ausgewertet

[DiNozzo]

Sieht nicht so gut aus:
http://www.hijackthis.de/logfiles/4203667b...1ca8332758.html

//edit:
Grml isah war schneller

Dieser Beitrag wurde von Stefan bearbeitet: 08. Januar 2005 - 12:26

[WinlinMax]

Hier hast dus ausgewertet:
http://hijackthis.de/logfiles/abb9a6acc0e0...92085197ef.html

[WinlinMax]

hm 3x
ich hab länger net aktualisiert...

[DiNozzo]

Zitat (WinlinMax: 08.01.2005, 12:28)

hm 3x
ich hab länger net aktualisiert...
<{POST_SNAPBACK}>

Es gibt auch den -Button

[flo]

Also so ganz sauber ist das Log nicht!


C:\WINDOWS\system32\hfp.exe

O23 - Service: HFP Service - Unknown - C:\WINDOWS\system32\hfp.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe (Druckertreiber?)

kannst du diese exe dateien zuordnen?

wenn nicht mal hier auf maleware untersuchen lassen!


Diese einträge im abg.Modus bei deaktivierter systemwiderherstellung fixen.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///F:/DFU/Netscape/Users/bookmark.htm

O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictive...cab/trad3rp.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windup...42c5c6546c7d1fb

Nicht Böse aber unnötig

O23 - Service: InteractiveLogon - Unknown - %SystemDrive%\DOKUME~1\MEINPA~1\LOKALE~1\Temp\IXP000.TMP\fast.exe (file missing)

O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing)

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: (no name) - {55910916-8B4E-4C1E-9253-CCE296EA71EB} - (no file)

O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispira...p://www.ebay.de (file missing)

Die exe ist Böse ,m abg.Modus bei deaktivierter systemwiderherstellung fixen und die .exe datei auch manuell Löschen


O4 - Global Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe

das ist
dieser
Wurm hier


W32/Beaker-B


# Sendet sich an Adressen in Outlook-Adressbüchern
# Fälscht die E-Mail-Adresse des Senders
# Installiert sich in der Registrierung


Deswegen stockt der PC auch weil er sich dan versendet, oder es zumindest versucht

Dieser Beitrag wurde von Flo01 bearbeitet: 08. Januar 2005 - 15:17

[Piteye]

Ich werde sehen was ich tun kann

[AeroX]

Hab so was ähnliches auch schonmal gehabt...
undzwar immer dann wenn ich F-Secure installiert hatte. Hab das Betriebssytem neuaufgespielt und alles war einwandfrei. Dann hab ich mal zum Test F-Secure aufs Notebook (auch mit XP Betriebssytem) aufgespielt. --> Die selben Fehler: Taskleiste reagiert nicht mehr und jegliche Arten von Anwendungen (speziell *.exe-Dateien) ließen sich nicht mehr ausführen.
Zu Anfang dachte ich auch das es irgendwie mit der Hardware von AVM zusammenhängen könnte, doch nachdem ich das mit dem Notebook überprüft hatte, stand für mich eigentlich fest das F-Secure in irgendeiner Weise daran Schuld sein muss...
Bis jetzt hab ich auch noch keine Lösung gefunden...

PS: Ich wähle mich normal über DFÜ ein...

Dieser Beitrag wurde von AeroX bearbeitet: 08. Januar 2005 - 20:48