Kernel Fault Check; 4mtcsb.exe und weitere unbekannte Prozesse

#1 Hallo, der Laptop meines Vaters ist zur Zeit sowas von langsam. Defragmentieren und so hilft schon lange nicht mehr. Die Prozessliste ist sehr lang. Ich hab nun die meisten deaktiviert, hab trotzdem die Befürchtung, dass da einiges nicht ok ist.
Hiemal der log.

Logfile of HijackThis v1.99.1
Scan saved at 14:32:12, on 01.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\WINDOWS\System32\ESB.exe
C:\WINDOWS\System32\4mtcsb.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\TuneUp Utilities 2004\StartUpManager.exe
F:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [4mtcsb] C:\WINDOWS\System32\4mtcsb.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{219E6CAC-BDB3-43DF-964B-E66678615ECF}: NameServer = 192.168.0.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 se7ven

DER RECHNER IST VERSEUCHT -dennoch denke ich, dass sich eine Reinigung bei einem System, welches noch nie ein Windowsupdate gesehen hat - eine Reinigung nicht lohnt.
am besten - alles platt machen - formatieren und dann gleich SP2 laden
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die Antwort.

Die Dateien die darauf sind kann ich aber ohn eProbleme noch retten oder? Wenn nicht, wär das eine Katastrophe!

BTW: Könntest du diesen Log auch noch auswerten bitte?

Logfile of HijackThis v1.99.1
Scan saved at 18:27:41, on 01.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Windows Media Player\wmplayer.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - e:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Joystick2Mouse] e:\joy2mouse\joy2mouse.exe /hide
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4468962A-C3EE-4644-8E2A-FC15285A8B5F}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#4 se7ven

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ähm, gehts um meinen Rechner oder um den Laptop?

Hier mal von beiden.

Hier mal das von meinem Rechner:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A435-F0BE

Verzeichnis von C:\WINDOWS\system32

01.04.2007 22:02 55.080 vsconfig.xml
01.04.2007 01:11 4.212 zllictbl.dat
28.03.2007 13:10 287.704 FNTCACHE.DAT
25.03.2007 12:58 52.764 perfc009.dat
25.03.2007 12:58 380.350 perfh009.dat
25.03.2007 12:58 391.000 perfh007.dat
25.03.2007 12:58 63.580 perfc007.dat
25.03.2007 12:58 897.954 PerfStringBackup.INI
25.03.2007 00:02 2.184 wpa.dbl
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
02.02.2007 01:23 3.796 d3d9caps.dat
01.02.2007 18:04 98.304 CmdLineExt.dll
20.01.2007 23:32 25.065 wmpscheme.xml
19.01.2007 13:53 51.056 sirenacm.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A435-F0BE

Verzeichnis von C:\DOKUME~1\Storm\LOKALE~1\Temp

01.04.2007 22:03 16.384 ~DFD9EA.tmp
01.04.2007 22:03 16.384 ~DFD465.tmp
04.10.2006 09:23 668 datFind.bat
3 Datei(en) 33.436 Bytes
0 Verzeichnis(se), 627.007.488 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A435-F0BE

Verzeichnis von C:\WINDOWS

01.04.2007 22:02 0 0.log
01.04.2007 22:02 2.048 bootstat.dat
01.04.2007 03:49 488 Poolemup.ini
01.04.2007 03:30 171.002 setupact.log
31.03.2007 02:48 50 wiaservc.log
31.03.2007 02:48 410 wiadebug.log
31.03.2007 02:03 116 NeroDigital.ini
29.03.2007 20:08 747 win.ini
25.03.2007 21:38 357 kaillera.ini
23.03.2007 02:33 1.353.787 setupapi.log
22.03.2007 20:11 65.774 Windows Update.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe
27.02.2007 20:00 286.720 Setup1.exe
27.02.2007 20:00 73.216 ST6UNST.EXE
10.02.2007 21:57 285 nsw.log
01.02.2007 23:29 32.590 SchedLgU.Txt
26.01.2007 21:07 197 wmsetup.log
18.01.2007 22:33 68 my.ini
13.01.2007 01:51 315 fle.ini
02.01.2007 17:21 532 eReg.dat
01.01.2007 01:44 1.298.942 DPINST.LOG

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A435-F0BE

Verzeichnis von C:\WINDOWS\Temp

01.04.2007 22:02 256 ZLT02165.TMP
01.04.2007 22:02 256 ZLT02162.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 627.257.344 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A435-F0BE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
11.08.2004 03:22 3.036 wmv9dmo.inf
29.08.2003 16:55 2.136 WMAVAX.inf
30.06.2003 23:41 1.689 WMV9VCM.inf
25.02.2002 22:29 65 desktop.ini
5 Datei(en) 11.945 Bytes
0 Verzeichnis(se), 627.257.344 Bytes frei

###############################

Und hier mal das vom Laptop:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 189B-CF00

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.02.2002 03:34 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 1.939.341.312 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 189B-CF00

Verzeichnis von C:\

01.04.2007 22:32 0 sys.txt
01.04.2007 22:32 296 down.txt
01.04.2007 22:32 277 tmp.txt
01.04.2007 22:31 5.434 system.txt
01.04.2007 22:31 131 systemtemp.txt
01.04.2007 22:30 102.588 system32.txt
01.04.2007 22:29 352.321.536 pagefile.sys
25.02.2002 14:04 168 setupfax.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 189B-CF00

Verzeichnis von C:\WINDOWS\system32

01.04.2007 22:30 41.108 vsconfig.xml
25.03.2007 12:23 311.938 perfh009.dat
25.03.2007 12:23 40.326 perfc009.dat
25.03.2007 12:23 48.552 perfc007.dat
25.03.2007 12:23 317.168 perfh007.dat
25.03.2007 12:23 723.744 PerfStringBackup.INI
11.03.2007 01:12 2.184 wpa.dbl
02.01.2007 22:00 25.065 wmpscheme.xml


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 189B-CF00

Verzeichnis von C:\WINDOWS

01.04.2007 22:29 159 wiadebug.log
01.04.2007 22:29 50 wiaservc.log
01.04.2007 22:29 0 0.log
01.04.2007 22:29 2.048 bootstat.dat
01.04.2007 22:27 32.630 SchedLgU.Txt
01.04.2007 22:21 726 lexstat.ini
01.04.2007 14:06 698.297 setupapi.log
29.03.2007 17:23 44.082 Windows Update.log
06.03.2007 01:43 3.316 MKDEMSG.LOG
03.03.2007 00:36 3.072 MKDEWE.TRN
10.02.2007 21:57 446 nsw.log
08.02.2007 01:03 197 wmsetup.log
05.02.2007 23:46 4.424 mozver.dat
03.01.2007 16:48 143 mandant.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 189B-CF00

Verzeichnis von C:\DOKUME~1\XXX\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 189B-CF00

Verzeichnis von C:\WINDOWS\Temp

01.04.2007 22:30 256 ZLT036f0.TMP
1 Datei(en) 256 Bytes
0 Verzeichnis(se), 1.939.341.312 Bytes frei

#6 ich wollte noch mal den Rechner von deinem Vater durchchecken, bevor du formatierst (siehe log vom hIjackThis - siehe oben)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ok thx. Ihm gehts eigentlich nur um seine doc-Dateien. Die kann ich doch einfach auf CD brennen oder?

#8 ja, kann er - no problem
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Vielen Dank! 1a Forum und Support. Macht weiter so.