Problem mit Winlogon.exe

#0
16.09.2007, 00:46
...neu hier

Beiträge: 7
#1 Hallo,

seit gestern habe ich arg ein Problem. Mein pc laggt dermaßen rum, dass ich damit nichts mehr machen kann. Ich wunderte mich die ganze zeit, dass cs ruckelt aber dachte mir erst einmal ncihts dabei, dann öffnete ich den Taskmanager und sah, dass der prozess winlogon.exe 95% cpu auslastet und 120 mb verbraucht.

Ich bin auch der meinung, dass allgemein mein ganzes Steam und mein ganzes Inet dadurch abschmiert.

deshalb habe ich mal ein Hijackthis logfile gemacht und bitte euch um hilfe ;)

logfile :

Logfile of HijackThis v1.99.1
Scan saved at 00:40:23, on 16.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ61\ICQ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\prio\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.xfire.com/xf/firstupdate.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ61\ICQ.exe" silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O9 - Extra 'Tools' menuitem: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ61\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ61\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5A33BFF-C397-429D-BEC5-AADB5F320D1A}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe




ich hoffe ihr könnt mir weiter helfen und ich muss meinen PC nicht formatieren ^^
Seitenanfang Seitenende
16.09.2007, 10:50
Moderator

Beiträge: 7805
#2 Poste bitte ein Combofix Report: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 11:41
...neu hier

Themenstarter

Beiträge: 7
#3 hi,

hier der Combofix Report:

ComboFix 07-09-14.2 - "prio" 2007-09-16 11:38:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.502 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\sysdm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-08-16 bis 2007-09-16 ))))))))))))))))))))))))))))))
.

2007-09-16 11:37 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-16 11:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
2007-09-15 16:51 110,592 --a------ C:\WINDOWS\system32\ccrpbds6.dll
2007-09-15 16:51 1,703,936 --a------ C:\WINDOWS\system32\gdiplus.dll
2007-09-12 16:55 <DIR> d-------- C:\Programme\FileZilla Client
2007-09-12 16:55 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\FileZilla
2007-09-07 18:26 <DIR> d-------- C:\Programme\DFX
2007-09-02 20:08 33,792 -----c--- C:\WINDOWS\system32\dllcache\custsat.dll
2007-09-02 18:38 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\Ahead
2007-09-02 18:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-09-02 18:36 <DIR> d-------- C:\Programme\Nero
2007-09-02 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-09-02 18:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
2007-09-02 17:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-08-29 15:54 <DIR> d-------- C:\Programme\CCleaner
2007-08-25 00:35 14 --a------ C:\DOKUME~1\prio\getfile.dat
2007-08-22 00:46 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-08-21 21:42 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\My Games
2007-08-21 20:39 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-21 11:34 <DIR> d-------- C:\Programme\ICQ61
2007-08-21 11:20 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\InstallShield
2007-08-21 10:53 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2007-08-21 10:53 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2007-08-21 10:53 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2007-08-19 17:09 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\Sierra

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-16 11:39 145440 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-16 11:30 1460 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-09-16 11:28 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-16 11:28 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-15 22:18 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\teamspeak2
2007-09-13 21:39 --------- d-------- C:\Programme\HLSW
2007-09-12 22:07 --------- d-------- C:\Programme\mIRC
2007-09-11 10:28 --------- d---s---- C:\Programme\Xfire
2007-09-09 20:44 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Skype
2007-09-08 11:07 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Azureus
2007-09-08 10:29 --------- d-------- C:\Programme\Winamp
2007-09-04 23:03 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Xfire
2007-09-02 18:36 --------- d-------- C:\Programme\ICQToolbar
2007-08-29 16:32 --------- d-------- C:\Programme\eMule
2007-08-23 14:50 --------- d-------- C:\Programme\Opera
2007-08-23 14:50 --------- d-------- C:\Programme\Macrogaming
2007-08-23 14:49 --------- d-------- C:\Programme\Ahead
2007-08-23 14:40 --------- d-------- C:\Programme\QuickTime
2007-08-23 09:50 --------- d-------- C:\Programme\Trillian
2007-08-21 11:34 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\ICQ
2007-08-21 08:34 --------- d-------- C:\Programme\Azureus
2007-08-15 23:25 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Screenshot Sender
2007-08-11 15:42 --------- d-------- C:\Programme\Image-Line
2007-08-10 01:09 33952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2007-08-09 20:51 --------- d-------- C:\DOKUME~1\NETWOR~1\ANWEND~1\Xfire
2007-08-08 13:50 --------- d-------- C:\Programme\Lavalys
2007-08-07 15:01 --------- d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Xfire
2007-08-03 21:44 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
2007-08-02 19:32 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\dvdcss
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 12:43 --------- d-------- C:\Programme\pics-factory Toolbar
2007-07-29 11:47 --------- d-------- C:\Programme\Kaspersky Lab
2007-07-28 02:22 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Desktop Sidebar
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-21 21:55 54672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-06-21 21:55 42384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-06-21 21:54 75248 --a------ C:\WINDOWS\zllsputility.exe
2007-06-21 21:54 21904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-06-21 21:54 17808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-06-21 21:54 1086952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22]
"razer"="C:\Programme\Razer\Copperhead\razerhid.exe" [2005-10-08 17:27]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 C:\WINDOWS\soundman.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"iconcache"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-06 17:43]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"ICQ"="C:\Programme\ICQ61\ICQ.exe" [2007-08-08 17:03]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]
"Steam"="d:\spiele\steam\steam.exe" [2007-09-15 23:20]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"WUAppSetup"=C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08ad -f video -m logitech -d 10.5.1.2023

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^prio^Startmenü^Programme^Autostart^Adobe Gamma.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^prio^Startmenü^Programme^Autostart^Xfire.lnk]
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Programme\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"D:\Spiele\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]

R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys
S3 RivaTuner32;RivaTuner32;\??\C:\Programme\RivaTuner v2.01\RivaTuner32.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\EE2AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{022e1d1d-bd1a-11db-a2cc-806d6172696f}]
AutoRun\command- F:\menue.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - VSMON
.
Inhalt des "geplante Tasks" Ordners
"2007-08-11 19:32:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-16 11:40:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-16 11:40:49
C:\ComboFix-quarantined-files.txt ... 2007-09-16 11:40
.
--- E O F ---
Seitenanfang Seitenende
16.09.2007, 11:51
Moderator

Beiträge: 7805
#4 Du hast einen Ordner c:\qoobox dort befindet sich eine Datei sysdm.vir(denke ich) teste diese bei Jotti oder Virustotal
In wie weit bremst der Rechner noch?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 11:56
...neu hier

Themenstarter

Beiträge: 7
#5 meinst du vllt sysdm.exe.vir?

habe nurll ahnung von dem hier alles, deshalb vergewissere ich mich lieber ncoh einmal.
Seitenanfang Seitenende
16.09.2007, 12:04
Moderator

Beiträge: 7805
#6 Ja, genau die meinte ich....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 12:27
...neu hier

Themenstarter

Beiträge: 7
#7 es wurde ncihts gefunden.

Scan taken on 16 Sep 2007 10:25:34 (GMT)
A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

habe ich denn gar keinen trojaner oder ähnliches auf meinem pc?
Seitenanfang Seitenende
16.09.2007, 13:03
Moderator

Beiträge: 7805
#8 Schick die Datei bitte einmal an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 13:04
Moderator

Beiträge: 7805
#9 Achso, offensichtlich ist da nichts zu sehen...
Du kannst einen Kontrollscan mit Kaspersky machen http://www.kaspersky.com/de/virusscanner
und dein Antivir einstellen wie hier beschrieben:
http://board.protecus.de/t23979.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 13:38
...neu hier

Themenstarter

Beiträge: 7
#10 So AntiVir ist so konfiguriert und den online scan führe ich gerade durch. Eine infizierte datei wure gleich nach wenigen Sekunden gefunden, aber er ist noch lange nicht fertig.
Seitenanfang Seitenende
16.09.2007, 13:43
Moderator

Beiträge: 7805
#11 Schreib nachher mal, was von wem wo gefunden wurde...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 13:50
...neu hier

Themenstarter

Beiträge: 7
#12 das kam bei dem onlinescanner heraus:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 16. September 2007 13:48:47
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.84.1
Letztes Update der Antiviren-Datenbanken: 16/09/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 393697
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\prio\LOKALE~1\Temp\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 12433
Viren gefunden 1
Infizierte Objekte gefunden 1 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:11:54

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.bwf übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\PAUL.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{788D67D7-6859-44A7-BBDD-053988A7310F}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT0048c.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT0048f.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\prio\LOKALE~1\Temp\JET1BB1.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\prio\LOKALE~1\Temp\~DF7FB3.tmp Das Objekt ist gesperrt übersprungen
Seitenanfang Seitenende
16.09.2007, 13:54
Moderator

Beiträge: 7805
#13 Dann benenne diese Datei einmal um C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

einen scan kannst du auch noch mit Drweb Beta: http://freedrweb.com/?lng=en
und Ewido micro machen: http://downloads.ewido.net/ewido_micro.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2007, 14:13
...neu hier

Themenstarter

Beiträge: 7
#14 Wie soll ich sie denn umbenennen?

hier ist dann nochmal der report vom antivir:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 16. September 2007 13:46

Es wird nach 1069729 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: prio
Computername: PAUL

Versionsinformationen:
BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 15:43:39
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 15:43:39
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 15:43:40
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 15:43:40
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 15:31:54
ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 16:28:27
ANTIVIR3.VDF : 6.39.1.127 92672 Bytes 13.09.2007 16:28:27
AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 13.09.2007 16:28:27
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 15:43:39
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 02.09.2007 15:31:54
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 15:43:39
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 15:43:37
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 15:43:37
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 15:43:33
RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 15:43:33
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 15:43:40

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 16. September 2007 13:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamSpeak.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xfire.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '27' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\prio\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475a1908.qua' verschoben!
C:\Dokumente und Einstellungen\prio\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e4upmusz.default\Cache\C2152591d01
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471e18eb.qua' verschoben!
C:\WINDOWS\system32\Sys32\RKLC.006
[FUND] Enthält Erkennungsmuster des SPR/Ardamax.O.33-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47391dae.qua' verschoben!


Ende des Suchlaufs: Sonntag, 16. September 2007 14:11
Benötigte Zeit: 24:54 min

Der Suchlauf wurde vollständig durchgeführt.

4284 Verzeichnisse wurden überprüft
170525 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
170522 Dateien ohne Befall
1368 Archive wurden durchsucht
1 Warnungen
1 Hinweise
Seitenanfang Seitenende
16.09.2007, 15:44
Moderator

Beiträge: 7805
#15 Es ist egal, wie du sie umbenennst, oder du kannst die Datei auch in einen Anderen Ordner kopieren, sie darf halt nicht mehr so heissen, wie sie derzeit heisst! Du kannst einfach ein .vir an dem Dateinamen anhaengen. Schau bitte auch, was sich in diesem Ordner befindet: C:\WINDOWS\system32\Sys32 Aendere den Odner namen C:\WINDOWS\system32\Sys32 bitte in C:\WINDOWS\system32\32 um
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: