Habe seid gestern ein enormes PC-wird-ganz-lahm-Symtom!
KAV5 hat 2 Viren gefunden.Keine Ahnung woher die kommen.Naja....sind dann wohl weg.

Aber zur Sicherheit wollte ich doch mal das Log posten!

taaattaaaa....hier isses!


Logfile of HijackThis v1.97.7
Scan saved at 19:16:01, on 21.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\RivaTuner\RivaTuner.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Opera\opera.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
E:\8--Downloads--8\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner\RivaTuner.exe" /T
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38198.4712268518
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D43C8F4-682C-49AA-A38B-F8BC1F4EFD3E}: NameServer = 194.25.236.34

Danke für die Hilfe!!



mfg

'edit' Hat sich erledigt.

Geh mal auf www.hijackthis.de
Da kann man den logfile on hijackthis automatisch auswerten lassen, in ein paar sekunden.
Die aus wertung sagt schon was gut und was böse auf deinem rechner ist.
Rictig böses sit mir bei dir nicht aufgefallen, ist dein antivirus auf dem letzten stand ? wenn du neueste updates fürs antivirus programm hast, dann kann man schon den befall von viren ausschliessen.

Geh mal auf www.hijackthis.de
...........ist dein antivirus auf dem letzten stand ? wenn du neueste updates fürs antivirus programm hast, dann kann man schon den befall von viren ausschliessen.


Ja isses.Mir ist nur das enorm lahme Verhalten nach dem Booten von Windows aufgefallen!
Wenn er dann fertig ist mit laden...ist alles ok.



Komisch!



mfg

mmm...

Im Taskmanager:
C:\WINDOWS\System32\LckFldService.exe <-- entweder ein grosses Problem oder das Tool ist dazu da, um Ordner zu verschlüsseln. Allerdings wird es anscheinend nicht aufgerufen :confused:

In der Registry:
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack <-- Promisecontroller ?!?

Mehr hab ich nicht gefunden, worüber man sich Gedanken machen könnte ...

mmm...

Im Taskmanager:
C:\WINDOWS\System32\LckFldService.exe <-- entweder ein grosses Problem oder das Tool ist dazu da, um Ordner zu verschlüsseln. Allerdings wird es anscheinend nicht aufgerufen :confused:

Jo...sowas isses.


In der Registry:
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack <-- Promisecontroller ?!?

Mehr hab ich nicht gefunden, worüber man sich Gedanken machen könnte ...

Jepp...da hängen 2 Platten dran.



Habe jetzt mal etwas untersucht....bzw. eine Ahnung.

Ich gehe ja über ein ungesichertes WLAN ins Netz!!
Kann es sein das sich da jemand eingeklingt hat?
Weil ich neuerdings enorme Bandbreitenslowdowns habe!

Wie würdet ihr versuchen sowas aufzuklären?


PS:Warum mein WLAN ungesichert ist, weiss ich nicht.Das will so der Betreiber.Ist eh nur ein Minibetreiber sprich lokales EDV-Systemhaus die das ein bisschen aufgebaut haben hier.Denen ist das zuviel Aufwand mit dem Verschlüsseln!

"\Internet Explorer\Main,Search Bar"

du hast den trojaner "startpage".
wenn du den IE öffnest, bekommst du doch so eine verdammte startseite?

naja, hier (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163278) ist ein thread von mir, in dem das problem dank lokadamus gelöst wurde.

antivir ist der einzige antivirus, der ihn erkennt, ihn aber nicht vollkommen löschen kann. adaware und search&destroy finden ihn auch, können aber garnichts anstellen. im abgesicherten modus löschen bringt auch nichts. hijack kann es auch nicht erfolgreich fixen...

ps.: ab jetzt kein IE mehr benutzen...

"\Internet Explorer\Main,Search Bar"mmm...

Nee, das ist der normale Verweis, wobei es auf den Wert dahinter drauf ankommt. Der Wert ist in Ordnung.

Startpage hat sich bei dir, Insanse, in dem Wiederherstellungsordner von Windows eingenistet und Windows kam irgendwie dauernd auf die Idee, den Trojaner wiederherstellen zu müssen.
Der System Volume Information dient dazu, wenn Windows korrupt wird, wieder hergestellt zu werden. Wie der Trojaner es geschafft hat, sich als "wichtige Systemkomponente" einzutragen, weiss ich nicht, aber darum hat Windows das Teil immer wieder hochgeholt, bzw. Antivir durfte es nicht löschen ...

hm, nachdem ich jetzt formatiert habe, habe ich den eintrag nicht mehr- und ich wüsste nicht, dass ich ihn vor dem trojaner schoneinmal gehabt hätte...
aber besser der threadersteller nimmt dazu mal stellung;)

"\Internet Explorer\Main,Search Bar"

du hast den trojaner "startpage".
wenn du den IE öffnest, bekommst du doch so eine verdammte startseite?

naja, hier (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163278) ist ein thread von mir, in dem das problem dank lokadamus gelöst wurde.

antivir ist der einzige antivirus, der ihn erkennt, ihn aber nicht vollkommen löschen kann. adaware und search&destroy finden ihn auch, können aber garnichts anstellen. im abgesicherten modus löschen bringt auch nichts. hijack kann es auch nicht erfolgreich fixen...

ps.: ab jetzt kein IE mehr benutzen...

Hey!

Also Inet-explorer benutze ich nicht.Nur Opera!
Startseite von Inet-explorer ist aber Google.
Searchbar ist deaktiviert im Explorer.....das war ICQ-Searchbar!


mfg

Hey!

Also Inet-explorer benutze ich nicht.Nur Opera!
Startseite von Inet-explorer ist aber Google.
Searchbar ist deaktiviert im Explorer.....das war ICQ-Searchbar!


mfg

hm, ok :D
(bin halt noch im searchbar-trauma^^)