#1 19. Dezember 2005 Hi Ich hab folgendes Problem wenn ich meinen Pc starte dauert es sehr lang bis alles in der Taskleiste geladen hat ! Dann bin ich mal in den Taskmanager ! Und siehte da ganze 9 mal iexplore.exe gestartet und 100 % CPU Auslastung ! Woran liegt das ? {bild-down: http://img430.imageshack.us/my.php?image=problem2wn.jpg} 10er für jede Hilfe ! Lag an Spyware ! Danke für deinen Tipp ! Somit ~~~~~~~~~~~~~~~~~~> CLOSED <~~~~~~~~~~~~~~~~~~~~~~~~~ mfg
#2 19. Dezember 2005 Haste schon mit Adaware, Spybot S&D und deinem Virenscanner mal die Platte durchsucht? Ansonsten poste mal deinen HiJackThis Log. Start -> Ausführen -> msconfig eintippen -> enter -> Systemstart und dort mal alles deaktivieren was du nicht brauchst.
#3 19. Dezember 2005 Nein hab ich nicht ! Muss ich mal machen danke! Virenscann hab ich gemacht ! Ich mach mal Spy dings und poste meine HiJackThis Log ! 10er raus ! mfg
#4 19. Dezember 2005 Das sind Hijacker! Hijackthis holen und das Logfile auf hijackthis.de auswerten lassen.
#5 19. Dezember 2005 Logfile of HijackThis v1.99.1 Scan saved at 17:20:48, on 19.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe C:\Programme\Razer\razerhid.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Razer\razertra.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\system32\LckFldService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Razer\razerofa.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Xfire\Xfire.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Marcus\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG F0 - system.ini: Shell=Explorer.exe c:\windows\system32\expiorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [SpyBlocker] C:\Programme\SpyBlocker Software\spyblocker.exe O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Xfire Music] C:\Programme\Xfire\xfiremusic.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\expiorer.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Marcus\Desktop\client\client.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{69F716D5-0462-4169-9DE2-84569D588341}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
#6 19. Dezember 2005 ich hab mir mal dein Logfile angeschaut. und muss sagen oh mein gott. nun definitiv etwas "böses" habe ich nicht feststellen können, jedoch solltest du dir mal Gedanken machen über einen Punkt. und zwar was wird alles bei meinem Systemstart geladen. Alles was du hier in deinem Logfile siehst wird beim start geladen. dabe machen mir vor allem diese Einträge Sorgen. O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\expiorer.exe O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{69F716D5-0462-4169-9DE2-84569D588341}: NameServer = 195.50.140.252 195.50.140.114 O17 - HKLM\System\CCS\Services\Tcpip\..\{69F716D5-0462-4169-9DE2-84569D588341}: NameServer = 195.50.140.252 195.50.140.114 O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe Lade diese Dateien expiorer.exe und audit.exe einmal bei Jotti (Google suchbegriff "Jotti Online scan") findet jotti dort einen Virus, Lösche die Dateien mit Killdisk (unter der option delete on next reboot) Wenn Jotti nichts findet, kopiere alle Dateien in ein Zip File, und Lösche sie dann. außerdem solltest du den PC im abgesicherten Modus starten, und dann den Hijackthisscan wiederholen. dabei dann die oben aufgeführten 4 Einträge markieren und unten auf fix checked klicken. zur sicherheit den scan nach einem neustart nochmal wiederholen, und prüfen, ob etwas nicht richtig funktioniert. Außerdem empfehle ich sämtliche R1 Einträge zu fixxen ebenso wie alle O8 und O9 Einträge. diese starten im Systemstart zusätzliche button im Windows Explorer (O8) und Internet Explorer (O9) ebenfalls benötigt man (weder betriebssystem noch ein programm) die O17 (meistens von Trojanern und Hijakckern benutzt, um sich eine Hintertür an der Firewall zu basteln) und O23 die Prozesse starten, die incht von Microsoft kommen. dort musst du prüfen, welche programme geladen werden sollen, und alle anderen "fixxen" vor allem die O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) sollte dort nicht sein, da sie einen port im System öffnet, der Hackern und Viren ein leichtes spiel bietet. unabhängig von firewall oder Antivirensoftware, da dies nicht von ihnen kontrolliert werden kann. ich empfehle dir ebenfalls dieses programm http://www.sysinternals.com/Utilities/Autoruns.html dies listet dir zuverlässig auf, welche programme alle mit dem systemstart geladen werden. entferne dort die, die da nicht hingehören. mfg spotting
#7 19. Dezember 2005 O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\expiorer.exe was soll man dazu sagen..... komplett verseucht da hilft nur eins. Abgesichterter Modus und Virenscanner und sämtliche Anti Spyware und Adaware Proggis drüberlaufen lassen. Wenn dein Virenscanner durch die bösen Proggis auf deinem Rechner deaktiviert ist musste mal nen online scan von mcafee, kapersky oder so machen.
#8 20. Dezember 2005 Hmm muss mal machen was ihr sagt denn , mein Spyware Prog. findet die Spyware ! Aber beim nächsten Hochfahren ist wieder der selbe mist ! Ich befolgt jetzt mal was ihr sagt und poste dann wieder ! 10er sind raus ! mfg
#9 3. Januar 2006 jo leutz ich habe das gleiche problem aber bei mir hilft das nix wenn ich das so mache wie ihr es beschrieben habt, ich kann mein windows neu starten dann steht noch nix dirn aber wenn ich dann ne weile warte kommt dann auf einmal 2x iexplorer.exe und ich kann die nicht beenden weil die dann immer wieder komme, habe lavasoft und antivir durchlaufen lassen aber das problem geht einfach nicht weg