Frage stellen

Rechner lahmt - verdächtige kandidaten!!!?

3.2k Aufrufe
Gefragt in Security Viren von reverendraven Experte (1.5k Punkte)
Hallo,
habe folgendes Problem: Rechner läuft seit ein paar tagen unheimlich lahm, programme brauchen zum öffnen extrem lange...

habe im temp-ordner (Windowsverzeichnis) die folgenden Dateien gefunden:
Perflib_Perfdata_48c.dat & Perflib_Perfdata_xyz.dat

(xyz steht für verschiedene varianten, davon etwa 15 oder so....)

bis auf die erste läßt sich alles rauslöschen, aber diese eine nicht!
im abgesicherten Modus ist die aber nicht aufzufinden!
nach Neustart ist sie wieder da!

Der AVG scanner findet nix (vorhin aktualisiert!!)

Die firewall hat nach einem Neustart die folgende Meldung ausgegeben:
".L-Datei als Anwendung ausführen (rundll32.exe) versucht zu übertragen an [224.0.0.22] ....
(siehe pic!)

Mir ist klar, bzw ich vermute, daß das wirkliche Übel nicht in der Tempdatei sitzt, sondern sich schon irgendswo eingenistet haben muß.....
Falls das also wirklich ein virus ist, wie krieg ich den wieder runter????
und wo kam der her????
vielen Dank für eure unterstützung!!!
Yours
Raven

10 Antworten

0 Punkte
Beantwortet von reverendraven Experte (1.5k Punkte)
das Hijack-Log sieht so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:58, on 29.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
G:\Trapeza\ampass\AmP.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: OneCard
0 Punkte
Beantwortet von reverendraven Experte (1.5k Punkte)
noch ein nachtrag:
selbstredend läßt sich das teil nicht einfach löschen, da kommt dann die meldung, daß das programm von einer anderen person oder anwendung gerade benützt wird!....
0 Punkte
Beantwortet von
Da hat dir der AVG-Virenscanner viel Mist installiert, darum würde ich den auch wieder deinstallieren und statt dessen Anivir nehmen. Achte in Zukunft bei der Installation von Programmen darauf das dir keine Toolbars untergejubelt werden.
0 Punkte
Beantwortet von reverendraven Experte (1.5k Punkte)
hab inzw. rausgefunden, daß diese perflip_etc dateien zu Java Quick Starter gehören! wenn man die unter Sys-steuerung > erweitert > diverses deaktiviert, dann sind die perflip-etc-dateien aus dem tempordner draussen!

hab das mal so eingestellt, und werd jetzt sehen, ob er wieder schneller wird.....

AVG find ich immer noch besser, weil der nicht so viel mit werbung nervt, wennman virendef.-dateien aktualisiert.....
die toolbar ist de-aktiviert....

vielleicht doch keine viren & rootkits...?
0 Punkte
Beantwortet von juergen26 Experte (3.4k Punkte)
du kannst ja mal nen Scan machen mit malwarebytes
Gruß Jürgen
0 Punkte
Beantwortet von supermax Experte (4.8k Punkte)
Wenn dir Antivir zu nervig ist (mich stört das Fenster einmal am Tag nicht), kannst du dir auch Avast! installieren, ebenfalls ein kostenloser und guter Virenscanner.
0 Punkte
Beantwortet von reverendraven Experte (1.5k Punkte)
@Jürgen, muß ich für malwarebytes das laufende Virenprogramm (AVG) de-installieren? oder kann ich des drauflassen?

@supermax: ist AVG so schlecht???? Ich hatte mal (bei chip?) nen vergleich gelesen, wobei (dunnemals) AVG noch ganz gut abschnitt....
yo, sorry mir ist schon einmal werbung am tag 2x zuviel!!

also diese perflip_dateien gehören anscheinend zu Java Quickstarter:
wenn ich jqs.exe beende, verschwinden die perflips.... der rechner scheint mir inzwischen auch wieder n tick schneller zu sein.... (bei abgeschaltetem Quickstarter, > Sys-steuerung, >Java>Erweitert>Diverse, etc)

ich beobachte noch.... :-)

zumindest möchte ich euchschonmal vorläufig danken!
0 Punkte
Beantwortet von supermax Experte (4.8k Punkte)
Ich habe mit AVG keine Erfahrung, bei Antivir und Avast weiß ich, daß sie eine gute Erkennungsrate haben und beide das System kaum ausbremsen.

Die ganzen "Quickstarter" (auch Adobe Reader, OpenOffice, WinAmp usw.) kannst du eigentlich deaktivieren, der Geschwindigkeitsgewinn beim Start des betreffenden Programms ist minimal verglichen mit der verlängerten Zeit beim Booten.
0 Punkte
Beantwortet von reverendraven Experte (1.5k Punkte)
wo krieg ich denn die quickies de-aktiviert?
(der Autostart-ordner ist leer!)
und welche software kann auch rootkits (täglich aufm neuesten Stand) erkennen?
0 Punkte
Beantwortet von juergen26 Experte (3.4k Punkte)
Tipp:
Quickies deaktiviert man mit autoruns.
Auch die anderen Tools sinds wert mal nen Blick drauf zu werfen!
...