Blockierender Leerlaufprozess

Guten Tag erst mal!

Hab leider seit einer Woche ein Problem, dass sich als etwas hartnäckig heraus stellt. Hatte meine Platte kurz an einem sehr offen zugänglichen Rechner angestöpselt und als ich sie wieder an den Lappi hängte, hats mir irgendwas geschossen.
Seitdem habe ich zwar wenig Prozessbelastung und hohe Leerprozesswerte, aber die Auslastung schnallt bei jeder Kleinigkeit hoch und bringt alles ins Stocken.


Mein System:
Vaio VGN-FS....
WinXP Home
Externe Platten

Gut, bin bis jetzt folgendermaßen vorgegangen:

1. Kapserski wieder angeschaltet (war ne Zeit lang aus) und gescannt:

deleted: virus Heur.Trojan.Generic File: c:\windows\system32\fifefox\away.exe

deleted: virus Heur.Trojan.Generic File: C:\System Volume Information\_restore{3B6CDC77-F641-489A-8F0D-BCF8F80FE160}\RP621\A0104543.exe


Das "Fifefox" kam mir schon sehr verdächtig vor, weshalb ich trotz ungenauer Definition gelöscht habe...

2. Hijack-Scan:

Logfile of HijackThis v1.99.1
Scan saved at 17:31:24, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Centrino HC\Centrino_HC.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Inhalt\fsbl1067.exe
D:\Inhalt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.178.1:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - *********** - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardware ResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

3. Festplatten-Check:

Scan Disk sagt ok

4. Blacklight:

alles ok


Liegt es evt. an der fehlenden WinVNC.exe von UltraVNC? Hab auch Knoppicilin, leider im failsafe-Mode wegen cardmgr, drüber laufen lassen und da wurde auch nix gefunden.

5. Die Ereignisanzeige meldet:

Ausrufezeichend unter Anwendung:

Die Registrierung des Benutzers "*******************" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Die Daten in der Datei/im Ordner konnten nicht registriert werden.
Das Dateiformat wird nicht unterstützt.
D:\Inhalt\hijackthis.log


So, und jetzt bin ich mit meinem Abc langsam am Ende... Weiß jetzt nicht wie ich weiter fortfahren soll. Denke vielleicht noch an eine Systemwiederherstellung, bin mir aber nicht sicher ob sich das nicht mit dem Kaspersky beißt, da er Zeitpunkt vor der Installation liegen würde. Nen Memory-Test werd ich auf jedenfall gleich noch mal machen. Aber ansonsten ist langsam Ende Gelände....

Hat jemand vielleicht nen Tipp für mich?

Danke!

 

Als die Platte an den anderen PC angeschlossen wurde, wurde das Verzeichnis System Volume Information von diesem benutzt.
Du kannst davon ausgehen, dass der andere PC verseucht ist und die System Volume Information kompromittiert hat.
Nachträglich installierte Scanner können von Malware getäuscht werden. Hast du eine bootfähige CD mit AV-Programm, mit der der PC gebootet und untersucht werden kann?

Was hat es mit diesem Eintrag auf sich?

Code:

D:\Inhalt\fsbl1067.exe

Wenn er dir nicht bekannt ist, mal bei www.virustotal.com/de untersuchen lassen.

 

Die Wahrscheinlichkeit, dass der andere Rechner verseucht war ist gar nicht so gering.....

Hab Knopicillin laufen lassen, allerdings nur im failsafe-mode, da Knoppi (Problem bestand früher schon) sich bei booten von cardcmr (oder so, ist wahrscheinlich mein Kartenlesegerät - deaktivierung mit meinem Notebook-Bios nicht möglich), immer aufhängt. Der Scan hat nix gefunden .....

die fsbl1067.exe ist der Blacklight Rootkit Eliminator von F-Secure.....

Hoffe, die Infos nutzen was..

gruß

 

Kannst du mal die Systemwiederherstellung deaktivieren?
Ebenso temporäre Dateien löschen.
Punkte 2+3
http://www.pcwelt.de/forum/sicherhe...erste-schritte-sch-dlingsbefall-verdacht.html
Du kannst auch mal mit dem Konsolenbefehl netstat -ano oder TCPView nach verdächtigen Netzwerkverbindungen gucken.
http://www.microsoft.com/germany/technet/sysinternals/utilities/TcpView.mspx

virus Heur.Trojan.Generic File kannst du auch mal ans Virenlabor von Kaspersky schicken newvirus@kaspersky.com. Die mailen dir umgehend zurück, was es mit der Datei auf sich hat und passen ggf. die Signaturen an.

 

Ok, Temp. wurde gelöscht (erstaunliche 300MB!), TCP View zeigt nix ungewöhnliches und mit der Deaktivierung der Systemwiederherstellung zögere ich noch.

Hatte vor einem Jahr ähnliche Probleme, da ich ein Programm unsauber installiert habe. Damals hatte mich die Systemwiederherstellung gerettet. Hab zwar diesesmal nichts unsauber deinstalliert, jedoch verschwinden ja alle Punkte wenn ich sie deaktiviere. Und so lange ich mir nicht sicher bin, dass ich sie wirklich nicht brauche (oder weiß, dass sie mir nicht helfen kann) möchte ich die Möglichkeit doch noch offen halten.... Am einfachsten wärs ja, es mal zu versuchen, jedoch bin ich mir nicht sicher wie sich dann mein System mit Kaspersky verträgt, da ich Kasp. erst nach Auftreten des Problems installiert hab und der nötige Zeitpunkt somit vor der Installation liegt,,,, Also, immer noch Ratlosigkeit....

Hab den gefunden Trojaner oder die Heur-File schon geschützt! Wie komm ich denn an die wieder ran um sie weiterzuschicken?

Vl. noch einen Tipp? Danke

 

Wenn er in der Quarantäne ist, kann er direkt aus dieser zu Kaspersky verschickt werden. Ich habe Kasperksy nicht mehr installiert. Kann deshalb da nicht nachgucken.

 

Hab die File kurz aus der Quarantäne rausgenommen und an alle AV-Hersteller geschickt.

Weitere Analysen haben ergeben, dass mein System sauber ist. Jedoch läuft der Rechner immer noch langsam. Ich denk mal aufgrund einer kaputten Registry..... die hab ich aber mittlerweile auch schon bereinigt - leider ohne Erfolg.

Hat irgendwer ne Ahnung wie ich fortfahren könnte??? Systemwiederherstellung??? Irgendwelche Registry Analysen die sich nicht auf Viren, sonder Ungereihmheimten beziehen...

 

Hab die File kurz aus der Quarantäne rausgenommen und an alle AV-Hersteller geschickt.

Weitere Analysen haben ergeben, dass mein System sauber ist. Jedoch läuft der Rechner immer noch langsam. Ich denk mal aufgrund einer kaputten Registry..... die hab ich aber mittlerweile auch schon bereinigt - leider ohne Erfolg.

Hat irgendwer ne Ahnung wie ich fortfahren könnte??? Systemwiederherstellung??? Irgendwelche Registry Analysen die sich nicht auf Viren, sonder Ungereihmheimten beziehen...