PC friert für ein paar Sekunden ein

Hallo,

wenn Windows XP hochgefahen ist, bleibt der PC für ein paar Sekunden stehen. Wenn ich dann etwas öffnen will (Firefox, Outlook) hängt dieser wieder ein paar Sekunden.
Das selbe passiert dann auch während dem Arbeiten mit dem PC hin und wieder.

PC:
AMD Athlon 64 X2 Dual 3,08 Ghz
3,25 gb Ram
Grafik:
NVIDIA GeForce 9600 GT

 

Das HJT-Log ist leider wenig aussagekräftig. O.T.L. erstellt ausführlichere Logs.
BTW: Warum ist Windows bei dir auf Laufwerk H installiert?

 

Ich hatte damals bei Partionen vergeben nicht aufgepasst


Hier mal die OTL Auswertung, war für hier leider zu groß:

www.workupload.com/file/yjg5kg8

 

Die Plugins (Java, Flash, Adobe Reader, QuickTime) sind veraltet und bilden dadurch eine Angriffsfläche für Drive-by-Infektionen beim bloßen Aufrufen entsprechend präparierter Webseiten.

Fragwürdige Suchmaschine. Vielleicht mal deinstallieren, den Krempel.

Übelst veraltet. Aktuell ist wie bei Firefox 15.0.1.

Ebenfalls stark veraltet. Aktuell ist 21.0 1180.83, wenn ich mich nicht irre.

Fragwürdiges Add-on bzw. Toolbar.

AutoRun-Malware. IRC-Bot aktiv! http://home.mcafee.com/virusinfo/virusprofile.aspx?key=137251#none

Viel Spaß beim Neuaufsetzen.

Hinweis: Auch dein als C: angeschlossener Datenträger (vermutl. USB-Stick) ist infiziert und wohl auch jeder andere externe Datenträger, der in letzter Zeit angeschlossen war. Wenn so ein Stick an andere PCs angestöpselt wurde, können auch diese betroffen sein.

 

Also ohne neuausetzen keine Möglichkeit weiter zu arbeiten.

Bei C: liegst du richtig, ist einen externe Festplatte.

 

hallo,
das muss man differenzierter betrachten.
das, was otl da anzeigt, besagt lediglich, dass das system mit einer autorun.inf, die als trigger für schadsoftware fungiert bzw. fungieren soll, in kontakt gekommen ist.
diese autorun.inf ist, isoliert betrachtet, nicht gefährlich.
ob die eigentliche schadsoftware, also in diesem fall die system.exe, überhaupt noch vorhanden war, als die externe platte an den rechner angesteckt wurde und sich so ins system kopieren konnte, ist fraglich.
laut otl-bericht konnte sie das nicht.

 

Falsch. Es besagt, dass Malware auf dem System aktiv werden und die entsprechenden Einträge in der Registry vornehmen konnte. Eine AutoRun.inf ist hier überhaupt nicht das Thema, obwohl sie natürlich auf der externen Platte existieren dürfte.

Wieder falsch. Entscheidend ist nicht, ob die EXE auf dem externen Datenträger noch existiert (warum sollte sie nicht?), sondern der Umstand, dass DEFINITIV Malware auf dem System aktiv war. Damit ist es unwiderruflich kompromittiert.

Übrigens ist die SYSTEM.EXE nicht die eigentliche Malware. Sie ist ein sekundäres Produkt der Malware, die auf dem System aktiv wurde und vor allem dazu gedacht, andere Rechner bzw. denselben PC ggf. nach einer "Bereinigung" wieder zu infizieren.

Falsch. Sie konnte. Du liest den Bericht nicht korrekt, obwohl einem der Beweis ins Gesicht springt.
Nochmal extra für dich:

Das ist ein Auszug aus der Registry des untersuchten Systems. Dieser Eintrag existiert, weil er durch aktive Malware auf diesem System dort eingetragen wurde. Das ist kein "Teil" des externen Datenträgers, sondern ein Verweis auf diesen.

 

was du schreibst, ist unsinn.

warum verlinkst du das
http://home.mcafee.com/virusinfo/virusprofile.aspx?key=137251#none, wenn du es nicht verstehst?

eine infektion mit diesem schädling via wechseldatenträger läuft folgendermaßen ab:
externe platte/stick... wird mit dem rechner verbunden, die autorun.inf

wird gestartet, dadurch kommen die mountpoints-einträge, die otl anzeigt, zustande, die schadsoftware wird ins system

kopiert und es werden registryeinträge für den autostart angelegt:

nun bricht bei dem hilfesuchenden die kette aber bei der mountpoints-geschichte ab.
der wurm konnte offensichtlich nicht ins system kopiert werden, und die registryeinträge, damit der schädling beim start aufgerufen wird, fehlen gänzlich.

 

Nein. Sie sind da, ich hab sie zweimal zitiert und du erkennst sie immer noch nicht.

Ein letztes Mal für dich:

MountPoints2\{df5fa0ec-cb70-11e1-a903-00259c9734d3}\Shell\AutoRun\command - "" = C:\UxxxSB\DSA6DSA-731DG-E1DWGGHU5-831HD-2H12U3\System.exe

Das ist der von OTL in der Registry gefundene Eintrag.

Zitat aus dem OTL-Tutorial:


O33 MountPoints2

Listet Einträge unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Autorun.inf fändest du unter O32, du Nase.

 

Nett gemeint, aber für ein "Nase" am Ende eines komplett ON TOPIC-Beitrags als Reaktion auf zwei gravierend fehlerhafte Beiträge meines Vorposters brauche ich kein Sedativ. Was der TO noch weniger braucht als das Lesen eines harmlosen Sidekicks ist nämlich eine sachlich falsche Ausführung, wie hier von boston123.

 

Der User boston123,

hat leider Recht.

Schaut mal das OTL-Log an.

Das System liegt auf H:\ und nicht auf C:\.

Tschau

 

Nö, hat er nicht. Der TO hat beim Partitionieren nicht aufgepasst. C: ist sein externes Laufwerk, auf das bei der AutoRun-Malware verwiesen wird.

Es geht hier überhaupt nicht um den Dateipfad der System.exe, sondern darum, dass der komplette Eintrag Bestandteil der Windows-Registry auf dem infizierten System ist. Die Registry von Windows, in der die Manipulation durch Malware stattfand, liegt auf H.

Nochmal und diesmal speziell an Gast40 meine dringliche Bitte: Wer sich an OTL-Log Analysen versucht, sollte wissen, wovon er redet.

 

ich versuche es noch einmal, in der hoffnung, dass du es dann verstehst.
deine argumentation ist in sich nicht stimmig.

hier

muss man differenzieren.
die mountpoints beziehen sich auf C:\autorun.inf, also die autorun.inf der externen festplatte, und zwar ausschließlich.

dass die registry von windows in diesem fall auf h liegt, ist selbstverständlich, und das hat auch niemand angezweifelt, aber die "strittige" passage des otl-berichts sagt nur aus, dass das system kontakt mit der autorun.inf der externen festplatte hatte.

das log sagt nicht aus, dass die system.exe auf eben dieser platte beim kontakt noch existierte.

man kann nicht die feststellung treffen, dass das system in mitleidenschaft gezogen wurde.
laut otl ist es nicht infiziert, denn die folgenden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "MicrosoftCorp"
H:\WINDOWS\System.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MicrosoftNAPC"
H:\WINDOWS\System.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysdiag64.exe"
H:\WINDOWS\System.exe

oder ähnliche einträge fehlen gänzlich.

 

Ich wärme mal den Fred auf.

Ich habe nichts zu OTL-Logs gesagt, zur Analylse schon gar nichts.

Davon habe ich keine Ahnung.

Es geht doch hier um eine Argumentations-Kette bzw. Analyse.

Tschau

 

Worauf sie sich beziehen, ist völlig wurscht. Sie könnten sich auch auf Y:\Tomatensaft beziehen.
Entscheidend ist, dass dies ein in der Registry gefundener Eintrag ist.

Nein.

Das habe ich auch nicht behauptet. Es geht ausschließlich - ich glaube, dass ich das jetzt zum vierten oder fünften Mal schreibe - darum, dass dieser Eintrag in der Registry ÜBERHAUPT EXISTIERT!

Wann kapierst du es endlich? Er wurde dort von Malware eingetragen, die auf dem System aktiv sein musste, damit das möglich ist. Ein Eintrag in Mountpoints2 generiert sich nicht selbst.

 

Und was macht inzwischen der TO?

Es ist doch immer das selbe: Selbsternannte "Experten" streiten sich inbrünstig über die Richtigkeit ihrer Ferndiagnosen. Der Hilfesuchende ist natürlich inzwischen über alle Berge. Aber das ist egal, um ihn geht es ja gar nicht mehr. Jetzt geht es um die Spezialistenehre.

@ Marcelino
Falls du überhaupt noch mitliest: Wenn du weiter auf Forenmeinungen setzen möchtest, wirst du wohl zur Vermeidung von Risiken deine Büchse neu aufsetzen müssen. Oder du spielst einfach das letzte Image zurück, dass du ja sicherlich angelegt hast.

Effektiver wäre es aber wohl, jemanden live und in Farbe vor deinen PC zu setzen, der etwas von der Materie versteht.