Verdacht auf Viren!

Guten Abend,

Seit heute ist mein PC extrem langsam, die Programme starten erst nach einiger Zeit und der PC braucht lange zum Hochfahren. Ich habe so das Gefühl das ich mir irgendwo Viren eingefangen habe. Kaspersky hab ich durchlaufen lassen, der hat aber nix gefunden. Brauche dringend Hilfe!

Gruß Razor

 

Überprüfe die korrekten Übertragungsmodi aller Laufwerke.

 

Wie kann ich die denn Überprüfen? Weiß net was ich machen soll!

Gruß Razor

 

Die findest Du im Gerätemanager unter IDE ATA/ATAPI Controller. IDE-Festplatten sollten im UDMA-5 (oder 6) Modus laufen, optische Laufwerke mit UDMA-2 (oder 3).

 

Hmmmmm... Bei mir steht da nur ATA Channel 0, ATA Channel 1 und Intel Serial ATA Storage 1 und 2.

ATA Channel 0 und 1 laufen im Modus 5, bei den andern beiden hab ich den Modus nicht gefunden. Aber: Intel Storage 1 läuft unter "Funktion 2", Intel Storage 2 unter "Funktion 5".

Ich hoffe das hilft.

Gruß Razor

 

Hilft durchaus und schließt die den Verdacht falscher Modi aus.

 

Und was soll ich jetzt machen? Noch eine Idee? Er ist immer noch so lahm. Außerdem ist es merkwürdig, das manche Programme nicht mehr gehen. Am anfang war Kaspersky plötlich deaktiviert und ich konnte keine Updates machen, das geht jetzt aber wieder. Aber ich habe noch Ad-Aware, das lässt sich nicht mehr starten und auch nicht Deinstallieren.

Hoffe ihr könnt helfen.

Gruß Razor

 

Hallo Razor10

Erstelle bitte mal ein HijackThis-Log gemäß folgender Anleitung:

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

und hänge es als Textdatei an deinen nächsten Beitrag an. Solltest du Schwierigkeiten beim Hochladen der Datei haben, so beachte bitte die rot geschriebenen Abschnitte in der Anleitung unter o. a. Link.

Erledige bitte auch noch folgendes (Punkt 1 + 2 sowie 3c):

http://www.pcwelt.de/forum/sicherhe...12-malwarebefall-posten-bitte-abarbeiten.html

Gruß
Nevok

 

So, Ich hoffe das ich das richtig gemacht habe und ihr mir helfen könnt.
( Hab es nur geschafft die eine Datei Hochzuladen )


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:16, on 11.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Dell\DellDock\DellDock.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\conime.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Users\JoJo\Downloads\stinger10000482.exe
C:\Users\JoJo\Downloads\windows-kb890830-v2.8.exe
c:\6d1ee0785f496d15bfa982a49e7e\mrtstub.exe
C:\Users\JoJo\AppData\Local\Temp\MRT.exe
C:\Users\JoJo\AppData\Local\Temp\MRT.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\JoJo\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\JoJo.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4081218
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Google Update Service (gupdate1c98e8824326e18) (gupdate1c98e8824326e18) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 7641 bytes


Gruß Razor

 

Hab diesen Anhang vergessen, sorry,

Gruß Razor

 

Das Windows-Tool zum Entfernen bösartiger Software wird über den Autostart gestartet und macht einen Scan nach schädlicher Software, beim Windows Start. Das verzögert den Start.
Eigentlich sollte es sich nach einmaliger Ausführung wieder selbstständig deaktivieren.

Aus dem HiJackThis-Log:
C:\Users\JoJo\Downloads\windows-kb890830-v2.8.exe
c:\6d1ee0785f496d15bfa982a49e7e\mrtstub.exe
C:\Users\JoJo\AppData\Local\Temp\MRT.exe
C:\Users\JoJo\AppData\Local\Temp\MRT.exe

http://support.microsoft.com/kb/890830/de

 

1.Soll ich jetz diese 4 Einträge löschen? Wenn ja, wie mache ich das?

2. Hab mittlerweile auch das Gefühl das der beim Systemstart sehr lange braucht, man danach aber wie immer arbeiten kann.

Hoffe ihr könnt mir sagen wie ich die Einträge löschen kann, dann scheint es so als wäre alles wieder gut.

Gruß Razor

 

Starte windows-kb890830-v2.8.exe und mache eine Schnellüberprüfung.
Danach sollte MRT.exe unter c:\windows\system32 gespeichert sein und nicht mehr beim Neustart ausgeführt werden.
C:\Users\JoJo\Downloads\windows-kb890830-v2.8.exe dann löschen.

 

Hab das unter Download jetzt schon gelöscht, ich kann es aber noch ausführen (per windows suche).

Soll ich einfach so einen Schnellscan machen und dann neu starten? Oder das nochmal runterladen und dann schnellscan, neustart und danach löschen?

Gruß Razor

 

Du kannst dann MRT.exe unter c:\windows\system32 ausführen und die Schnellüberprüfung machen. Dann sollten die Windows Update Informationen angepasst werden, so dass es nicht mehr ausgeführt wird.

 

Ok, werde das gleich mal ausprobieren. Mal sehen ob der Systemstart dann wieder schneller geht. Ich bin zwar schnell aufm Desktop aber dann dauert das und dauert das... Aber wenn er mit allem fertig bin lässt es sich arbeiten wie immer.

Gruß Razor

 

Hab jetzt einen Schnellscan und einen Neustart gemacht, aber nix hat sich verändert. Alles normal bis ich auf dem Desktop bin, dann dauert es ewig bis er meinen Fritz Wlan Stick erkennt und eine Verbindung herstellt und es dauert genauso lange die "Dell Leiste" zu starten, welche sonst immer sofort kommt.

Dazu:

1. C:\Users\JoJo\Downloads\windows-kb890830-v2.8.exe
2. c:\6d1ee0785f496d15bfa982a49e7e\mrtstub.exe
3. C:\Users\JoJo\AppData\Local\Temp\MRT.exe
4. C:\Users\JoJo\AppData\Local\Temp\MRT.exe

Den 1. Punkt hab ich gelöscht, aber 2, 3 udn 4 finde ich nicht. Bin einfach zu doof

Hoffe ihr habt auch hierzu ne Lösung.

Gruß Razor

 

Wenn du noch die anderen Patches des "Patchdays" vom 10.03. installiert hast, wurden dabei automatisch Systemwiederherstellungspunkte angelegt. Davon könnte dann einer wiederhergestellt werden, der vor dem ersten Ausführen des Tools zum Entfernen bösartiger Software angelegt wurde. Das Tool legt selbst keinen Systemwiederherstellungspunkt an.

 

Die Punkte hab ich nicht mehr, ich hab jetz aber mal die Datei mrt system32 gelöscht und gucke jetzt ob der jetzt schneller hochfährt. Bin mal gespannt

Gruß Razor

 

Also Mrt ist jetzt nicht mehr da, er braucht aber immer noch so lang beim hochfahren. Weiß nicht mehr was ich noch machen soll. Können es evtl. doch Viren sein oder liegt es womöglich doch an etwas anderem? Bin Ratlos...

HILFEEEE!

Gruß Razor