Bitte um Hilfe - Rechner superlangsam, internetverbindung bricht ab etc

[matthias66]

  Hallo Helferinnen und Helfer, ich melde mich noch einmal mit meinem Problem:
1. der rechner ist offline und online sehr sehr langsam. oft lese ich, dass die www.-adresse nicht stimmt etc. sogar google.
2. jetzt erhielt ich schon 2x die info, dass der rechner in ...sekunden absaltet wegen netadminstrator?
kann ich wirklich nur neu formatieren?
Erneut vielen Dank matthias

Logfile of HijackThis v1.99.0
Scan saved at 11:07:38, on 22/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
D:\Symantec\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
D:\bases_x\mwavscan.com
D:\bases_x\kavss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\imapi.exe
C:\Documents and Settings\ruth\Escritorio\HijackThis.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Symantec\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Symantec\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Anonymizer 2005 Toolbar - {DB264E15-F83B-4603-BFC1-4EA7E3204686} - C:\Archivos de programa\Anonymizer\Anon2005\AnonIEBar.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Office10\OSA.EXE
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121841879015
O17 - HKLM\System\CCS\Services\Tcpip\..\{95010DEF-ED67-4266-B4AD-D865EC09AB0E}: NameServer = 62.14.2.1 62.14.63.145
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - D:\Symantec\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[TMK]

Eventuell folgenden Eintrag löschen, sofern die IP-Adressen unbekannt sind:

O17 - HKLM\System\CCS\Services\Tcpip\..\{95010DEF-ED67-4266-B4AD-D865EC09AB0E}: NameServer = 62.14.2.1 62.14.63.145

..die Toolbar brauchst eigentlich auch nicht:

O3 - Toolbar: Anonymizer 2005 Toolbar - {DB264E15-F83B-4603-BFC1-4EA7E3204686} - C:\Archivos de programa\Anonymizer\Anon2005\AnonIEBar.dll

[matthias66]

hallo tmk, vielen dank. der server ist jazztel, mit dem ich ins internet gehe. die toolbar hab ich geloescht. trotzdem, die seiten oeffnen nach langer zeit und dann, wie wenn ich eine leinwand langsam runterziehe. ich fuerchte, dass ich mit den mails aus china + taiwan einen virus oder trojaner eingefangen hab, obowhl hispavista saemtliche mails untersucht? soll ich neu formatieren? was meinst du bitte? und, wie kann ich, bevor ich neu formatiere, die festplatte wirklich loeschen, damit jeglicher schrott weg ist? danke + gruss matthias

[TMK]

Also "Hijacker"-technisch sollte der Rechner sauber sein. Kannst ja mal noch mit Spybot und Ad-aware den Rechner nochmals abchecken, aber sieht im Großen und Ganzen eigentlich gut aus.

Würde wohl das SP2 für WinXP installieren und dann Zonealarm sowie Norton AntiVirus deinstallieren.

Diese Einträge kannst in Hijackthis dann auch noch löschen:

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

D:\Symantec\navapsvc.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

D:\bases_x\kavss.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Symantec\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Symantec\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = D:\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - D:\Symantec\navapsvc.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


...sind alles mehr oder weniger überflüssige Dinge, es bringt auch nichts 2 oder gar 3 Virenprogramme parallel auf dem Rechner laufen zu haben, ein Programm reicht völlig.

[matthias66]

Guten Morgen TMK und HelferInnen! Hoffentlich muesst ihr nicht so unter der hitze leiden, wie wir hier? 
lass mich bitte noch einmal fragen: als ich vorhin den rechner startete, nein, andersrum. passwoerter fuer e-mail-accounts, fuer z.b. hier das forum, speichere ich, damit ich nicht immer wieder neu eintippen muss. heute ist alles weg. ich muss alle namen, passwoerter neu eintippen. ob ich nicht doch einen trojaner habe? und, wenn ich neu formatiere, kann ich dann sicher sein, dass alle moeglichen spionageprogramme auch weg sind?  + gruss matthias

[TMK]

Hi,

solltest du die Platte formatieren und Windows komplett neu installieren, dann ist natürlich das System sauber.

lass mich bitte noch einmal fragen: als ich vorhin den rechner startete, nein, andersrum. passwoerter fuer e-mail-accounts, fuer z.b. hier das forum, speichere ich, damit ich nicht immer wieder neu eintippen muss. heute ist alles weg.

Das wirst du wohl selbst "irgendwie" unbewusst gemacht haben, denke nicht, dass das irgendein Trojaner oder ähnliches war.

Gruß,
TMK

[matthias66]

  hallo tmk. danke erneut. du, nicht nur bei hispavista, auch bei ricardo.ch, bey ebay etc., alle nutzernamen und passwoerter sind weg. weisst du, wenn es nicht noetig ist, moechte ich mir die arbeit ersparen. nur, bis jetzt habe ich noch nicht wieder alle favoriten gespeichert etc. die grauensvorstellung hielte sich einigermassen in grenzen. was meinst du? gruss matthias

[TMK]

Also wenn SpyBot und Ad-aware nichts finden, würde ich mir keine Sorgen machen.

[matthias66]

  na denn! herzlichen Dank und erneut gruesse. matthias