mobsync / explorer / winlogon immer volle Systemauslastung mit HJT-Log

Diskutiere mobsync / explorer / winlogon immer volle Systemauslastung mit HJT-Log im WinXP - Allgemeines Forum im Bereich Windows XP Forum; Guten Tag, ich habe seit etwa 1-2 Wochen folgendes Problem. Es äußerte sich erst in der Form, dass nach dem Starten von Windows die...

tazzle

Threadstarter
Dabei seit
04.03.2007
Beiträge
8
Guten Tag,

ich habe seit etwa 1-2 Wochen folgendes Problem.
Es äußerte sich erst in der Form, dass nach dem Starten von Windows die Systemauslastung von der mobsync.exe bei 99% war. Wenn ich diese über den taskmanager beendet habe, schwank es über auf die explorer.exe. Die Systemauslastung war dann zwar immer bei 99%, ich konnte aber dennoch mit dem PC eingeschränkt arbeiten.
Die letzen Tage ist es so, dass nach dem Starten von Windows die mobsync.exe und die explorer.exe sich die 99% teilen, also etwa 50:50. Die mobsync.exe kann ich über taskmanager beenden, dann ist es nur noch die explorer.exe.
Wenn ich mit antivir gescanned habe, hat er 3 viren/trojaner gefunden, die aber beim nächsten scan, egal ob ich quarantäne oder löschen gewählt habe, wieder da waren.
Gestern abend habe ich mich dann mal richtig dran gesetzt, um mein Problem zu lösen. Ich bin nach diesem kurzen guide (http://www.bsi.de/av/texte/wiederher_xp.htm) vorgegangen und habe dann im abgesicherten Modus (hier hatte ich glücklicherweise kein problem mit der mobsync.exe / explorer.exe) mit antivir gescanned, er hat dann aber keine Viren gefunden. Im folgenden habe ich dann wieder im normalen Modus mit ad-Aware und ccleaner gearbeitet und mein System gesäubert.
Tja, und nach 1-2 Neustarts ist dann seit gestern hat sich noch die winlogon.exe mit den beiden zum trio infernale vereinigt. Etwa 5min nach dem Starten ergreift sie die Macht und hat alleinig 99% systemauslastung.
Dann geht der PC total in die Knie und ich kann nicht mehr mit ihm arbeiten.

Meine Systemkonfiguration:
AMD 3200+
Windows XP
ASUS GeForce 6800


Wir haben hier zu Hause ein Netzwerk mit einem Server (eigentlich total unnötig) und beim Starten gab es immer eine Synchronisation mit dem Server (wahrscheinlich über die mobsync.exe, hab nie drauf geachtet, aber dafür ist sie ja da). Diese Synchronisation bleibt seit dem Auftreten des Problems aus.


Hier mein Hijackthis log direkt nach dem Starten:

Logfile of HijackThis v1.99.1
Scan saved at 6:18:47 PM, on 03/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\asuskbservice.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\mobsync.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\games\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\taskmgr.exe
E:\files zip\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative Software\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative Software\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ms AV] mrcw34.exe
O4 - HKCU\..\Run: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - D:\poker\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - D:\poker\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - D:\poker\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - D:\poker\UltimateBet\UltimateBet.exe
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\poker\CDPoker\casino.exe
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - D:\poker\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - D:\poker\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - D:\poker\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - D:\poker\Noble Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\poker\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\poker\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - D:\poker\PartyGaming\PartyBingo\RunBingo.exe
O9 - Extra 'Tools' menuitem: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - D:\poker\PartyGaming\PartyBingo\RunBingo.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137613033359
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = online-***.de
O17 - HKLM\Software\..\Telephony: DomainName = online-***.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{06F8E3EF-A09E-4D9F-9B40-F2DCECD2BBDE}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = online-***.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{06F8E3EF-A09E-4D9F-9B40-F2DCECD2BBDE}: NameServer = 194.25.2.129
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - D:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

Vielen Dank schonmal,
TaZz
 

JollyRoger2408

Dabei seit
30.09.2005
Beiträge
11.451
Alter
61
Ort
Klosterneuburg/Österreich
Hallo,
HJT zeigt da schon einige schädliche und unbekannte Einträge; gehe doch mal nach dieser Anleitung vor und fixe die Probleme.
 

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
O4 - HKCU\..\Run: [msn] msnmsg.exe
Unbedingt fixen!Backdoor Rbot/GO

Der Eintrag hier dürfte der allerwichtigste sein.

Fb :-)

Name W32/Rbot-GO
Typ

* Spyware-Wurm

Verbreitungsweise

* Netzwerkfreigaben

Anfällige Betriebssysteme

* Windows

Nebeneffekte

* Schaltet Antiviren-Anwendungen aus
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit

Alias

* Backdoor.Rbot.gen

Schutz verfügbar seit 19 August 2004 19:45:57 (GMT)
Erkannt von Alle Versionen von Sophos Anti-Virus
In unserem Produkt enthalten seit Oktober 2004 (3.8
 

Hoolgagoo

Dabei seit
05.02.2006
Beiträge
1.179
O4 - HKCU\..\Run: [ms AV] mrcw34.exe erzeugt auch eine 100% CPU-Auslastung der SVCHOST.EXE, also mit HiJack entfernen, rechner neu starten, und die Datei C:\WINDOWS\System32\mrcw34.exe löschen.

dann START -> Ausführen -> regedit

und lass nach
Win32Sr suchen .....

Wenn du was finden solltest, lösche die Einträge, da es es um Einträge zum Wurm handelt..... (dann mit F3 weitersuchen lassen)
Bei einem sauberen System wird regedit nichts finden, also kann man nichts zerstören, wenn nichts vorhanden ist.

Command win32ssr.exe
Status Malware/Bad
Description Added by the W32/Sdbot-AOT WORM! Note: This worm\trojan file is found in the Windows or Winnt folder.
 

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Denke mal wenn tazzle das richtig fixt ist das Problem beseitigt.Hoffentlich meldet er sich dann nochmal und postet ein neues HJT Logfile.

;) Fb
 

tazzle

Threadstarter
Dabei seit
04.03.2007
Beiträge
8
vielen dank schonmal für die zahlreichen antworten.

hier ist meine aktuelle HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 1:08:21 AM, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\asuskbservice.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\games\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
E:\files zip\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative Software\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative Software\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - D:\poker\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - D:\poker\UltimateBet\UltimateBet.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\poker\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\poker\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137613033359
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15023/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = online-***.de
O17 - HKLM\Software\..\Telephony: DomainName = online-***.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{06F8E3EF-A09E-4D9F-9B40-F2DCECD2BBDE}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = online-***.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{06F8E3EF-A09E-4D9F-9B40-F2DCECD2BBDE}: NameServer = 194.25.2.129
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - D:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe


ich habe diverse dinge gefixed und moment sieht es so aus, als ob sich die winlogon nicht mehr einschaltet. die probleme mit mobsync und explorer bestehen weiter. wenn ich mit antivir, ad-aware, ccleaner und xsoft scanne, ist alles sauber.

C:\WINDOWS\System32\mrcw34.exe habe ich auf meinem pc nicht gefunden, auch keinen eintrag in der registry.

noch jemand eine idee?
 

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Unbekannt
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = online-***.de

AKennen Sie die IP oder die Domäne 'online-***.de' nicht, fixen.
Besucherbewertung Analysedetails Unbekannt
O17 - HKLM\Software\..\Telephony: DomainName = online-***.de

Kennen Sie die IP oder die Domäne 'online-***.de' nicht, fixen.



Die 2 Dinger hier sind ungewöhnlich,wenn du die nicht kennst dann fixe die mal.

Fb :-)
 

tazzle

Threadstarter
Dabei seit
04.03.2007
Beiträge
8
die domain ist die domain von unserem netzwerk hier. also daher sagt es mir schon etwas, aber wofür die einträge genau sind, weiß ich auch nicht.
 

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Kannst dir ja mal ne Sicherung machen und danach fixen.
 
Thema:

mobsync / explorer / winlogon immer volle Systemauslastung mit HJT-Log

mobsync / explorer / winlogon immer volle Systemauslastung mit HJT-Log - Ähnliche Themen

Fehlermeldung beim Upgrade auf Windows 10 V1809: Hallo, seit Tagen scheitert das Update von Windows 1803 auf Windows 1809. Dies sowohl über die integrierte Update-Funktion, das...
Gen:Varian.Kazy.770077 Trojaner gefunden wie entfernen: Hallo, habe vor ein paar Tagen eine Datei geöffnet und seit heute zeigt mir G-Data an das der Gen:Varian.Kazy.770077 Virus gefunden wurde. Ich...
GELÖST Flackernde Fenster: Hallo, ich hab ein kleines Problem, das ich schon seit ein paar Tagen versuche zu lösen. Sämtliche Fenster flackern im 5-Sekunden-Takt und...
Windows Lädt und lädt - und reagiert total langsam: Ich habe seit gestern das Problem, das Windows irgendwas im Hintergrund zu laden versucht und total lahm ist. Die Stellen wo "file Missing"...
GELÖST Hijack file, fenster minimieren sich selbstständig!: Ich hab nach wie vor das Problem, dass sich Fenster selbstständig minimieren! Deshalb hab ich ein HijackThis file erstellt und hoffe, dass sich...
Oben