Hallo,

habe folgendes Problem:

wenn ich den Pc starte funktioniert der Sound nicht, sprich es wird nichts abgespielt, wenn ich den Pc neu starte, ist er extrem langsam und der Task-Manager zeigt an, dass die Svchost.exe zu 99% die Rechnerkapazität benötigt.
Erst nach einem völligem Neustart ( nicht wider Windows neu starten, sondern an 3sek warten wieder an) funktioniert es wieder.
Ich hab in diesem Forum gelesen, dass das etwas mit der Soundkarte bzw. den Treibern zu tun haben könnte, ich habe allerdngs ein Laptop und die aktuellsten Treiber installiert. Daran scheint es also nicht zu liegen. Viren un Spyware müsste eigentlich auch ausgescloßen sein, da ich 2 unterschiedliche Virenscanner habe laufen lassen + Ad Aware + Security Task Manager...

wenn der Pc läuft sieht die log so aus:


Logfile of HijackThis v1.99.0
Scan saved at 20:08:14, on 13.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Aspire Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Klaus\LOKALE~1\Temp\Rar$EX00.484\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsup ... veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6A7173-70B2-422A-B0C4-C94000BB1D6E}: Domain = vpn.rwth-aachen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6A7173-70B2-422A-B0C4-C94000BB1D6E}: NameServer = 134.130.5.1,134.130.4.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.rwth-aachen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.rwth-aachen.de
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


werde versuchen noch eine zu bekommen wenn der Pc nich läuft...
jemand ne Idee woran es liegen könnte?

Hat sonst jemand eine Idee??? Danke.

Hallo@Vidocq

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

[*]Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

so danke schomma alles wie gesagt gemacht Ergebnis:

Sun Feb 13 23:22:52 2005 => File C:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Programme\DVD - CD\Mpeg Vcr\Womble_MPEG-VCR_3.14.rar infected by "Trojan-Dropper.Win32.Delf.dh" Virus. Action Taken: No Action Taken.


=> Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*


=> File C:\System Volume Information\_restore{A1AA5B3D-8B43-490A-B02A-EE74774D6B0C}\RP70\A0052800.exe infected by "not-a-virus:AdWare.Trymedia.a" Virus. Action Taken: No Action Taken.


Bitteschön

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".


C:\System Volume Information\_restore{A1AA5B3D-8B43-490A-B02A-EE74774D6B0C}\RP70\A0052800.exe

C:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Programme\DVD - CD\Mpeg Vcr\Womble_MPEG-VCR_3.14.rar


PC neustarten

dann ueberpruefe, ob das geloescht ist: Womble_MPEG-VCR_3.14.rar

_____________________________________________________________________________________________________________________________________

SUPER!!!

is weg das sches Teil

hab den Scanner nochmal laufen lassen hat jetzt nur noch folgendes gefunden:

Mon Feb 14 12:37:47 2005 => File C:\WINDOWS\system32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.

falls mir eienr noch sagen kann, wie ich das wegkriege, ob ich das auch einfach so löschen kann dann wär ich rundum glücklich...

Mfg und Danke für de Zeit die in die Hilfe investiert wurde!!!

loesch es mit der Killbox

C:\WINDOWS\system32\mac80ex.idf

PC neustarten

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

so wunderbar jetzt funktioniert alles wieder...

schön Dank an alle de sich etwas Zei genommen haben mir zu helfen und speziell an dich nikita

Mfg