Hallo!

Mein Laptop spinnt! Er war mal ersatzweise ganz kurz im Internet und schon hat er sich wohl was eingefangen:

Er ist furchtbar langsam geworden, bringt dauernd Fehlermeldungen ("Machine Debug Manager hat ein Problem festgestellt und muss beendet werden" (der kommt immer) und jetzt das neueste: "Generic Host Process for Win32 Servies hat ein Problem festgesteltt...etc.")
Aber was mich total verrückt macht ist das Kühlen! Keine Ahnung, ob er heiß läuft oder so, aber er hört einfach nicht auf zu kühlen!

Ich hoffe sehr, dass hier irgendjemand weiß, was das sein kann! Brauche meinen Laptop im Moment dringend!!

Vielen Dank schonmal!
*Annika*

PS: Laufe mit XP und hab den Virenscanner "Sophos" der aber anscheinend nicht so doll ist...

Halo @AnnikaLuna

Es kann natuerlich ein Hardware-Problem sein,
Aber beginnen wir mit der Virensuche.

Lade das HijackThis, scanne, save und kopiere das Log mit der Maus ins Forum.
Downloadlinks:

http://www.downloads.subratam.org/hijackthis.zip
(Heute abend sehe ich es mir an)
Gruss
Nikita

Hallo Anika, im Internet ist die Firewall entscheident. Hattest du eine aktiviert (und wenn es "nur" die XP interne war? Wenn nicht, dann hast du vermutlich ein Problem. Gehe mal zu folgender Webseite:
www.dirks-computerecke.de/downloads.htm und lade die 4 Programme aus der Rubrik "Spyware ade" und installiere von diesen Ad-Aware und Spybot. Damit scannst du zunächst deinen Rechner. Da wird vermutlich schon einiges an Müll gefunden und beseitigt. Dann startest du noch den CWShredder. Wenn das erledigt ist, startst du HiJackThis und postest hier im Forum das Logfile (die Scan Taste wird nach dem Scannen zur "Save Log" Taste, diese betätigst du und klickst dann im Speicher Dialog auf "Speichern". Dann öffnet sich der Editor, aus dem du dann den Text mit kopieren/einfügen in deine Antwort einfügst).
Dann analysieren wir das mal genauer. Bis später dann

Ok, hier kommt's:

Logfile of HijackThis v1.98.2
Scan saved at 16:04:19, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ati2vid.exe
C:\WINDOWS\avserve2.exe
C:\DOKUME~1\ANNIKA~1\LOKALE~1\Temp\13.tmp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\olehelp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Dokumente und Einstellungen\Annika Luna\Desktop\important stuff\viren zeug\WindowsXP-KB828028-x86-DEU.exe
c:\8fb26e61a4e4adf5647ef61086aceb0a\xpsp1hfm.exe
c:\8fb26e61a4e4adf5647ef61086aceb0a\sp2\update\update.exe
C:\Dokumente und Einstellungen\Annika Luna\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://find4u.net/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://find4u.net/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find4u.net/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find4u.net/sp.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\izjego.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\ANNIKA~1\LOKALE~1\Temp\13.tmp.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [olehelp] C:\WINDOWS\System32\olehelp.exe
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Egcicili.dll


Hoffe, du kannst damit mehr anfangen, als ich...

Danke für die zweite Hilfe, Eddy!

Problem: Keine Ahnung, ob ich ne Firewall hab, geschweige denn ob die aktiviert ist!

Wo kann ich das nachschauen?

Hey!

Dieses Find4U- Ding in meinem "Log" kommt mir bekannt vor! Das hat mir schonmal Probleme gemacht!

War's das? Mit was konnte man "das" beseitigen? Stinger? Shredder? Eins von beiden war's doch...
I remember...

Aber hat das auch was mit dem non-stop-Kühlen zu tun?

hallo annika

ich will dich nicht blöd anmachen hier, aber ich finde es echt bedenklich, wenn im jahr 2004 jemand der/die sich im internet bewegt, nicht weiss, ob eine firewall installiert ist oder nicht!

ich empfehle dir dringend, dich mal in das thema internet und sicherheit reinzulesen.

nichts für ungut, aber das musste ich loswerden hier.

greetings

mana

Gebe dir vollkommen Recht!

Aber wenn du das so bedenklich findest, hättest du mir ja ne Antwort geben können!? Dann gäb's schon einen "Absolut-Laien" weniger...!

um die firewall in windows xp zu aktivieren:

klicke wenn du mit dem internet verbunden bist das verbindungssymbol unten rechts (die zwei kleinen bildschirme) mit der rechten maustaste, dann auf "status", dann "eigenschaften", registerkarte "erweitert".

beim nun offenen fenster muss das kästchen angeklickt sein. standardmässig ist das bei winxp glaub ich aktiviert.

und wenn du schon in diesem fenster bist, kannst du ja für erste informationen gleich noch den link "informationen über internetverbindugsfirewallE anklicken.

ansonsten gehst mal nach "firewall" googlen.

greetings

mana

Hallo,
mananac hats ein wenig drastisch ausgedrückt, aber so was ähnliches hatte ich auch gedacht. Nach Blaster und all den anderen Sachen in diesem Jahr dachte ich, keiner würde sich mehr ohne Firewall ins Netz trauen. Zur XP Firewall ist folgendes zu sagen:

Die XP Firewall gehöret zu den sogenannten statusbehafteten Firewalls die nach dem Prinzip der "Stateful Packet Inspection" arbeiten. Diese Art Firewall überprüft ausschliesslich eingehende Verbindungsanfragen. Ein Konfigurationsmenü der Firewall legt fest welche Verbindungsanfragen zugelassen werden sollen (z.B. eine Remote Desktop Unterstützung). Alles was nicht ausdrücklich zugelassen ist wird abgeblockt.

Im Prinzip ist diese Art Firewall recht sicher, da dein Rechner nur dann ankommende TCP/IP Datenpakete akzeptiert, wenn sie von deinem Rechner angefordert wurden. Ein Zugiff auf deinen Rechner ist von außen nur dann möglich, wenn du über "Erweiterte Einstellungen" die entsprechenden Dienste (z.B. FTP, POP3, Webserver) freigegeben hast.

Allerdings hat die Methode der Portfilterung einen entscheidenden Nachteil. Jede Verbindungsanfrage deines Rechners wird anstandslos ins Internet weitergeleitet und konsequenterweise werden die Antworten angenommen. Befinden sich also auf deinem Rechner Programme die selbsttätig, hinter deinem Rücken Verbindung zu ihrem "Herrn und Meister" aufnehmen, dann schützt dich die Firewall in keiner Weise. Zu den Programmen, die unaufgefordert Pakete in das Internet versenden, gehören Trojaner, Würmer, Adware, Spyware und z.B. auch die windowseigenen automatischen Update-Programme, Fehlerbenachrichtigungen, etc.. Das bedeutet, mit dem aktivieren der XP-Firewall ist es mit diesem Spuk noch nicht vorbei. Gegen solche unliebsamen Gäste helfen Tools.

Bist du der Meinung die XP-Firewall sei ein ausreichender Schutz für dich, so solltest du zunächt Windows XP alle Marotten abgewöhnen und dafür sorgen, dass dein System frei von Trojanern, Ad- und Spyware ist. Kannst du dieses sicherstellen, so ist diese Firewall ein ausreichender Schutz. Ich sehe diesen Portfilter eher als eine Ergänzung zu einer "echten" Firewall (also einer Firewall, die Verbindungen in beide Richtungen überwacht). Verzeiht mir den Vergleich: "Kondom trotz Anti-Baby Pille". Trotz allem, Fehler in der Konfiguration solcher Schutzmaßnahmen kann kein System abfangen.

Hallo @AnnikaLuna

eigentlich solltest du neuaufsetzen....der PC ist voellig verseucht....
Ich sehe auch keinen Antivirus...nur Viren

Willst du die Saeuberung dennoch versuchen und hast keine wichtigen Passworte, Bankgeschaefte usw....
..................................................................................................................
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924


Scanne mit dem HijackThis, dann hake an, was ich poste, dann <fix< und sofort neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://find4u.net/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://find4u.net/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find4u.net/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find4u.net/sp.htm

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\izjego.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe.......................................................................................(W32.Spybot.Worm) )
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe................................................................(Sasser-Wurm)
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\ANNIKA~1\LOKALE~1\Temp\13.tmp.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKCU\..\Run: [olehelp] C:\WINDOWS\System32\olehelp.exe....................................................(Trojan.Bookmarker.D)
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe


neustarten


#Lade das Removal-Tool fuer den Sasser-Wurm
http://www.microsoft.com/downloads/deta ... laylang=en


#Lade den Stinger
http://vil.nai.com/vil/stinger/
........................................................................................................
#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
....................................................................................................................
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.


normal neustarten

#Lade AdAware (free)
http://www.lavasoft.de/support/download/
#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

Stelle unter <InternetOptionen< eine neue Startseite ein und poste das Log noch mal.
.........................................................................................................
(Du musst dann bestimmt noch mal in die Registry, wegen dem Trojaner, der die Startseite verstellt.
Aber im Moment scanne erst mal und dann sehen wir am neuen Log weiter.


mfg
Nikita

http://www.boredguru.com/modules/newbb/ ... 6&forum=24
http://securityresponse.symantec.com/av ... .worm.html
http://securityresponse.symantec.com/av ... ker.d.html

@edy:

ich weiss beim besten willen nicht, was an meinem ersten post hier "drastisch" war.

auch bei aller höflichkeit und freundlichkeit im forum sollte platz für kritik sein.

greetings

mana

Hallo @mananac
Um noch eins draufzusetzen: Da ja Kritik erlaubt und erwuenscht ist:
Es hilft nicht sehr viel weiter, wenn du irgendeinen Link hier postest, mit der kuehnen und falschen (!) Aussage :"hier siehst du, wie man den <find4u.< beseitigt......"

zumal der< find4u.< von einem Startseitentrojaner <Bookmarker< verwendet wird und nur mit Eingriff in die Registry , Entfernen des Trojaners, scannen mit Antivirentool usw. eine Loesung des Problems erzielt werden kann.
mfg
Nikita

@nikita: schamerfüllt senke ich mein haupt und verneige mich vor deiner strahlenvollen weisheit

den link habe ich gesetzt, weil die dort vorgeschlagene vorgehensweise dem postenden offensichtlich geholfen hat, sonst hätte er sich nicht so überschwenglich bedankt. nahm ich an.

vielleicht hätte ich nicht schreiben sollen, "so kriegst du ihn weg" sondern rechtlich abgesichert und unverbindlich: "andere haben den find4u so unter umständen, evtentuell und möglicherweise wenigstens zeitweise weggekriegt"

da mein post aber ins datennirvana der unausgegorenen und falschen forenposts verschickt wurde, wage ich anzunehmen, dass ernsthafter schaden an leib, seele geist und festplatte in letzter sekunde vermieden werden konnte.

ich will mir deine (berechtigte!) kritik wohl zu herzen nehmen und...ich senke mein....goto satz 1.





greetings

mana

Hallo @mananac

Meiner Meinung nach ueberfordert man die Leute , wenn man ihnen solche Sites schickt, zumal ohne direkte Anleitungen.
Oft haben sie zum ersten Mal ein Log vom HijackThis gesehen und wenn man ihnen dann noch ein anderes postet, ist das Durcheinander perfekt.

Ausserdem war das Problem hier nicht der StartseitenTrojaner, sondern der Sasser-Wurm, also echt gefaehrlich.
Aus diesem Grund habe ich auch keine Anweisungen gegeben, dass der Trojaner (wie es eigentlich sein sollte), ueber die Registry, usw, entfernt werden soll.
Zuerst musste der Sasser bekaempft werden.

Und da @AnnikaLuna auch nichts mehr von sich hoeren laesst, denke ich, dass sie ihren PC inzwischen schon aus dem Fenster geworfen hat....

Denn eure Hinweise haben das Uebel nicht bei der Wurzel gepackt.(ich bin leider zu spaet dazugekommen)
Es ist so, als wuerde man einen Patienten wegen Schnupfen behandeln, waehrend er an Pocken verendet...

Gruss
Nikita