Extrem lange Scandauer

G

geoscook

New member
Guten Abend alle zusammen :)

Ich lese hier nun seit 2 Tagen. Habe aber leider keine Lösung zu meinem Problem gefunden. Bei mir läüft Spybot 1.4 mit dem Update vom 07.04.06

Die kompletter Scandurchlauf dauert ca. 7 Std. Tips mit Virenwächter abschalten, starten im abgesicherten Modus und Priorität auf "am niedrichtsten setzen hat nicht geholfen.

Wenn ich den Scan nach einer bestimmten zeit abbreche und die bis dahin gefundenen Probleme behebe, läuft der nächste Scan aber nicht bis zu diesem Punkt durch. Er zeigt immer als erstes "498/ 39997 Baciami". Und immer so weiter. Müßte dies Problem nicht beim nächsten Durchlauf behoben sein :confused:

Tschüß Frank
 
Ich habe nicht alle Threads zu dem Thema Scanzeit durchgelesen und leider habe ich so einen Rechner noch nie "Live" gesehen, aber vieleicht koennen wir es etwas eingrenzen.

Was fuer ein Betriebssystem, AV-Programm usw hast du denn installiert und braucht Spybot auch im abgesicherten Modus so lange mit der Ueberpruefung?
 
Bei mir läuft W2k mit SP 4 und letzten Updates, Antivir und Hijack zeigt nach meiner Meinung auch nichts was nicht hierher gehört.

------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 13:42:40, on 14.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ACLSymbolsC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
I:\VMware Workstation\vmware-authd.exe
C:\WINNT\system32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\vmnetdhcp.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
D:\Nokia\9500\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\FreeRAM XP Pro 1.40.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
F:\SeaMonkey\seamonkey.exe
D:\Programme\totalcmd6\TOTALCMD.EXE
H:\VIREN\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\wprda.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\VIREN\SPYBOT~1.4\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\wprda.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Nokia\9500\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [FreeRAM XP] "D:\Programme\FreeRAM XP Pro 1.40.exe" -win
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - F:\ebay\SchnapperPro\SchnapperPro.exe
O23 - Service: ArchiCrypt Live 3 Service (ACLSymbolsC) - Unknown owner - C:\WINNT\system32\ACLSymbolsC.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileXchange Service (FileManager) - Unknown owner - C:\FXC950~1\FileManSvc.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - I:\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe
-------------------------------------------------------------------------

Achso, im abgesicherten Modus geht es auch nicht schneller :mad:
 
Das willst du behalten?

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\wprda.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\wprda.dll

Siehe dazu http://castlecops.com/tk1829-IE2CLTR_DLL.html

Wie lange hast du denn dieses Problem mit Spybot? Wie gesagt, ich kann das Problem nicht nachvollziehen......
 
Ich werde beide kicken. Und vielen Dank für den Link. Habe mich dort richtig festgelesen. Wie lange ich das Problem habe kann ich nicht richtig sagen. Habe das Programm lange nicht benutzt. Hatte vorher die 1.3. Und da lief alles normal. Die 1.3 habe ich aber erst nach der installation der 1.4 wieder benutzt und die hat jetzt das gleiche Problem.
Ich habe nun beide entfernt, Eure *reg benutzt und nach einem Neustart die 1.4 wieder installiert. Aber keine Besserung. Ach nicht nach benutung von CClean.
Was mich irritiert ist, daß SpyBot immer wieder an den gleichen Problemen langsam wird z.B. Produktüberprüfung läuft (498/ 39997 Baciami)
 
Hallo geoscook,

Darf ich kurz dazwischen, mein scan dauert mit den aktuellen Signaturen im Abges.Modus (dauert da etwas länger) nur ca. 5:30 Minuten.
XP SP2, P4, 3 Ghz .

Ciao Digit
 
Hai Digit,

willst Du mich ärgern oder aufbauen :wink::

Das sind wunschwerte, die auch gern hätte. Wenn ich da nicht bald hinkomme, dann werde ich wohl 2 Tage Urlaub nehmen und W2k neu aufsetzten müssen. Ich hoffe ja noch ich komme drum herum.

Tschüß Frank
 
geoscook said:
Hai Digit,

willst Du mich ärgern oder aufbauen :wink::

Das sind wunschwerte, die auch gern hätte. Wenn ich da nicht bald hinkomme, dann werde ich wohl 2 Tage Urlaub nehmen und W2k neu aufsetzten müssen. Ich hoffe ja noch ich komme drum herum.

Tschüß Frank
Click to expand...

Nein ich will niemand ärgern,

SS&D 1.4 wurde zuletzt von einer PC-Zeitschrift getestet, ich glaube es war Comp.Bild, die hatten bemängelt, daß der Scan 2 Std. dauert.
Hier im Forum hatten sich schon einige über eine lange Scandauer geärgert.
Ich hatte das auch schon, aber es war die Hardware schuld.
Es gibt wahrscheinlich viele Gründe für eine lange Scandauer, ich wollte nur mal darstellen, daß das eben auch anders sein kann.

Gruß Digit
 
Hallo geoscook,

falls Du Dein Problem noch nicht gelöst hast, kann ich Dir vieleicht einen Tip geben:
Mit der langen Scandauer das hatte ich auch und auch, dass der Scan bei 498 Baciami und danach noch an einigen anderen Stellen besonders lange verweilte. Alles begann mit dem Umstieg von SD1.3 auf 1.4. Zusätzlich (ich weiß aber nicht genau, ob das auch eine Rolle gespielt hat) hatte ich mir noch einen Trojaner (Pipas.A) eingefangen.
Beide Probleme (Trojaner und Scandauer) konnte ich in einem Rutsch lösen:


http://www.f-secure.de/blacklight/ : Das ist eine Testversion, die ich runtergeladen und laufenlassen habe. Damit werden im 1. Schritt "hidden files " im Bootsektor aufgespürt. Davon kannst Du dann im 2.Schritt eine Auswahl treffen, die Du umbenennen lassen willst (Das sind alles exe-files, an die das Programm dann zusätzlich ein .ren anhängt). Die werden dann beim Rebooten nicht mehr aktiv. Solltest Du aber vorsichtig sein mit dem Umbenennen; wenn da was Wichtiges dabei ist, das Dein System braucht... ?! Aber keine Angst, es wird ein Log-file angelegt, und alles lässt sich hinterher wieder rückgängig machen.
Ich jedenfalls hatte 7 hidden files und bin das Risiko eingegangen, sie alle umbenennen zu lassen, obwohl ich bei 3 davon nicht wusste, was sie anrichten. Ist aber gut gegangen, jedenfalls bis heute (habe ich erst gestern gemacht). Einer von den 3 muss der Trojaner sein, oder 2 davon oder sogar alle 3?), ich bin noch dabei zu versuchen das rauszufinden. Den Trojaner habe ich nochmal mit SD entfernt und nach dem Rebooten war er endgültig in der Kiste. Und die Scandauer war nach dem Umbenennen der versteckten Files sofort wieder vor fast 3 Stunden auf 4 Minuten zurückgegangen.

Viel Glück, vielleicht hilft Dir das.

itsonlyme
 
Bevor hier einer mit Blacklight Dateien umbenennt, bitte vorher den Report posten, den es erstellt, wenn man ohne umbenennen das Programm beendet. Die LOG Datei befindet sich dann im selben Ordner wie Blacklight selber.

Rootkits haben leider die Angewohnheit ab und zu die Explorer.exe und andere Systemdateien zu verstecken. Benennt man diese um, funktioniert Windows unter umstaenden nicht mehr korrekt!
 
Frohe Ostern zusammen,
blacklight hat was gefunden. Aber leider kann der log nicht im Editor angezeigt werden. Liegt das an mir oder gibt es da einen Trick. Ansonsten habe ich für den schlimmsten Fall ein Image von c: . Und mit einer Systemreparatur von der CD habe ich letztens den Rechner von meinem Sohn wieder hinbekommen.

Tschüß Frank
 
In dem Ordner, von dem du die Blacklight exe gestartet hast, befindet sich nachher zusaetzlich eine Datei mit namen fsbl-2006*.*
 
Erst noch einmal an alle ein herzliches dankeschön :)

Spybot läuft wieder wie gewohnt. Es lag wirklich an den Dateien die Blacklight umbenannt hat. Habe sie mir vorher aufgeschrieben, um sie zur Not mit der Hand wieder umzubenennen. Warum das Log nicht mit meinem Editor zu öffnen war sondern nur mit WinWord :scratch: , na ja. Hauptsache es läuft wieder alles. Aber trotzdem noch mal das log für interessierte.
Im Moment überlege ich, ob ich nur noch mit VMWARE ins internet gehe. Denn so viel Ärger trotz Router und EMailprogramm im reinen Textmodus (Postme).

------------------------
blbeta.log
-----------------------
04/17/06 19:33:07 [Info]: BlackLight Engine 1.0.35 initialized
04/17/06 19:33:07 [Info]: OS: 5.0 build 2195 (Service Pack 4)
04/17/06 19:33:07 [Note]: 7019 4
04/17/06 19:33:07 [Note]: 7005 0
04/17/06 19:33:12 [Note]: 7006 0
04/17/06 19:33:12 [Note]: 7011 1576
04/17/06 19:33:12 [Note]: 7026 0
04/17/06 19:33:12 [Note]: 7026 0
04/17/06 19:33:13 [Note]: FSRAW library version 1.7.1015
04/17/06 19:33:31 [Info]: Hidden file: C:\WINNT\system32\wbem\wbemtest.exe
04/17/06 19:33:31 [Note]: 10002 1
04/17/06 19:33:34 [Info]: Hidden file: C:\WINNT\system32\drivers\SCANTEST.EXE
04/17/06 19:33:34 [Note]: 10002 1
04/17/06 19:33:36 [Info]: Hidden file: C:\WINNT\system32\filesafer23.exe
04/17/06 19:33:37 [Note]: 10002 1
04/17/06 19:33:37 [Info]: Hidden file: C:\WINNT\system32\howiper.exe
04/17/06 19:34:03 [Note]: 7002 5
04/17/06 19:34:03 [Note]: 7003 1
04/17/06 19:34:03 [Note]: 10002 1
04/17/06 19:34:05 [Info]: Hidden file: C:\WINNT\system32\sphlp32.exe
04/17/06 19:34:20 [Note]: 10002 1
04/17/06 19:34:20 [Info]: Hidden file: C:\WINNT\system32\csnpu.exe
04/17/06 19:34:20 [Note]: 7002 32
04/17/06 19:34:20 [Note]: 7003 1
04/17/06 19:34:20 [Note]: 10002 1
04/17/06 19:34:21 [Info]: Hidden file: C:\WINNT\system32\dmyri.exe
04/17/06 19:34:21 [Note]: 7002 32
04/17/06 19:34:21 [Note]: 7003 1
04/17/06 19:34:21 [Note]: 10002 1
04/17/06 19:34:23 [Info]: Hidden file: C:\WINNT\system32\pppcgm.exe
04/17/06 19:34:23 [Note]: 10002 1
04/17/06 19:34:26 [Info]: Hidden file: C:\WINNT\system32\favset.exe
04/17/06 19:34:36 [Note]: 10002 1
04/17/06 19:36:15 [Note]: 7007 0

Tschüß Frank
 
Bitte denke daran, das diese Datei keine Malware ist:
C:\WINNT\system32\wbem\wbemtest.exe
Wichtig ist auch das aendern aller Passworte, sofern du dir sicher sein kannst, das das alles war, was sich an Malware auf dem Rechner befand. Wenn dein Image sauber ist, waere es ratsam, es zurueckzuspielen, nachdem du deine Daten gesichert hast.
 
You must log in or register to reply here.
Back
Top