Bootvorgang wird zur Schnecke

Hallo zusammen,
ich habe ein echtes Problem beim Booten von WinXP (SP3). Da sind einige Programme im Laufe der Zeit auf der Internet-Platte dazu gekommen. Jetzt dauert das Booten bis zum Netzzugang über 150 Sek. Dann erst macht er eine Online-Verbindung. Irgendwo bleibt der beim Booten? stehen (nicht aufhängen) und fällt in einen kurzen Schlaf, bevor es weitergeht. Diese Stelle herauszufinden würde mich brennend interessieren. Es liegt mit Sichheit nicht an Autostart-einträgen. Die habe ich alle, bis auf Wichtige entfernt.
Nun habe ich auf Empfehlung BootVis installiert und probiert. Das zeichnet den Bootvorgang auf. Dabei habe ich festgestellt, dass BootVis bereits mit seinen to launch fertig ist, und erst danach irgendeine mir unbekannte Software dann hängenbleibt mit der Meldung: Server ausgelastet bis es dann endlich weitergeht und die Onlineverbindung hergestellt wird. In dieser langen Schleife wo irgend ein unbekannter Prozess abläuft, das herauszufinden würde mich brennend interessieren.
Dieser jetzige Zustand ist sehr lästig. :-\
Wer hat schon mal sowas erlebt ? Wer kann sinnvolle Vorschläge machen?
Für weiterführende Tipps wäre ich sehr dankbar.

[br][blue]*PCDpan_fee: Verschoben aus "Windows XP"*[/blue]

Hallo,

schon mal gründlich auf Schädlinge untersucht ?

Grüße ITM4

[sub]BTW: Auch wichtige Prog´s können Deinen PC ausbremsen :[/sub]

... aber logo !
Das war das Erste was ich gedacht habe. :1 Es ist mit verschiedenster Virenscannern untersucht.Auch RootKits scheiden aus.

Hallo,

Firewall/Virenscanner etc. mal > testweise< abgeschaltet ?

In den Systemeigenschaften die Startoptionen mal untersucht (Anzeigedauer etc.)?

Grüße ITM4

theophrastus schrieb:

[...]Es liegt mit Sichheit nicht an Autostart-einträgen. Die habe ich alle, bis auf Wichtige entfernt.[...]

Zum Vergrößern anklicken....

Womit und was ist noch aktiv?
Was sagt das Eventlog der Maschine?

theophrastus schrieb:

und erst danach irgendeine mir unbekannte Software dann hängenbleibt mit der Meldung: Server ausgelastet bis es dann endlich weitergeht und die Onlineverbindung hergestellt wird. In dieser langen Schleife wo irgend ein unbekannter Prozess abläuft, das herauszufinden würde mich brennend interessieren.

Zum Vergrößern anklicken....

mich würde es auch interressieren, aber ohne weitere angaben kann man aus der ferne nichts weiter zu dem thema beitragen. das mußt du schon selber rausfinden. unbekannte prozesse sollte es auf einem system nicht geben, gibt es sie doch ist es meistens malware, auch wenn du schreibst, daß du nach schädlingen gecheckt hast, kann doch was böses sich auf der kiste installiert haben. hast du mal hijackthis ausgeführt und die prozesse überprüfen lassen? poste mal ein log hier rein, vielleicht sehn wir dann was. hier http://www.wintotal.de/Software/?rb=31 findest du hijackthis und hier www.hijackthis.de kannst du selber dein log auswerten lassen ...

greetz

hugo

Hallo zusammen,
ich habe nun div. Tests gemacht: Als erstes Firewall/Virenscanner deaktiviert(natürlich bei abgeschalteter Onlineverbindung). Ergebnis= keine Änderung.
Dann HijackThis runtergeladen, installiert, Scan gemacht, eingeschickt und Auswertung erhalten:
Alles sicher bis sehr sicher bis auf eine Ausnahme: Unbedingt fixen empfohlen:
HKCU\..\RunServices:[System]explorer.exe --> rotes Kreuz --> dann Unbedingt fixen! Added as a
result of the GRAYBIRD VIRUS! usw.usw. (wie fügt man hier eigentlich ein Bild ein aus einer Datei???; ist mir nicht gelungen in diesem Forum).

Nachdem gemacht (gefixt), neu gebootet ... alles beim alten geblieben ! keinerlei Veränderung der Geschwindigkeit. :|

Unklar ist noch :was ist Eventlog ? Auch in Systemeigenschaften-> Startoptionen noch unklar wie und wo; ich werde weitersuchen.

Echt harte Nuss!

Grüße alle Beteiligten

theophrastus schrieb:

Unklar ist noch :was ist Eventlog ?

Zum Vergrößern anklicken....

Start - Ausführen - eventvwr.msc - [OK]

pan_fee

theophrastus schrieb:

HKCU\..\RunServices:[System]explorer.exe --> rotes Kreuz --> dann Unbedingt fixen! Added as a
result of the GRAYBIRD VIRUS!

Zum Vergrößern anklicken....

du hast mit hijackthis nur den registryeintrag gefixed, der trojaner ist nachwievor bei dir auf dem system. du mußt minestens die explorer.exe zusätzlich austauschen. das erklärt auch, warum die kiste so lahm ist. die explorer.exe macht eine verbindung ins internet, da der graybird virus wahrscheinlich ein backdoor-trojaner ist. am besten du wendest dich direkt an unseren schrauber hier im forum, der ist spezialist für jedwelchen schädlingsmüll ...

greetz

hugo

hi,

http://www.wintotal-forum.de/index.php/topic,147847.msg746996.html#msg746996

hier schritt 1 und 2 machen.

====

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_rs

das tool rsit abarbeiten.

====

beide logfiles von rsit in codetags posten. wie der codetag geht steht hier

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_code

Hallo Hugo,

das führt mit Sicherheit in die Irre. Es ist kein Trojaner drauf ! Wenn da auch HijackThis sowas feststellt, muss das noch lange nicht stimmen. Aus Erfahrung weiß ich, dass da oft Falschalarm gegeben wird. Aber natürlich bin ich der Sache nachgegangen.
Ich habe das System mit Sophos-Rootkit, F-Secure, GData (meine Firewall u. Virenscanner), Ad-Aware
gecheckt: Nichts von Trojaner oder so. - Aber auch die könnten sich irren, das ist richtig. Also habe ich über die verdächtige Explorer.exe ein CRC-Check laufen lassen und die Prüfsumme ermittelt.
Dann habe ich eine Explorer.exe von einer anderen einwandfreien Platte ebenso mittels CRC-Check die Prüfsumme ermittelt: Ergebnis = nicht nur beide Explorer sind exakt gleich groß, sondern die Prüfsummen sind völlig identisch. KEIN Virus auf der ganzen Welt ist in der Lage ein File so zu verändern (auch wenn die Größe gleich bleibt), dass sich nicht die Prüfsummen ändern !!! Das ist Fakt und die sicherste Methode das zu prüfen. Darauf kann man sich verlassen. :coolsmiley:

Nicht genug damit: ich habe die verdächtige Datei an den Online-Virenscanner www.virustotal.com
geschickt und online testen lassen: Keins der ca. 40 Virentester hat etwas feststellen können !
Was soll man noch machen. Für mich ist das genug Beweis, dass das KEIN Trojaner ist.
Ich gehe jetzt wieder andere Wege, den Fehler zu finden. Man muß erkennen, wenn man sich verrennt.

Irgendwann werde ich es wissen und reinstellen.
Bis dann

welche datei hast du prüfen lassen bei vt???

die legitime im ordner windows oder die malware im ordner system32??

http://www.bleepingcomputer.com/startups/Explorer.exe-5449.html

Hallo,
auch die in C:\Windows\system32\dllcache\explorer.exe ist keine Malware.
Sie hat exakt die gleiche CRC-Prüfsumme wie alle anderen explorer.exe; also unverändert :froehlich1:

Weitere explorer.exe sind auf der Platte nicht vorhanden.
MfG
T

Hallo, ganz besonders an Pan_Fee !

Du bist meine Glücksfee ! und auch noch ne Frau, Kompliment. Du hast mich auf die richtige Fährte gebracht.
Der Fehler ist gefunden über eventvwr.exe (dein Tipp) Nach Aufruf fand ich div. Ungereimtheiten, unter anderem eine richtige Fehlermeldung (rotes Kreuz): Die Überprüfung des Inhalts konnte nicht beendet werden (von C. Dann weitere 3 Beschreibungen, die aber offensichtlich belanglos sind.Aber sie haben mich aber auf die richtige Spur gebracht. Aber der Reihe nach:
Vor einiger Zeit stiess ich auf SPTD.sys. Da viel es mir zuerst auf. Das Ding ist sehr umstritten. mal gefährlich, mal harmlos bezeichnet. Heute weis ich, harmlos.(über www.Virustotal.com) Ich hatte es als *.OLD umbenannt. Keine Änderung, weder neg. noch positiv.Auch das Bootproblem blieb.Aber es wurde in eventvwr.exe als Fehler erkannt mit *.OLD. Umbenannt in *.sys, alles wieder ok.

Der wirkliche Grund aber: ich hatte vor einiger Zeit einen Zweitdrucker (A4) von HP installiert, mit dem ich sehr zufrieden bin.Schöne Software, guter Druck, nur die Patronen sind sauteuer. Also Lösung: Refills. Das haben aber die Druckerhersteller garnicht gern. Schon bei der Installation viel auf, das man nach autom.Treiberupdates gefragt wurde, was ich verneinte.
Später erfuhr ich aus div. Quellen, das Hersteller damit verhindern wollen, das der Drucker die Patronen noch erkennt. (also Sabotage). Weil ich mir trotzdem nicht sicher war, ob das wirklich nicht im Hintergrund doch noch abläuft - das heimlich nach Hause telefonieren - habe ich in der Autostartdatei den HP deaktiviert. Seltsamerweise fiel mir nicht gleich auf das alles langsamer wurde. Erst später glaube ich ? Die eventvwr.exe machte aufmerksam, das da was nicht stimmt.
Auch HDInspector.exe wurde bemängelt, ist aber garnicht da. Wird aber auch nicht wirklich gebraucht.
Also habe ich probehalber in der Autostartdatei das Häkchen wieder gesetzt - und siehe da, die lange Bootschleife ist NICHT MEHR DA. Alles wieder normal. Nun muß ich nur anderweitig verhindern, dass HP schnüffeln kann, ohne das ich es merke: Über die Firewall mit Filter,denke ich mal.
Das Ende einer langen Geschichte. Danke allen. mml

bleibt die frage wo die malware herkommt.....

HKCU\..\RunServices:[System]explorer.exe

ist definitiv malware. und mit system32-ordner meine ich nit den dllchache, denn dort liegt natürlich eine saubere variante der datei, die legitim im windows ordner ist. die, die ich meine, liegt in c:\windows\system32 und ist definitiv malware. kann sein dass sie auch schon weg ist, und nur der regschlüssel übrig blieb.

bleibt aber immer noch die frage, was schon alles am system gepatcht wurde .

... kommt nirgends her ! war eine Fehlinfo von HijackThis , denke ich mal.
Nicht alles gleich glauben - ist meine Devise.

ok, wenn du meinst :

Hallo schrauber,

ich weiß keine andere Erklärung.

Von 150 Sek. auf 55 Sek., nur durch ein kleines Häckchen setzen.
Manchmal gehts andersrum: Eine Autostartfunktion aktivieren machts schneller, seltsam gell.

grüße T.

is ja auch schön .

aber ein anderer fakt ist dass der entrag malware ist, kein fehler von hjt.