Festplatte Arbeitet die ganze Zeit

[merenda]

Hi @all,

ich hab hier ein kleines Problem, meine Festplatte arbeit und arbeit, obwohl ich nichts mache, ich hab ein PDF ausgemacht und bin gerade am lesen, und dann fängt die Platte an zu arbeiten und rattert und rattert. Und das PFD ist gar nicht so groß. Ich hab schon ein defrag mit Executive Software Diskeeper gemacht aber das hat auch nichts gebracht

Hat jemand eine Idee ?

Danke schon mal im voraus.

gruß

merenda

[zip]

Schonmal´n Virenscan gemacht?

[Crash2001]

Lass mal einen Virenscanner laufen, schau unter "Software" in der Systemsteuerung nach, ob da irgendwelche Programme driin stehen die da nicht reingehören, schau mal im taskplaner ob da irgendein Job drin steht und lass mal ein Anti-Spyware-Programm a la "Spybot - search and destroy" oder "adaware" drüber laufen.

[merenda]

Hallo,

danke für eure Antworten, Vierenscanner läuft die ganze Zeit, findet nichts. Spybot habe ich auch drüber laufen lassen ist aber auch nichts.

Es ist auch keine Software installiert die nicht installiert sein darf. ?!

Hab ihr sonst noch eine Idee ?

Gruß

Merenda

[the_chaos]

schau mal im taskplaner, ob da ein programm recourcen braucht.wenn du nichts machst sollten die alle ungefähr bei null liegen. wenn da eins mehr braucht, würd ich das mal genauer prüfen

[merenda]

schau mal im taskplaner, ob da ein programm recourcen braucht.wenn du nichts machst sollten die alle ungefähr bei null liegen. wenn da eins mehr braucht, würd ich das mal genauer prüfen

Da habe ich schon geschaut, aber da ist nichts auffälliges ... ?!

[wildeHorde]

Es kann auch am Virenscanner selber liegen, denn der überprüft ja zum Beispiel jede Seknde ein File, oder alle 10 sekunden!

Das kann ich bei meinem Scanner einstellen, je mehr Files pro minute durchsucht, umso mehr muss auch die Festplatte arbeiten!

Ich weiß das es daran nicht liegen wird, wollte aber auch mal was sagen

[the_chaos]

Ich weiß das es daran nicht liegen wird, wollte aber auch mal was sagen

stimmt. denn die prüfen doch auch nur, wenn man eine datei öffnet, bzw ein programm(öffnet ja auch files)

[merenda]

Es kann auch am Virenscanner selber liegen, denn der überprüft ja zum Beispiel jede Seknde ein File, oder alle 10 sekunden!

Das kann ich bei meinem Scanner einstellen, je mehr Files pro minute durchsucht, umso mehr muss auch die Festplatte arbeiten!

Ich weiß das es daran nicht liegen wird, wollte aber auch mal was sagen

*lach* Du hast recht, daran liegt das nicht, weil das erst vor ca. 1 woche angefangen hat

[the_chaos]

dann würd ich dir einfach mal empfehlen, beim hersteller anzufragen, da sitzten "echte" Profis(will hier keinen beleidigen ).

Aber die müssten ja wissen, was da arbeiten könnte, obwohl der ganze PC nichts macht.

[merenda]

dann würd ich dir einfach mal empfehlen, beim hersteller anzufragen, da sitzten "echte" Profis(will hier keinen beleidigen ).

Aber die müssten ja wissen, was da arbeiten könnte, obwohl der ganze PC nichts macht.

Ich hab mal ein Update von Spybot gemacht. Der hat wieder trojaner gefunden, das gibt es doch nicht, woher kommen ständig diese Teile her

Naja, jetzt scheint es einigermasen zu gehen.

Danke für die Hilfe.

gruß

merenda

[Chief Wiggum]

Poste bitte mal ein HijackThis-Log.

http://www.spywareinfo.com/~merijn/

[merenda]

Hi,

hier die die Logdatei.

Danke schon mal im voraus für die Hilfe.

hijackthis.txt

[Chief Wiggum]

Fix mal bitte folgendes Problem:

O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe

http://vil.nai.com/vil/content/v_127649.htm

[the_chaos]

da wird noch n haufen anderes zeug gestartet. ich denke, du solltest dein autostart mal aufräumen, auch wenn das nichts mit dem aktuellen problem zu tun haben muss.

BTW: was isn das hier? vorallem das 2.

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

PS: ganz schön heftige sache, die du dir da eingefangen hast, wenn man sich ma die Beschreibung durchließt... :beagolisc

[merenda]

Hi, danke für eure Posts.

Also ich hab mir da wirklich was übles eingefangen :beagolisc so ein mist aber auch. Ich hab jetzt ein Scan durchlaufen lassen, Aber der kann Sie nicht löschen, bzw. nicht alle, bei den neu Erkennungen, habe ich mal jetzt nichts gemacht.

Habt ihr eine Idee ? Soll ich die anderen auch mal versuchen zu löschen ?

Wieso findet die Spybot nicht

Danke schon mal im Voraus.

merenda

[Chief Wiggum]

Geh bitte in die Registry, lösche die tsa-Einträge unter

Hkey Lokal Machine - Microsoft - Windows - Current Version - Run.

Kontrolliere auch Runonce, Runonceexec.

Geh bitte in die Systemeigenschaften und deaktiviere die automatische Systemwiederherstellung (Rechte Maustaste Arbeitsplatz-Icon, Eigenschaften).

Reboot des Systems, lösch die gefundenen tsa-Dateien.

[merenda]

Hallo Chief,

so hat nun gefunzt. Dateien Sind weg. Hab jetzt auch Spybot, Ad-Aware SE Personal und Sogar MS-Antispy Beta drüber laufen lassen (wobei ich MS - Antispy wieder deinstalliert habe, da es nur eine Beta ist.)

Die Progs haben nichts mehr gefunden.

Ich poste sicherheitshalber noch die LOG von HijackThis.

Danke und Gruß

Merenda

hijackthis.txt

[Crash2001]

Mal so als Tip:

Du solltest vielleicht mal überlegen, dir eine lokale Firewall einzurichten (ich benutze dafür die Sygate PErsonal Firewall), damit nicht alles auf deinen Rechner draufkommt, und mittels Spybot deinen Internet Explorer immunisieren lassen.

[Chief Wiggum]

Das ganze scheint ja immer weniger ein Hardware-Problem zu sein:

Verschoben ---> Security

[hades]

Ich habe Dein letztes Logfile bei www.hijackthis.de automatisiert auswerten lassen.

Bis einschliesslich 2.2.05 ist die Auswertung hier online einzusehen: http://www.hijackthis.de/logfiles/779fc0756fd5c853ce997d00ba2e9c05.html

Zusammenfassung:

Der Wert R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

sollte gefixt werden

Desweiteren laufen einige unbekannte Prozesse auf Deinem PC und es sind einige Registry-/Ini-Werte unbekannt.

unbekannte Prozesse:

• C:\INSIGHT\TOOLS\cliod.exe
  
• C:\Programme\TGI\DHCP_Service.exe
  
• C:\Programme\TGI\GRFW.exe
  
• C:\Programme\TkrV5XP\ServFtp.exe
  
• C:\Programme\TkrV5XP\TkrService.exe
  
• C:\Programme\TkrV5XP\TLOGFILE.EXE
  
• C:\Programme\TkrV5XP\ServTKR5.exe
  
• C:\_integra\bin\ccmagent.exe
  
• C:\WINDOWS\System32\Drivers\ldlcserv.exe
  
• C:\_integra\bin\shstart.exe
  
• C:\Programme\TkrV5XP\FilterWp.exe
  
• C:\Programme\jajc\jajc.exe
  

unbekannte Werte:

• F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\_integra\bin\shstart.exe
  
• O4 - HKLM\..\Run: [TalkRemote] C:\Programme\TkrV5XP\FilterWp.exe
  
• O4 - HKCU\..\Run: [JAJC] "C:\Programme\jajc\jajc.exe"
  
• O23 - Service: cl_iod - T-Systems CDS - C:\INSIGHT\TOOLS\cliod.exe
  
• O23 - Service: ldlcserv - IBM Corporation - C:\WINDOWS\System32\Drivers\ldlcserv.exe
  
• O23 - Service: TalkRemote 5.5 FTP Server - INTEGRO - C:\Programme\TkrV5XP\ServFtp.exe
  
• O23 - Service: TalkRemote 5.5 NT Security - Integro - C:\Programme\TkrV5XP\TkrService.exe
  
• O23 - Service: TalkRemote 5.5 WorkStation - Integro - C:\Programme\TkrV5XP\ServTKR5.exe
  

Die Hosts-Datei enthaelt unbekannte Werte. Allerdings koennen hier auch Deine eigenen Eintraege gemeint sein. Bitte poste hier den Inhalt der hosts-Datei (%systemroot%\system32\drivers\etc\hosts).

[Chief Wiggum]

C:\WINDOWS\System32\Drivers\ldlcserv.exe Ist zu 99% der Logitech Desktop Manager.

Die ganzen Insight- / Integro-Einträge deuten auf ein oder zwei installierte CMS / Datawarehouses hin:

http://www.softguide.com/prog_i/pi_0072.htm

http://www.softguide.com/prog_g/pg_0713.htm

Leider ergab exzessives googeln nichts vernünftiges.

Merenda: Was ist das für ein Rechner? Welcher Verwendungszweck?

[cane]

Um einem zukünftien Wiederbefall des Systems vorzubeugen einfach ein paar einfache Regeln befolgen:

- Nur mit Userrechten arbeiten.

- Alle Sicherheitspatches zeitnah einspielen

- jede Software regelmäßig updaten (Office, Browser, Instant-Messenger, Emailer)

- Firewall einsetzen und richtig konfigurieren

- Virenscanner täglich updaten

- alternativen Browser benutzen (Firefox ist mein Favorit)

- alternativen Email Client benutzen (Thunderbird ist mein Favorit)

mfg

cane

[Chief Wiggum]

Um einem zukünftien Wiederbefall des Systems vorzubeugen einfach ein paar einfache Regeln befolgen:

Schön und gut, aber hast du mal daran gedacht, dass es Firmennotebooks gibt, auf denen Installationsverbot herrscht? Also keinen alternativen Browser, keinen alternativen Mailclient, keine vom User installierte Desktop-Firewall.

Wo ich dir zustimme: Sicherheitspatche zeitnah installieren, so das von der weiteren Software auf dem Rechner freigegeben ist.

[cane]

Schön und gut, aber hast du mal daran gedacht, dass es Firmennotebooks gibt, auf denen Installationsverbot herrscht? Also keinen alternativen Browser, keinen alternativen Mailclient, keine vom User installierte Desktop-Firewall.

Installationsverbot ist vollkommen korrekt, nicht der User soll die genannten Tools installieren sondern ein ITler.

Immer mehr Außendienstler gehen zwar nur noch über VPN ins Firmen-LAN und können so die internen Services nutzen - eine Firewall ist aber gerade dann auf jeden Fall zu installieren weil sonst das ganze Sicherheitskonzept unterlaufen wird.

Generell ist zu sagen, dass Firmenlaptops die sich anderswo an öffentliche Netze hängen und ohne Firewall an die Außendienstler gegeben werden nur von einem zeugen: Unkenntnis und Ignoranz des zuständigen Sysadmins.

Ein alternativer Browser oder Client ist eine nette Zugabe - muß aber nicht sein da stimme ich dir zu. Wobei in der letzten Zeit Sysadmins sogar verstärkt nach der Möglichkeit fragen alternative Browser wie Firefox auf ihren Terminalserver-Farmen einsetzen zu können - da hab ich gerade mehrere Sachen am Laufen.

Es hat sich herumgespochen dass heterogene Infrastruktur und Anwendungsportfolio sehr viel sicherer sind - entsprechende Fachkenntnis vorrausgesetzt.

mfg

cane