---Rechner friert ein, Arbeitet sehr langsam, Trojaner?---

tasser · 13.01.2006, 18:53

Hi, ich habe ein Problem:
mein PC friert öfters mal nen moment ein, Zocken oder Arbeiten nicht möglich, ich denke es handelt sich um einen Trojaner oder Virus, hoffe ihr helft mir.
Hier mein LOG:
MfG Florian Tasser
-----------------------------------------
-----------------------------------------
Scan saved at 18:17:37, on 13.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Flo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {7FFB4F43-C14E-0EA6-CE22-3E8C3C8B0A35} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B32DC898-5BFD-42A0-8CD9-12A9F37859C7}: NameServer = 217.237.148.17 217.237.148.49
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\n06qlaj51do.dll (file missing)
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\wniscmgr.dll (file missing)
O21 - SSODL: SysTray.Exiv - {2963ECFC-4E5C-2f3b-B334-D67434FC72E0} - (no file)

Rene-gad · 13.01.2006, 19:15

@tasser
sieht nach SpyScheriff aus. Log von HJT soll im Normalmodus erstellt werden.

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\n06qlaj51do.dll (file missing)
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\wniscmgr.dll (file missing)
O21 - SSODL: SysTray.Exiv - {2963ECFC-4E5C-2f3b-B334-D67434FC72E0} - (no file)

Bitte fixen.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

tasser · 13.01.2006, 19:17

Okay Danke, ich werd gleich mal alles probieren...

tasser · 13.01.2006, 21:27

File C:\WINDOWS\system32\sicpack.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\German\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\Italian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\French\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\Spanish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\Portuguese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\Dutch\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\Swedish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\Greek\". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mpga". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{3877C2CD-F137-4144-BDB2-0A811492F920}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{61C1E4FF-3203-4CE0-B4AF-6480607D0AA3}". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}" refers to invalid object "C:\DOKUME~1\Flo\LOKALE~1\Temp\CmdLineExt02.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{9869EFA6-18E9-11D3-A837-00104B9E30B5}" refers to invalid object "C:\DOKUME~1\Flo\LOKALE~1\Temp\CmdLineExt02.dll". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\phone meta\rluiicdj.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\phone meta\yngcsmmw.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Flo\Desktop\Downloads\netpumper-1.25-setup.exe tagged as "not-a-virus:AdWare.Win32.Lop.ai". Action Taken: No Action Taken.
File C:\Programme\DAEMON Tools\SetupDTSB.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
File C:\Programme\NetPumper\ZM\NP_0114_1.exe tagged as "not-a-virus:AdWare.Win32.Lop.ai". Action Taken: No Action Taken.
File C:\WINDOWS\system32\d4j02e1mgh.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dbrpsetu.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnjq0115e.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\fpp4037qe.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\gxtext.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\imaapi.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\j24olch31f4.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\j4j6le1s1h.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\jtjo0713e.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\kt28l7fu1.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ktpul7791.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\l44q0eh5eh4.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\morepl40.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\o0rola931d.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\paspl.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
File C:\WINDOWS\system32\qEsf.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.

Rene-gad · 13.01.2006, 22:04

@tasser
Sorry, habe ganz vergessen

: Net Pumper musst du deinstallieren ..
Danach bearbeite dein PC mit Spybot S&D, AdAware und Spyware Doctor, wenn es seien soll.

tasser · 13.01.2006, 22:12

Okay kein problem, ich bedanke mich, denn der PC läuft wieder etwas schneller, alber nur ein winziges bisschen, ich werd versuchen den wieder flott zu machen mit eurer/deiner Hilfe

tasser · 14.01.2006, 20:53

Hab mal Spyware Doctor drüberlaufen lassen, der hat dann mal 952(kein Tippfehler) Trojaner, Viren, Dialer etc. runtergeschmissen....total lol...alles klar, alles funzt wieder super wie vorher! Danke

uws0500 · 15.01.2006, 10:29

Lad dir doch mal AntiSpyware hier
runter das hat mir auch geholfen.Ist zwar noch in der beta fase aber gut und lass auch am besten den Bearshare scheiß in ruhe.
Ich traus mich ja garnicht zu sagen aber du solltest das nur runterladen wenn du dein Windows gekauft hast

---Rechner friert ein, Arbeitet sehr langsam, Trojaner?---

Log-Analyse und Auswertung: ---Rechner friert ein, Arbeitet sehr langsam, Trojaner?---