Habe scheinbar ein oder mehrere Trojanische Pferde auf meinem Rechner. Zumindest entdeckt AntiVir sie. Allerdings gelöscht werden können sie nicht. Ich habe dann in der Hilfe gelesen, dass man Systemwiederherstellung deaktivieren und den Computer im abgesicherten Modus starten soll, um es dann nochmal zu versuchen. Das Problem ist nur, dass mein Rechner rumzickt, wenn ich ihn im abgesicherten Modus starten will, sprich er startet dann nicht, sodass ich auf die Reset-Taste zurückgreifen muss. Naja dann hab ich die Dateien mal versucht ausfindig zu machen (c:windows/system32/hpEEA5.tmp) + (c:windows/system32/ldEB5A.tmp) und von Hand zu löschen, hat aber auch ned geklappt (Datei wird von einem anderen Programm benutzt etc).
Was kann ich denn da jetzt noch tun? Ist wirklich dringend weil ich denke, dass diese Viecher schuld daran sind, dass meine i-net Verbindung extrem langsam geworden ist.
Vielen Dank im Voraus!

/edit: Ich hab persönlich keine Ahnung aber ich hab halt schon ein wenig rumgelesen und oft gehört, dass um eine HiJackThisLogfile gebeten wurde. Darum mal hier meine:

Logfile of HijackThis v1.99.1
Scan saved at 01:18:31, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kiki\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpEEA5.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ICQ 5.lnk = C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing)

Hallo,

fixe folgende Einträge im HJT im abgesicherten Modus:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpEEA5.tmp
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing)

Lösche mittels Killbox mit der Option delete on Reboot folgende Dateien

C:\WINDOWS\system32\hpEEA5.tmp
C:\WINDOWS\System32\angelex.exe
C:\WINDOWS\system32\nvctrl.exe

Poste dann bitte die Logs der datfindbat, aber nur die der letzten drei Monate.

Gruß

Schrulli

So, 2 der Dateien, die ich löschen sollte waren heute nicht mehr vorhanden (ich weiß aber, dass sie es heute nacht noch waren) naja die verbliebene Datei hab ich dann mit der Killbox gelöscht und die geforderte LOgdatei rausgesucht:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2029-45D9

Verzeichnis von C:\WINDOWS\system32

01.04.2006 13:46 5.032 ncompat.tlb
01.04.2006 13:44 32.781 ldE8E9.tmp
01.04.2006 13:35 6.656 interf.tlb
01.04.2006 13:35 36.864 hp590C.tmp
01.04.2006 01:00 2.550 Uninstall.ico
01.04.2006 01:00 1.406 Help.ico
01.04.2006 01:00 30.590 pavas.ico
31.03.2006 23:28 12.288 Thumbs.db
31.03.2006 17:51 12.598 wpa.dbl
29.03.2006 21:50 4.286 ot.ico
29.03.2006 21:50 4.286 ts.ico
27.03.2006 21:56 15.689 dfrgsrv.exe
26.03.2006 18:47 316.594 perfh007.dat
26.03.2006 18:47 48.156 perfc007.dat
26.03.2006 18:47 39.992 perfc009.dat
26.03.2006 18:47 311.604 perfh009.dat
26.03.2006 18:47 723.568 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
06.03.2006 16:44 7.006 jupdate-1.5.0_06-b05.log
05.03.2006 13:41 16.832 amcompat.tlb
05.03.2006 13:41 23.392 nscompat.tlb
19.02.2006 13:44 303.624 FNTCACHE.DAT
14.02.2006 10:20 550.120 LegitCheckControl.dll
26.01.2006 20:36 716.800 divxdec.ax
26.01.2006 20:36 574.976 DivX.dll
26.01.2006 20:35 679.936 divx_xx07.dll
26.01.2006 20:35 679.936 divx_xx0c.dll
26.01.2006 20:35 663.552 divx_xx11.dll
24.01.2006 20:34 118.784 sirenacm.dll
24.01.2006 20:08 12.288 DivXWMPExtType.dll
18.01.2006 14:05 57.344 avsda.dll
09.01.2006 21:32 86.016 dpl100.dll
09.01.2006 21:32 593.920 dpuGUI11.dll
09.01.2006 21:32 200.704 dtu100.dll
09.01.2006 21:32 339.968 dpus11.dll
09.01.2006 21:32 57.344 dpv11.dll
09.01.2006 21:32 294.912 dpu11.dll
09.01.2006 21:32 294.912 dpu10.dll
04.01.2006 05:35 68.096 webclnt.dll

Hallo,

das ist aber nur das erste log, da fehlen drei, die brauchen wir noch.

Verende Cleanup.

Bisher schon mal diese löschen:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hp590C.tmp
C:\WINDOWS\system32\ldE8E9.tmp
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico

Gruß

Schrulli

Örm 3 fehlende Logs? Ich steh grad irgendwie auf dem Schlauch (me=noob)

Also folgende Dateien habe ich gefunden und gelöscht, die anderen waren nicht aufzufinden, zumindest nicht im angegebenen Verzeichnis:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico

demnach fehlen folgende Dateien:

C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hp590C.tmp
C:\WINDOWS\system32\ldE8E9.tmp

Hallo,

Zitat:

Zitat von virus-protect.org

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

diese vier Logs, Anleitung lesen, vlt. auch versuchen sie zu verstehen.
Oder ausdrucken hilft auch.


Gruß

Schrulli

hmm sorry...

2. log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2029-45D9

Verzeichnis von C:\DOKUME~1\username\LOKALE~1\Temp

01.04.2006 15:43 203 jusched.log
1 Datei(en) 203 Bytes
0 Verzeichnis(se), 32.869.232.640 Bytes frei

3. log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2029-45D9

Verzeichnis von C:\WINDOWS

01.04.2006 15:33 0 0.log
01.04.2006 15:33 1.405.301 WindowsUpdate.log
01.04.2006 15:33 159 wiadebug.log
01.04.2006 15:33 49 wiaservc.log
01.04.2006 15:33 2.048 bootstat.dat
01.04.2006 15:31 32.582 SchedLgU.Txt
01.04.2006 01:14 837 win.ini
01.04.2006 00:59 303.551 setupapi.log
27.03.2006 19:03 215.280 wmsetup.log
23.03.2006 12:45 2.359.350 Firefox Wallpaper.bmp
20.03.2006 22:00 30.972 spupdsvc.log
20.03.2006 20:00 17.505 KB911565.log
20.03.2006 20:00 24.867 updspapi.log
11.03.2006 23:46 179.060 setupact.log
05.03.2006 13:41 496 wmsetup10.log
05.03.2006 13:12 6.339 WGA.log
27.02.2006 18:57 99.970 UninstallFirefox.exe
27.02.2006 18:57 4.579 mozver.dat
21.02.2006 18:21 316.640 WMSysPr9.prx
21.02.2006 18:17 1.125 winamp.ini
20.02.2006 22:52 16 wininit.ini
19.02.2006 17:42 30.681 scunin.dat
19.02.2006 17:42 967 ScUnin.pif
19.02.2006 17:42 69.632 ScUnin.exe
19.02.2006 16:58 0 setuperr.log
19.02.2006 12:39 76.495 iis6.log
19.02.2006 12:39 171.534 comsetup.log
19.02.2006 12:39 1.374 imsins.log
19.02.2006 12:39 24.528 ocmsn.log
19.02.2006 12:39 103.238 ntdtcsetup.log
19.02.2006 12:39 191.731 tsoc.log
19.02.2006 12:39 14.172 KB911927.log
19.02.2006 12:39 249.082 ocgen.log
19.02.2006 12:39 24.495 msgsocm.log
19.02.2006 12:39 480.088 FaxSetup.log
19.02.2006 12:39 1.374 imsins.BAK
19.02.2006 12:39 9.935 KB911564.log
19.02.2006 12:38 10.401 KB913446.log
19.02.2006 11:40 37 vbaddin.ini
15.01.2006 18:41 11.052 KB912919.log
15.01.2006 18:41 10.261 KB908519.log

4. log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2029-45D9

Verzeichnis von C:\

01.04.2006 15:54 0 sys.txt
01.04.2006 15:53 19.580 system.txt
01.04.2006 15:52 291 systemtemp.txt
01.04.2006 15:52 96.355 system32.txt
01.04.2006 15:33 352.321.536 pagefile.sys
11.10.2004 15:49 211 boot.ini
11.10.2004 15:42 47.564 NTDETECT.COM
11.10.2004 15:42 251.184 ntldr
22.03.2004 18:18 0 IO.SYS
22.03.2004 18:18 0 CONFIG.SYS
22.03.2004 18:18 0 AUTOEXEC.BAT
22.03.2004 18:18 0 MSDOS.SYS
02.04.2003 14:00 4.952 bootfont.bin
13 Datei(en) 352.741.673 Bytes
0 Verzeichnis(se), 32.869.208.064 Bytes frei

Hallo,

ok, lade Regseeker verwende "Clean the registry" und lösche [entf drücken] alle grünen Einträge.
Dannach lasse einen Online Scan laufen, gibt es u.a. hier

Poste das Ergbnis hier und berichte was mit den Problemen ist.

Gruß

Schrulli

Trend Micro HouseCall 6.5 ausgeführt.
Ergebnis:

Gefundene Malware

TROJ_ZLOB.IG

Laut Trend Micro wurden alle Infektionen entfernt.

Da Infektionen gefunden wurden, wurde mir empfohlen einen erneuten Durchlauf durchzuführen, der folgendes Ergebnis hatte:

Gefundene Spy- und Grayware

TROJ_SE.77291

BHO_SE.106630

HTTP-Cookies

Und wieder wurde mir aufgrund der Funde empfohlen einen erneuten Durchlauf zu machen.

Der hatte nun endlich das Ergebnis:

Keine Funde.

/edit: So nach einem Neustart wollte ich dann auch testen, ob das alles etwas gebracht hat. Leider war das nicht der Fall. Meine Downloadgeschwindigkeit liegt unverändert bei allerhöchstens 10kb/s...
Langsam verzweifle ich...

Hallo,

poste ein eScan Log, Anleitung dazu in meiner Signatur verlinkt.
Lade Dir auch Blacklight und poste die jeweiligen LOgs hier.
Teste Deine Geschwindigkeit hier. Welche Anbindung hast Du und sind Providerprobleme auszuschließen?

Gruß

Schrulli

Arcor: DSL 6000, 4 Computer an einem Router, davon 2 regelmäßig im Netz.

Nunja ein Freund hat mir geraten, den Router zu restarten, und das scheint jetzt auch geholfen zu haben. Aber ich bin noch skeptisch

Deshalb:

Blacklight hat nix gefunden.

eScan läuft grad noch durch, Ergebnis reiche ich noch nach.

Sollte es dabei bleiben, dass wieder alles in Ordnung ist, dann an dieser Stelle ganz ganz herzlichen Dank für die Hilfe!