Hallo,
ich habe seit ein paar Tagen ein Problem mit meiner rechner, er hängt ständig, und wenn er mal arbeitet dann extrem langsam. Ich habe im safe mode einige Virenscanner laufen lassen (Ad Aware, AntiVir, CWShredder, Spybot).
Es wurden auch Dateien gefunden und entfernt. Aber irgendwie habe ich das Gefühl dass es noch schlimmer gworden ist. Gleich nach einem Windeows Start hängt der Rechner.

Also habe ich im safe mode ein HijackThis logfile erstellt.
Könnte sich das jemand bitte mal ansehen.

Vielen Dank
Gruß
Cle_54


-----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 08:10:59, on 25.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Clemens\downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Clemens\LOCALS~1\Temp\se.dll/spage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Clemens\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://qus8l.hpwis.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UninstallPrintView] C:\WINDOWS\PrintViewUninstall.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=h**p://qus8l.hpwis.com
O16 - DPF: Secure Global Desktop Client, 3.4 - h**ps://asp1.extra-eu.infineon.com/java/ttaC-du.cab
O16 - DPF: Secure Global Desktop Client, 4.2 - h**ps://asp3.extra-eu.infineon.com/java/ttaF-du.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8895F00-33DB-4712-A3C7-D1ED4682DCAA}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: winbrg32 - C:\WINDOWS\SYSTEM32\winbrg32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Program Files\Common Files\AVM\de_serv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hi cle_54,

also ich sehe nichts außergewöhnliches.
Vorschlagen würde ich . . .

1. Darauf achten, dass du nur 1 Sicherheitssoftware
drauf spielst.
2. Updaten deines System auf SP2 + 94 Updates
(Link siehe Sig)
3. Festpallte bereinigen + Systemfestplatte defragmentieren

mfg Cleriker

Hi Cleriker,
erstmals Danke für die rasche Antwort.

Ich habe da aber doch noch die ein oder andere Frage.
zu 1):
was würdest Du da vorschlagen ? habe mir jetzt den AntiVir draufgeladen weil ich für den Norton schon ewig kein update mer hatte. und bezahlen wollte ich im moment auch nicht. soll ich den norton runterschmeissen ? geht das im abgesicherten Modus ?

zu 2)
werde das versuchen. lade mir also die updates hier an dem anderen PC runter, auf USBstick, und lasse sie dann bei meinem Rechner im safe mode laufen. das sollte doch so gehen, oder ?

zu 3)
defragmentiert hab ich schon. einige unnötige programme hab ich auch schon gelöscht.

und was ist mit :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Clemens\LOCALS~1\Temp\se.dll/spage.html
könnte das ein Problem sein ?

Vielen Dank
Gruß, Cle_54

Äähm,

Zitat:

was würdest Du da vorschlagen ? habe mir jetzt den AntiVir draufgeladen weil ich für den Norton schon ewig kein update mer hatte. und bezahlen wollte ich im moment auch nicht. soll ich den norton runterschmeissen ? geht das im abgesicherten Modus ?

Runterschemeißen kannst du im Abgesicherten Modus machen.
Beim Installieren von Antivir bin ich mir nicht sicher, solltest du
im Normalmodus machen.

Zitat:

werde das versuchen. lade mir also die updates hier an dem anderen PC runter, auf USBstick, und lasse sie dann bei meinem Rechner im safe mode laufen. das sollte doch so gehen, oder ?

Jap, genau -> Wenn dein USB - Stick groß genug ist.

Zitat:

defragmentiert hab ich schon. einige unnötige programme hab ich auch schon gelöscht.

Nur gelöscht oder auch sauber deinstalliert?

Zitat:

und was ist mit :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Clemens\LOCALS~1\Temp\se.dll/spage.html
könnte das ein Problem sein ?

Nein, der sieht meiner Meinung nach harmlos aus.
Aber du kannst sie fixen. Sind Konfigurationen, die
du anschließend durch deine übliche Handhabung
wieder einrichtest.
R0 ist für die Internet Explorer Startseiten und den Suchassistenten.
R1 ist für die Internet Explorer Suchfunktionen und andere charakteristiken.
Aber, wenn du eine eigene Meinung wünscht -> hier kannst
du dich belesen.

mfg Cleriker

Hallo,

die Dateien

C:\WINDOWS\SYSTEM32\winbrg32.dll
C:\WINDOWS\PrintViewUninstall.exe

solltest Du mal bei virustotal scannen lassen, poste das Ergebnis dann hier.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Hier fehlt SP2 Viel Arbeit macht hier wenig Sinn.

Bleibe bitte in diesem Thread

Gruß

Schrulli

Hallo
ich habe gestern im save mode mal den MWAV von escan laufen lassen und er hat doch tatsächlich den winbrg32 erkannt:

Wed Sep 27 07:59:21 2006 => Scanning File C:\WINDOWS\system32\winbrg32.dll
Wed Sep 27 08:04:03 2006 => File C:\WINDOWS\system32\winbrg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.

ausserdem wurden noch einige andere Viren / Trojaner gefunden die bis jetzt noch kein Virnescanner gefunden hat. (soll ich mal das ganze log-file posten?)

Wie ich in diesem Thread gelesen habe ( http://www.trojaner-board.de/showthread.php?t=17492 ) ist es wohl notwendig die befallenen Dateien manuell zu löschen. Welche Methode wird denn da empfohlen ? Killbox oder eScan-Checkb9 ?
Wäre nett wenn mir da jemand einen Ratschlag geben könnte.

Vielen dank
Cle_54

***************************

ich habe mittlerweile die datai winbrg32.dll bei virustotal scannen lassen.
hier ist das (nicht so erfreuliche) Ergebnis
http://www.virustotal.com/vt/en/resu...a34b1b5ee0f0a2

Hallo,

der bei Dir gefundene Trojaner wird als Backdoor klassifiuert, leider findet man nichts zur Funktionalität.
Daher solltest Du Dein System neu aufsetzen, wie hier beschrieben.

Gruß

Schrulli

Hi,

@ cle_54,
sorry erst mal, dass ich am Anfang keine korrekte Analyse
angegeben habe, aber ich bin noch im Lernprozess *g*
Wie du erwähnt hast, hast du offensichtlich den hier.
Du kannst dir selbst durchlesen, was er anrichten kann und
welche Wiederherstllungsmaßnahmen du anwenden kannst.
(schlechtes deutsch im Link wegen Übersetzung)
Entscheide dann selbst -> Neu Aufsetzen oder Entfernung
allein schon wegen deinem leicht veralteten System

mfg Cleriker

Hallo,

Zitat:

Zitat von Cleriker

allein schon wegen deinem leicht veralteten System

ein über zwei Jahre altes SP nicht einzuspielen, nen ich nicht leicht veraltet.

SCNR

Gruß

Schrulli

Äähm...

Zitat:

ein über zwei Jahre altes SP nicht einzuspielen, nen ich nicht leicht veraltet.

Manche benutzen gerne die Bratpfanne, aber ich nehme lieber einen
Staubwedel, weil die Bratpfanne mir selber weh tut.

mfg Cleriker

ich habe ja mittlerweile auf SP2 upgedated .... aber war wohl zu spät

zu meiner Verteidigung: hab den Rechner damls in den USA gekauft und benutze ihn eigentlich erst seit kurzer Zeit am Netz.
Aber ihr habt schon recht, bei der Sicherheit sollte man immer auf aktuelle updates zählen.

Cle_54