Hallo Liebes Trojaner-Board Team

Ich habe da ein Riesen Problem, unzwar mein Internet ist um 70% langsamer geworden...Also wenn ich den PC neustarte muss ich einige Prozesse erstma beenden alg.exe lvpcomserv usw und dann 2x den router neustarten das ich in wow keinen 2000er ping oder so habe sondern einen normalen 180er oder so
aber dann nach einiger zeit is mein cpu sehr sehr ausgelastet so um 80% sonst immer so 30-40% beim zoggn...
Und da crss.exe oder alg.exe im prozess fenster steht das gibt mir schon bedenken....
Hab euch aber hier ein HijackThis log gepostet ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:42:05, on 08.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Help
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-776561741-1326574676-839522115-1006\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5477C14-6800-4584-9953-FCAE59F38662}: NameServer = 61.196.160.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F02657AD-AE39-4EF7-AFB2-9F8B3F9ACA2A}: NameServer = 61.196.160.134
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\Windows Live\Messenger\usnsvc.exe (file missing)

--
End of file - 4982 bytes

Ich hoffe es lässt sich etwas finden ... da meine mum sich auch schon sehr ärgert und ich mich beim raiden in wow ärgern tuh wenn ich laufend den pc restarten muss oder er ma mitten im boss fight abstürzt ^^

Aber falls ihr etwas gefunden habt schreibt hier einfach ma ins forum werde mir jede std den thread anschaun...

MfG. euer Niedzwiedz08

PS: Und versucht es mir so leicht wie möglich zu machen den ich bin ja kein pc profi obwohl ich schon einiges mit 15jahren kenne Und ich wünsche mir den Pc net neu aufsetzen zu müssen da das wohl lange dauert mit den wow patches ((

Also knallen wir zusammen den trojaner was auch immer weg
= Trojaner = Wir ^^

Moin

Zitat:

Und da crss.exe oder alg.exe im prozess fenster steht das gibt mir schon bedenken....

Du meinst sicherlich csrss.exe und alg.exe, welche aber durchaus i.O. sein sollten.
Bedenken habe ich aber bei diesem Prozess

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe

--> Backdoortrojaner mit Rootkiteigenschaftenn, stiehlt so ziemlich alles an Passwörtern was ihm in die Finger kommt
Sollte an diesem Rechner Onlinebanking betrieben werden solltet ihr euch mit der Bank in Verbindung setzen.

Zitat:

Und versucht es mir so leicht wie möglich zu machen den ich bin ja kein pc profi

OK!

Zitat:

Und ich wünsche mir den Pc net neu aufsetzen zu müssen da das wohl lange dauert mit den wow patches

Sorry, aber etwas anderes wirst du wahrscheinlich nicht zu hören bekommen.
Ich rate dir folge dieser Anleitung
http://www.trojaner-board.de/51262-n...sicherung.html

MFG

Was is mit meinem wow pw mit dem is ja bisher nix passiert
aber werde mir morgen direkt die cd suchen ^^ und windows neu installen
das bringts ja hoffentlich aber woher kommt das das des inet solangsam is
und der cpu so schnell hoch geht!?

Und warum das immer erst nach dem restart so schlimm is
also wenn ich neustarte oder den pc anmache dann wird des inet immer direkt solangsam
es sei denn ich beende einige prozzesse und restarte den router



Naja schreibt ruhig fleißig werde dann morgen wieder vorbei schauen

Zitat:

Zitat von Niedzwiedz08

Was is mit meinem wow pw mit dem is ja bisher nix passiert

Dann gehe mit einem sauberen PC in deinen WoW Account und ändere dein Passwort, bevor es ein anderer tut

Aloha,
folgende Einträge sollten gefixt werden.

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

wechsel in den abgesicherten Modus (beim starten F8 drücken), öffne HJT, do a system scan only an save a logfile, die Einträge oben markieren und auf fix checked drücken. Danach Rechner neu starten.

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5477C14-6800-4584-9953-FCAE59F38662}: NameServer = 61.196.160.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F02657AD-AE39-4EF7-AFB2-9F8B3F9ACA2A}: NameServer = 61.196.160.134

Kennst du diese IP Adresse?

Gruss Leonixx

Hallo Leonixx
Deine "guten Ratschlage" kannst du dir hier sparen. Da hilft nur noch neu Aufsetzen.

Ach der Companion ntos ist wieder unterwegs. Ich
habe eine Zeit lang ein Gegenmittel gesucht , aber
sobald Online-Banking auf dem infizierten PC durchgeführt
wird, bekommt der USER nach 2 Wochen Post von seiner
Bank. Außerdem gibt es mehrere Arten von diesem Schädling.
Hier hilft wirklich nichts anderes als Neuaufsetzen.


mfg Cleriker

Ok, Ok ihr habt ja recht. Ich hatte den Eindruck das der TO sich davor scheut das System neu aufzusetzen. Manche vergessen eben auch mal ein System zu sichern (z.B. mit einem image) und haben wenig Lust alles wieder neu aufzusetzen inklusive aller Treiber und Programme.

Gruss Leonixx

Danke Danke leute fettes Danke =)
ich werde dann heut mein wow pw ändern usw und alles neu
aufsetzen dauert zwar lange aber nur zu meinem guten nech? ^^

Naja danke ihr seid echt toll.

MfG. Niedzwiedz08





/closed