Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Log-Analyse und Auswertung: Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 01.06.2008, 20:44   #1
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Frage

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo liebes Trojaner-Board,

hoffe, ihr könnt mir weiterhelfen...

Ich bin leider überhaupt kein Computerspezialist, habe aber einige Probleme die mich vermuten lassen, dass sich ein Trojaner bei mir eingeschlichen hat.

1. viele Programme laufen langsamer
2. Internetseiten lassen sich oft nur langsam laden
3. manchmal kommt es vor, dass mein Bildschirm komplett schwarz wird, nach ein paar Sekunden und Tastaturbetätigung erscheint das Bild wieder
4. im Taskmanager laufen (auch wenn ich wenige Programme geöffnet habe) sehr viele Prozesse, manche doppelt

Ich weiß leider nicht, welche der Prozesse man ohne Bedenken beenden kann und hoffe stark auf eure Hilfe!


Hier das logfile:

#
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:28, on 01.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 5027 bytes
#
Falls ihr etwas Auffälliges entdeckt, sagt mir bitte wie ich das endgültig entfernen kann. (Bitte ganz einfach und deutlich erklärt - thnx!)

DANKE

Alt 01.06.2008, 20:59   #2
nochdigger
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien
(scheinen zusammen zu gehören)
Zitat:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\SYSTEM32\fsmgmt.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG
__________________

__________________
Alt 02.06.2008, 08:09   #3
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo und vielen Dank erstmal...

so wie es aussieht, sind die beiden Dateien wirklich extremst gefährlich...

Ich poste dir hier die Ergebnisse (den Abschnitt mit den ERgebnissen der Antivirenprogramme wolltest du hier nicht, nur das Letzte mit der Dateigröße sowie die MD5 und SHA1 Angaben, oder?)

für die DAtei C:\WINDOWS\system32\secpol.exe:

Code:
ATTFilter
File size: 17408 bytes
MD5...: 02b1d6643a5f10d9df72f144ecd09ebd
SHA1..: 01b902e86af83a5c7945c4097dbe7e123cc1f00a
SHA256: 1bc68edbf47ae8bc972844e4f86c518fae7a4db975b65850731a0b9e362096f3
SHA512: 798ae91001c04b08c921af2caf54fea461df77b12b9c4edb710301f5d5fb7196
7859d7c39325c967bfea1bd3e689405c03133892b8e90985e5f3bf48f40f14a0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40fa50
timedatestamp.....: 0x4806459b (Wed Apr 16 18:29:47 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x4000 0x3c00 7.86 d0d8ebd008dfbe8b525b2941beb27770
.rsrc 0x10000 0x1000 0x600 3.00 8179fe75b92d6fe6e986f747de826e73

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6F392D49002C43D4448B005F761F6700BC524DB7
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
und für die C:\WINDOWS\SYSTEM32\fsmgmt.dll:

Code:
ATTFilter
File size: 47616 bytes 
MD5...: 528a89874681b02415164f95f23fc9eb 
SHA1..: 9afb39786865b726d8d87fbe5435f99ee0c42c1f 
SHA256: ca55cd391bf72fdf81595d211a1b6993091cd0ab956d1efd9baa448647738464 
SHA512: 6db6addc2961cc7f072d8d75706722542a8e946a555003b277eb5b490aca7b5f
9ab4a87ed28b35b6610593611b74e7c7b6082afaf45a5f6a10b76d84ab38e51d 
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41d114
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xb000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xc000 0x1000 0x400 3.39 083b5e2942a180f969ff0011124ae11b
teq314dn 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xe000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x13000 0xb000 0xa1d6 7.98 b670eae9345b03ae5585e5787c471b57
ia364n7w 0x1e000 0x1000 0x1000 0.08 7bc52eff8140e6291fb9c7d005ac4526

( 0 imports ) 

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1740C81700B472FEBAC100060735BB00F5370B30 
packers (Kaspersky): Execryptor
Wie soll ich jetzt am Besten vorgehen, um die Dateien endgültig zu beseitigen? Und sind die restlichen Dateien unbedenklich gewesen?

Vielen Dank für die Hilfe,

Liebe Grüße
__________________
Alt 02.06.2008, 11:49   #4
blow-in
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.

Alt 02.06.2008, 11:53   #5
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo,

ich hab noch ne Frage:

ich möchte die Dateien mit Hijack fixen, die Datei secpol.exe wird aber in einer Zeile mit einer anderen Datei (userinit.exe), die mir unbedenklich erscheint angezeigt. Wenn ich das Häkchen davor mache, wird dann diese Datei mitgelöscht?

So sieht der Eintrag aus:

F2 - REG: system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe,

Bitte gebt mir Bescheid, wie ich das am Besten handhabe... möchte nichts löschen, was man noch braucht...

Danke!


Alt 02.06.2008, 12:04   #6
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo,


Zitat:
Zitat von blow-in Beitrag anzeigen
Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.
das hab ich leider falsch verstanden... sorry... Die Datei secpol.exe habe ich schon gelöscht, weswegen ich die Datei nicht nocheinmal durchlaufen lassen kann. Nur tritt sie bei hijack noch immer auf weil ich das noch nicht "gefixt" habe, da ich mir unsicher war (siehe vorheriger Eintrag)

Für die fsmgmt.dll Datei poste ich dir das Ergebnis nocheinmal:

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.02	-
AntiVir	7.8.0.26	2008.06.02	TR/Crypt.FKM.Gen
Authentium	5.1.0.4	2008.06.01	W32/Downloader.F.gen!Eldorado
Avast	4.8.1195.0	2008.06.02	-
AVG	7.5.0.516	2008.06.02	Win32/CryptExe.A
BitDefender	7.2	2008.06.02	DeepScan:Generic.PWS.Games.3.662AD07A
CAT-QuickHeal	9.50	2008.05.31	TrojanPSW.WOW.ast
ClamAV	0.92.1	2008.06.02	Trojan.WoW-448
DrWeb	4.44.0.09170	2008.06.02	-
eSafe	7.0.15.0	2008.06.01	-
eTrust-Vet	31.4.5837	2008.05.30	Win32/VMalum.CPDV
Ewido	4.0	2008.06.02	-
F-Prot	4.4.4.56	2008.06.01	W32/Downloader.F.gen!Eldorado
F-Secure	6.70.13260.0	2008.06.02	Trojan-PSW.Win32.WOW.ast
Fortinet	3.14.0.0	2008.06.02	W32/Heuri.AST!tr.pws
GData	2.0.7306.1023	2008.06.02	Trojan-PSW.Win32.WOW.ast
Ikarus	T3.1.1.26.0	2008.06.02	Trojan-PWS.Win32.WOW.aic
Kaspersky	7.0.0.125	2008.06.02	Trojan-PSW.Win32.WOW.ast
McAfee	5307	2008.05.30	PWS-WoW.dll
Microsoft	1.3520	2008.06.02	-
NOD32v2	3151	2008.06.02	a variant of Win32/PSW.WOW.NDJ
Norman	5.80.02	2008.05.30	W32/Wow.DFG
Panda	9.0.0.4	2008.06.02	Trj/WoW.HV
Prevx1	V2	2008.06.02	Malicious Software
Rising	20.47.01.00	2008.06.02	Trojan.PSW.Win32.GamesOnline.tz
Sophos	4.29.0	2008.06.02	Mal/Heuri-E
Sunbelt	3.0.1139.1	2008.05.29	Trojan.Crypt.FKM.Gen
Symantec	10	2008.06.02	Infostealer.Gampass
TheHacker	6.2.92.331	2008.06.02	Trojan/PSW.WOW.ast
VBA32	3.12.6.6	2008.06.01	Trojan-PSW.Win32.WOW.ast
VirusBuster	4.3.26:9	2008.06.01	Packed/Execryptor
Webwasher-Gateway	6.6.2	2008.06.02	Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 46080 bytes
MD5...: f12f3f78bb400b61d08210444be5124e
SHA1..: 7a6ba78ecd8f092455d52494bb057d3465658407
SHA256: 12dc54aa0c9ae2304317365a91a5010cc518181fc27cd1c230031002943418fd
SHA512: 00bc3f7095f10d98c9af0624e3a8133e6bad3caeba3206750b5054b46dd00023
695464cc0f1e91f0c9799bc1733d047bfe41bd6b9096f845fae2faaab436ede2
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41bb08
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1000 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b
teq314dn 0xc000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xd000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x12000 0xa000 0x9bca 7.98 1f0ca7963893af5beac309d009acb9d8
ia364n7w 0x1c000 0x1000 0x1000 0.08 341e662bbca72c30fc72beb1a86f676f

( 0 imports )

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DB4BF152004E5263B4910063FC4DFC00C885BF09
packers (Kaspersky): Execryptor
Was rätst du mir?

LG salsera

Alt 02.06.2008, 12:18   #7
blow-in
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Wenn du schon etwas gelöscht hast, ist es nicht verkehrt, wenn du ein neues HJT-Log zeigen würdest.
Zur weiteren Entfernung muss dir dann aber @Nochdigger weiterhelfen.

Alt 02.06.2008, 12:27   #8
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Okay,
hier mein neues HJT-Log:

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:54, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 6 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4912 bytes
[\code]

Dann hoffe ich mal auf die Hilfe von @Nochdigger...

Alt 02.06.2008, 13:27   #9
blow-in
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Also die Datei
Zitat:
C:\WINDOWS\system32\secpol.exe
Scheint ja noch vorhanden zu sein.
Gehe zu Virustotal und kopiere dort den o.g. phad direkt hinein und lade sie hoch.

Alt 02.06.2008, 15:01   #10
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Nein, das funktioniert leider nicht. Die Datei wird nicht gefunden und kann daher auch nicht übertragen werden.

Die Einzige ähnliche Datei, die ich noch finde ist C:\WINDOWS\system32\secopol.msc

Alt 02.06.2008, 16:11   #11
nochdigger
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo

Zitat:
Die Einzige ähnliche Datei, die ich noch finde ist C:\WINDOWS\system32\secopol.msc
lass sie bitte auch auswerten, wie zuletzt ich will ja wissen um was es sich handelt.


Versuchen wir mal die Entfernung

deaktiviere zuerst bitte die Sytemwiederherstellung
Systemwiederherstellung

- wechsel anschließend in den abgesicherten Modus (beim start F8 drücken)
- starte Regedit (Start -> Ausführen -> - Regedit - eintippen -> Enter )
- suche diesen Schlüssel
Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
und im rechten Fenster diesen Schlüssel
Zitat:
Userinit = "%System%\userinit.exe,C:\system32\secpol.exe"
klick den Schlüssel im rechten Fenster mit der rechten Maustaste an und wähle " Ändern "
Lösche nur diesen Pfad
Zitat:
C:\system32\secpol.exe
dann beende Regedit.
Suche nach dieser Datei
Zitat:
C:\system32\secpol.exe
und lösche sie, anschließend leere den Mülleimer.
Deinstalliere bei der Gelegenheit bitte gleich alle alten Javaversionen.


Wechsel in den normalen Modus von Windows und erstelle einen eigenen Ordner für Hijackthis, dann entpacke das Programm dorthinein und erstelle ein frisches Log.

Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan, dann berichte bitte.

Führe bitte auch einen Onlinescan durch z.B. hier
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland
Free Virus Scan - Kaspersky Lab
BitDefender Online Scanner - Free Online Virus Scan
F-Secure Support pages: F-Secure Online Virus Scanner

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 02.06.2008, 19:23   #12
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hi,

Zitat:
Zitat von nochdigger Beitrag anzeigen
lass sie bitte auch auswerten, wie zuletzt ich will ja wissen um was es sich handelt.
Das hatte ich schon gemacht, hat aber nichts ergeben. ;-)



Zitat:
Zitat von nochdigger Beitrag anzeigen
Suche nach dieser Datei

und lösche sie, anschließend leere den Mülleimer.
Hab alles gemacht, wie du gesagt hast, aber bei diesem Punkt gibt es wieder das Problem, dass sich die Datei nicht finden lässt... Ist sie dann doch nicht ganz eliminiert?


Zitat:
Zitat von nochdigger Beitrag anzeigen
Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan, dann berichte bitte.
Mein Antivirenprogramm hat einige Dateien erkannt, die ich in den Container verschoben habe. Sind diese somit ausgeschaltet?
Die Dateien:
C:WINDOWS\system32\kavo.exe
C:WINDOWS\system32\kavo0.dll
C:WINDOWS\system32\kavo1.dll

Den Online Scan werde ich später durchführen und berichten.

Das neue Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:01, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 7 für HiJackThis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 8 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\Tanja\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4800 bytes
LG

Alt 03.06.2008, 04:53   #13
nochdigger
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Moin

Zitat:
erstelle einen eigenen Ordner für Hijackthis, dann entpacke das Programm dorthinein und erstelle ein frisches Log.
Warum nicht?

Zitat:
Das hatte ich schon gemacht, hat aber nichts ergeben. ;-)
Zitat:
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.
Warum nicht?
Wie groß war die Datei?

Lies die Anweisungen bitte etwas genauer....

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 03.06.2008, 12:36   #14
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


Hallo,

Zitat:
Zitat von nochdigger Beitrag anzeigen
Warum nicht?
Wie groß war die Datei?
Hab die Datei secopol.msc nochmal auswerten lassen:
Code:
ATTFilter
File size: 35715 bytes
MD5...: 2c4c54226a02fcd16960a62e5199a8fa
SHA1..: 570d59d54d826a2b5bd10693d02b4ed16a8340e2
SHA256: b9b6c2f0dcc46d9d6c5fd9b1417c273c3bfe71e89b37845dfcdb372ce3b4101b
SHA512: baf011023c6ef5580d8dd7d7e6722c19966cec17f0f1b3678f51e0843da092fd
5be052e9758def06557de74409c0a08ce1bb96198d7592af611f2fa727a037ca
PEiD..: -
PEInfo: -

Zitat:
Zitat von nochdigger Beitrag anzeigen
Führe bitte auch einen Onlinescan durch
Onlinescan mit Kaspersky Lab ergab 2 gefundene Viren:
C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\Eigene Musik\der ewige gartner.mp3 Infected: Trojan-Downloader.WMA.Wimad.n

C:\Programme\Alwil Software\Avast4\DATA\moved\NewServer[3].dll.vir Infected: Trojan-PSW.Win32.WOW.atw

Die Auswertungen der beiden Dateien ergaben:

1.
Code:
ATTFilter
AhnLab-V3	2008.5.30.1	2008.06.03	-
AntiVir	7.8.0.26	2008.06.03	TR/Dldr.WMA.Wimad.N
Authentium	5.1.0.4	2008.06.02	-
Avast	4.8.1195.0	2008.06.03	-
AVG	7.5.0.516	2008.06.03	Downloader.Wimad.E
BitDefender	7.2	2008.06.03	Trojan.Downloader.WMA.Wimad.N
CAT-QuickHeal	9.50	2008.06.02	-
ClamAV	0.92.1	2008.06.03	-
DrWeb	4.44.0.09170	2008.06.03	Trojan.Click.18899
eSafe	7.0.15.0	2008.06.02	-
eTrust-Vet	31.4.5845	2008.06.03	-
Ewido	4.0	2008.06.02	Downloader.Wimad.n
F-Prot	4.4.4.56	2008.06.02	-
F-Secure	6.70.13260.0	2008.06.03	Trojan-Downloader.WMA.Wimad.n
Fortinet	3.14.0.0	2008.06.03	-
GData	2.0.7306.1023	2008.06.03	Trojan-Downloader.WMA.Wimad.n
Ikarus	T3.1.1.26.0	2008.06.03	-
Kaspersky	7.0.0.125	2008.06.03	Trojan-Downloader.WMA.Wimad.n
McAfee	5308	2008.06.02	Downloader-UA.h
Microsoft	1.3604	2008.06.03	TrojanDownloader:ASX/Wimad.gen!A
NOD32v2	3153	2008.06.03	WMA/TrojanDownloader.Wimad.N
Norman	5.80.02	2008.06.02	-
Panda	9.0.0.4	2008.06.02	-
Prevx1	V2	2008.06.03	-
Rising	20.47.12.00	2008.06.03	-
Sophos	4.29.0	2008.06.03	Troj/Wimad-E
Sunbelt	3.0.1143.1	2008.06.03	-
Symantec	10	2008.06.03	Trojan.Wimad
TheHacker	6.2.92.332	2008.06.03	-
VBA32	3.12.6.7	2008.06.03	-
VirusBuster	4.3.26:9	2008.06.02	-
Webwasher-Gateway	6.6.2	2008.06.03	Trojan.Dldr.WMA.Wimad.N
weitere Informationen
File size: 3545425 bytes
MD5...: afa3ae52fde53166f217e95c0a92cfaf
SHA1..: 7f767736133978b4595686663ec492bfc767a694
SHA256: d0c044a1e6b38b96ad3a376cbb7a37846ad0f56148211784127ba305de010a6b
SHA512: 0ff9e87786eff1f2fad922e16f7b759a53a73677b9741216d034fe547b894eaf
da4e8dd10c832c597d0df5d7d2e4481942b95ab3e5f87853610faf4ff95ece93
PEiD..: -
PEInfo: -
und
2.
Code:
ATTFilter
AhnLab-V3	2008.5.30.1	2008.06.03	-
AntiVir	7.8.0.26	2008.06.03	TR/Crypt.FKM.Gen
Authentium	5.1.0.4	2008.06.02	W32/Downloader.F.gen!Eldorado
Avast	4.8.1195.0	2008.06.03	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.06.03	Win32/CryptExe.A
BitDefender	7.2	2008.06.03	DeepScan:Generic.PWS.Games.3.0C13211C
CAT-QuickHeal	9.50	2008.06.02	TrojanPSW.WOW.atw
ClamAV	0.92.1	2008.06.03	Trojan.WoW-380
DrWeb	4.44.0.09170	2008.06.03	-
eSafe	7.0.15.0	2008.06.02	Suspicious File
eTrust-Vet	31.4.5845	2008.06.03	-
Ewido	4.0	2008.06.02	-
F-Prot	4.4.4.56	2008.06.02	W32/Downloader.F.gen!Eldorado
F-Secure	6.70.13260.0	2008.06.03	Trojan-PSW.Win32.WOW.atw
Fortinet	3.14.0.0	2008.06.03	W32/WOW.ATW!tr.pws
GData	2.0.7306.1023	2008.06.03	Trojan-PSW.Win32.WOW.atw
Ikarus	T3.1.1.26.0	2008.06.03	Trojan-PWS.Win32.WOW.aic
Kaspersky	7.0.0.125	2008.06.03	Trojan-PSW.Win32.WOW.atw
McAfee	5308	2008.06.02	PWS-WoW.dll
Microsoft	1.3604	2008.06.03	-
NOD32v2	3153	2008.06.03	probably a variant of Win32/PSW.WOW.NDJ
Norman	5.80.02	2008.06.02	W32/OnLineGames.AWTA
Panda	9.0.0.4	2008.06.02	Trj/WoW.HV
Prevx1	V2	2008.06.03	Malicious Software
Rising	20.47.12.00	2008.06.03	Trojan.PSW.Win32.WoWar.aot
Sophos	4.29.0	2008.06.03	Mal/Heuri-E
Sunbelt	3.0.1143.1	2008.06.03	Trojan-PSW.Win32.WOW.atw
Symantec	10	2008.06.03	Infostealer
TheHacker	6.2.92.332	2008.06.03	Trojan/PSW.WOW.atw
VBA32	3.12.6.7	2008.06.03	Trojan-PSW.Win32.WOW.atw
VirusBuster	4.3.26:9	2008.06.02	Packed/Execryptor
Webwasher-Gateway	6.6.2	2008.06.03	Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 46592 bytes
MD5...: e656563809bd5946621dd5d4df586eb4
SHA1..: 85084c5c72a542c7bb34bed0ac42bb5e064c3ba1
SHA256: 406d68b5bb6408ab4cf364c9bf422f920f7b45754b0ff4e1ee939316f8711d25
SHA512: 82fac0928d91e980b8fbffcd569e934abef21ad9db4639aff7cdda1e9cff98ac
95dfd69187dabc23b79d252f3a8b4fa3a2057aa40f0e4b97003c8fda53ee3423
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41bc58
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1000 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b
teq314dn 0xc000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xd000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x12000 0xa000 0x9d1a 7.98 344d699d7031e8c230b1da8a72efdfa5
ia364n7w 0x1c000 0x1000 0x1000 0.08 79bda4f329869c7347861fc5d26f6eb5

( 0 imports )

( 0 exports )
Wie soll ich vorgehen, um die Dateien loszuwerden???

Zitat:
Zitat von nochdigger Beitrag anzeigen

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:[indent]- ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
- Silentrunners
Ergebnis für F-Secure Blacklight waren keine versteckten Prozesse und Dateien.
Das Logfile für Silentrunner:
Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]
"Rainlendar2" = "C:\Programme\Rainlendar2\Rainlendar2.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"HUAWEI E220 UTIL" = "C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe" ["TODO: <***>" (unwritable string)]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
  -> {HKLM...CLSID} = "Shell Extension for CDRW"
                   \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software, Karlsbad, Germany"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\XXXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmypics.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

IviDVDEventHandler\
"Provider" = "InterVideo WinDVD"
"InvokeProgID" = "Ivi.MediaFile"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\Ivi.MediaFile\shell\play\command\(Default) = "C:\Programme\InterVideo\WinDVD\WinDVD.exe %1" ["InterVideo Inc."]

NeroAutoPlayInCDAutorunEmptyCD\
"Provider" = "InCD"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "InCDAutorunEmptyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\InCDAutorunEmptyCD\command\(Default) = "C:\Programme\Ahead\InCD\InCDL.exe" ["AHEAD Software"]

PSASE30ImportPicturesOnArrival\
"Provider" = "Adobe Photoshop Album Starter Edition"
"InvokeProgID" = "PSASE30.autoplay"
"InvokeVerb" = "launch"
HKLM\SOFTWARE\Classes\PSASE30.autoplay\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\psaproxy.exe"  -v  %1\" ["Adobe Systems Incorporated"]


Startup items in "XXXX" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe" [null data]
"Ralink Wireless Utility" -> shortcut to: "C:\Programme\RALINK\Common\RaUI.exe -s" ["Ralink Technology, Corp."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["AHEAD Software"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzlnt09\Driver = "hpzlnt09.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" [null data]


---------- (launch time: 2008-06-03 12:51:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 24 seconds for message boxes)

Alt 03.06.2008, 12:38   #15
salsera1
 
Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Standard

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


2. Teil der Nachricht:


Zitat:
Zitat von nochdigger Beitrag anzeigen
Und mach bitte ein Filelist:
Hier die ERgebnisse:

Verzeichnis von C:\
Code:
ATTFilter
03.06.2008  09:41       502.845.440 hiberfil.sys
03.06.2008  09:41       754.974.720 pagefile.sys
03.06.2008  00:30               268 sqmdata11.sqm
03.06.2008  00:30               244 sqmnoopt11.sqm
02.06.2008  18:10               211 boot.ini
01.04.2008  13:58               268 sqmdata10.sqm
Verzeichnis von C:\WINDOWS\system32
Code:
ATTFilter
03.06.2008  00:19           215.264 FNTCACHE.DAT
02.06.2008  18:26             3.002 CONFIG.NT
02.06.2008  09:07            47.616  fsmgmt.dll
01.06.2008  20:31            47.616  fsmgmt.dll.tmp
20.05.2008  00:00            13.646 wpa.dbl
16.05.2008  01:24         1.152.888 aswBoot.exe
16.05.2008  01:12            95.608 AvastSS.scr
30.03.2008  11:06           400.798 perfh009.dat
Verzeichnis von C:\WINDOWS
Code:
ATTFilter
03.06.2008  12:51         1.372.125 WindowsUpdate.log
03.06.2008  09:41                 0 0.log
03.06.2008  09:41               159 wiadebug.log
03.06.2008  09:41                50 wiaservc.log
03.06.2008  09:41             2.048 bootstat.dat
03.06.2008  00:56            32.536 SchedLgU.Txt
02.06.2008  20:31               736 win.ini
02.06.2008  19:39           464.260 setupapi.log
02.06.2008  18:10               227 system.ini
31.05.2008  22:57               525 setupact.log
31.05.2008  22:51            54.156 QTFont.qfn
27.05.2008  21:58            29.418 wmsetup.log
22.05.2008  23:19           205.396 comsetup.log
22.05.2008  23:19           675.206 iis6.log
22.05.2008  23:19           283.870 tsoc.log
22.05.2008  23:19             1.374 imsins.log
22.05.2008  23:19            31.100 tabletoc.log
22.05.2008  23:19           124.797 ntdtcsetup.log
22.05.2008  23:19            34.327 ocmsn.log
22.05.2008  23:19            10.837 KB948881.log
22.05.2008  23:19            42.794 MedCtrOC.log
22.05.2008  23:19           108.809 netfxocm.log
22.05.2008  23:19           294.460 ocgen.log
22.05.2008  23:19            31.070 msgsocm.log
22.05.2008  23:19           618.889 FaxSetup.log
22.05.2008  23:19           190.686 msmqinst.log
22.05.2008  23:19             1.374 imsins.BAK
22.05.2008  23:19            19.629 KB947864.log
22.05.2008  23:19            30.467 updspapi.log
22.05.2008  23:17            12.440 KB941693.log
22.05.2008  23:17            12.243 KB948590.log
22.05.2008  23:17            12.930 KB944338.log
22.05.2008  23:17            12.126 KB945553.log
22.05.2008  23:17            13.791 KB950749.log
22.05.2008  23:05             1.409 QTFont.for
30.03.2008  14:10            13.946 ModemLog_HUAWEI Mobile Connect - 3G Modem #5.txt
Verzeichnis von C:\WINDOWS\tasks
Code:
ATTFilter
03.06.2008  09:41                 6 SA.DAT
02.04.2003  21:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),    823.758.848 Bytes frei
Verzeichnis von C:\WINDOWS\temp
Code:
ATTFilter
02.06.2008  18:29            16.384 Perflib_Perfdata_4d0.dat
01.06.2008  20:07            16.384 Perflib_Perfdata_4c8.dat
29.05.2008  16:46            16.384 Perflib_Perfdata_478.dat
28.05.2008  20:49            16.384 Perflib_Perfdata_4b0.dat
27.05.2008  20:35            16.384 Perflib_Perfdata_4a8.dat
26.05.2008  18:05            16.384 Perflib_Perfdata_460.dat
25.05.2008  22:07            16.384 Perflib_Perfdata_458.dat
02.05.2008  15:13            16.384 Perflib_Perfdata_4bc.dat
29.04.2008  09:14            16.384 Perflib_Perfdata_47c.dat
Verzeichnis von C:\DOKUME~1\Tanja\LOKALE~1\Temp
Code:
ATTFilter
03.06.2008  13:04           115.558 filelist.txt
03.06.2008  10:01               923 java_install_sp.log
03.06.2008  10:01             8.262 jinstall.cfg
03.06.2008  10:01           382.352 tmp-2.xpi
03.06.2008  10:01           382.352 tmp-1.xpi
03.06.2008  09:49           382.352 tmp.xpi
02.06.2008  18:17           185.431 jusched.log
02.06.2008  18:17             8.097 java_install_reg.log
01.06.2008  20:56           726.472 Uninstaller.exe
01.06.2008  09:24                 0 og410.tmp
31.05.2008  22:36        11.222.116 fla57.tmp
31.05.2008  22:04        12.592.545 fla45.tmp
31.05.2008  21:49        12.958.563 fla44.tmp
31.05.2008  21:32        12.784.273 fla40.tmp
29.05.2008  18:04               512 ~DFDB4E.tmp
29.05.2008  18:04           180.224 ~DFDB2B.tmp
29.05.2008  18:04               512 ~DFAC88.tmp
29.05.2008  18:04           180.224 ~DFAC71.tmp
29.05.2008  16:48             1.877 title_mailtour_rb.gif
29.05.2008  16:16               512 ~DFFCBF.tmp
29.05.2008  16:16           180.224 ~DFFC6C.tmp
29.05.2008  16:16               512 ~DFD872.tmp
29.05.2008  16:16           180.224 ~DFD839.tmp
28.05.2008  13:45            16.384 ~DF4F8B.tmp
28.05.2008  13:45               512 ~DF2C8A.tmp
28.05.2008  13:45               512 ~DF289D.tmp
28.05.2008  09:39               512 ~DF7DBA.tmp
28.05.2008  09:39           163.840 ~DF7DA6.tmp
28.05.2008  09:39               512 ~DF6D44.tmp
28.05.2008  09:39           163.840 ~DF6D11.tmp
27.05.2008  21:57            12.818 control.xml
27.05.2008  11:17                 0 wa815.tmp
24.05.2008  16:26                 0 5q012.tmp
23.05.2008  19:10                 0 wam19.tmp
22.05.2008  23:03             1.262 QTInstallCode.log
22.05.2008  23:03             3.875 qtplugin.log
20.05.2008  08:29               512 ~DFD0CB.tmp
20.05.2008  08:29           163.840 ~DFD0B9.tmp
20.05.2008  08:29               512 ~DFC069.tmp
20.05.2008  08:29           163.840 ~DFC057.tmp
04.05.2008  08:45               512 ~DFCF0F.tmp
04.05.2008  08:45           163.840 ~DFCEAB.tmp
04.05.2008  08:45           163.840 ~DFAD47.tmp
04.05.2008  08:45               512 ~DFAD59.tmp
03.05.2008  09:10               512 ~DF101C.tmp
03.05.2008  09:10           163.840 ~DFFEE.tmp
03.05.2008  09:10               512 ~DFF216.tmp
03.05.2008  09:10           163.840 ~DFF1F8.tmp
01.05.2008  11:01               512 ~DFE47C.tmp
01.05.2008  11:01               512 ~DFE426.tmp
01.05.2008  11:01             2.564 ~WRS0003.tmp

Verzeichnis von C:\WINDOWS\Prefetch
Code:
ATTFilter
03.06.2008  13:04            11.008 FIND.EXE-0EC32F1E.pf
03.06.2008  13:04            10.926 CMD.EXE-087B4001.pf
03.06.2008  13:04            15.680 EXPLORER.EXE-082F38A9.pf
03.06.2008  13:02            82.366 FIREFOX.EXE-17EE503B.pf
03.06.2008  13:01            15.340 VERCLSID.EXE-3667BD89.pf
03.06.2008  12:58            16.040 NOTEPAD.EXE-336351A9.pf
03.06.2008  12:58            46.236 WMIPRVSE.EXE-28F301A9.pf
03.06.2008  12:58            53.554 HIJACKTHIS.EXE-0C708D65.pf
03.06.2008  12:51            29.722 WSCRIPT.EXE-32960AB9.pf
03.06.2008  12:50           128.918 WINWORD.EXE-3395695A.pf
03.06.2008  12:41            51.312 WUAUCLT.EXE-399A8E72.pf
03.06.2008  12:16            13.914 FSBL.EXE-32A64B6B.pf
03.06.2008  12:14            20.140 ASHWEBSV.EXE-091EF0CF.pf
03.06.2008  12:14            21.628 ASHMAISV.EXE-24E25810.pf
03.06.2008  12:14            61.176 ASHSIMPL.EXE-007287FE.pf
03.06.2008  12:12            71.584 ASHAVAST.EXE-0274A551.pf
03.06.2008  12:02           116.504 SSMYPICS.SCR-01C62024.pf
03.06.2008  11:17            70.550 FIREFOX.EXE-201B1937.pf
03.06.2008  10:21            56.070 DFRGNTFS.EXE-269967DF.pf
03.06.2008  10:21            32.452 DEFRAG.EXE-273F131E.pf
03.06.2008  10:21           335.142 Layout.ini
03.06.2008  10:05             9.802 WSCNTFY.EXE-1B24F5EB.pf
03.06.2008  10:04            32.686 WLLOGINPROXY.EXE-33926225.pf
03.06.2008  10:04           105.644 IEXPLORE.EXE-2CA9778D.pf
03.06.2008  10:01           117.922 MSIEXEC.EXE-2F8A8CAE.pf
03.06.2008  10:01            13.790 MSIC.TMP-00451821.pf
03.06.2008  10:01            31.306 XPIINSTALL.EXE-27333DDC.pf
03.06.2008  09:46            15.704 HPZENG09.EXE-21FF5F4F.pf
03.06.2008  09:45             7.668 HPZSTW09.EXE-198F12E2.pf
03.06.2008  09:45            15.184 HPZSTC09.EXE-3AFDDA16.pf
03.06.2008  09:45            81.422 AVAST.SETUP-2B043760.pf
03.06.2008  09:43         1.023.214 NTOSBOOT-B00DFAAD.pf
03.06.2008  00:56            47.836 LOGONUI.EXE-0AF22957.pf
03.06.2008  00:41            18.374 TASKMGR.EXE-20256C55.pf
03.06.2008  00:32            49.220 USNSVC.EXE-1CEFA315.pf
03.06.2008  00:30            70.732 MSNMSGR.EXE-3ACF7E89.pf
02.06.2008  20:32            10.014 MSOHTMED.EXE-14B8D6FE.pf
02.06.2008  20:27             5.456 OSE.EXE-313A091F.pf
02.06.2008  20:20            27.368 ASHCHEST.EXE-057D57A0.pf
02.06.2008  18:17            51.550 JAVAW.EXE-387B3A3F.pf
02.06.2008  17:57            57.660 MSCONFIG.EXE-35E4DAE9.pf
02.06.2008  17:43            28.026 RUNDLL32.EXE-147710F4.pf
02.06.2008  16:16            81.678 SKYPE.EXE-21F19BC8.pf
02.06.2008  16:06            95.228 EXCEL.EXE-0DC93B7A.pf
02.06.2008  13:14            79.732 POWERPNT.EXE-28A8DBA4.pf
01.06.2008  22:51           256.734 HELPSVC.EXE-2878DDA2.pf
01.06.2008  20:56            72.820 GOOGLEUPDATER.EXE-36CE3796.pf
01.06.2008  10:08            12.182 RUNDLL32.EXE-451FC2C0.pf
01.06.2008  09:08            67.824 ACRORD32INFO.EXE-19D979CC.pf
01.06.2008  09:03            65.654 ACRORD32.EXE-153330F0.pf
31.05.2008  22:50            90.046 VLC.EXE-0AE7B60A.pf
              51 Datei(en)      3.902.738 Bytes
               0 Verzeichnis(se),    823.767.040 Bytes frei
Bezüglich den Ordner Hijackthis, den hatte ich schon seit Beginn erstellt, das aktuelle Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:49, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 9 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4908 bytes
So, ich hoffe dass ich jetzt deine Anweisungen richtig befolgt habe... ;-)

Bin gespannt auf deine Anleitung, wie ich meine "Problemkinder" beseitigen kann?

LG Salsera

Antwort
Seite 1 von 2 1 2

Themen zu Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???
antivirus, askbar, avast!, bho, bildschirm, das bild, desktop, downloader, drivers, einstellungen, entfernen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, logfile, mozilla, mozilla firefox, prozesse, sekunden, software, system, t-mobile, taskmanager, trojaner, trojaner-board, trojaner?, userinit.exe, viele prozesse, windows, windows xp


« Von Profis massiv gehackt. | Rechner friert immer ein »


Ähnliche Themen: Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???


  1. Windows XP - lange Ladezeiten von Programmen und Internetseiten!
    Log-Analyse und Auswertung - 13.12.2014 (23)
  2. Internetseiten laden unvollständig oder gar nicht
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (15)
  3. Internetseiten laden teilweise unvollständig und andere Probleme
    Netzwerk und Hardware - 06.11.2014 (34)
  4. Diverse Browser laden auf einmal einige Internetseiten nicht mehr richtig.
    Log-Analyse und Auswertung - 10.07.2014 (13)
  5. High Ping und Internetseiten laden langsam
    Plagegeister aller Art und deren Bekämpfung - 06.07.2014 (5)
  6. Internetseiten laden langsamer, Spiel disconnected
    Plagegeister aller Art und deren Bekämpfung - 16.06.2014 (13)
  7. Trojaner-Reste verlangsamen Laptop - Windows 7 Home Premium
    Log-Analyse und Auswertung - 03.03.2014 (6)
  8. Windows 7: Internetseiten laden nicht vollständig (browserunabhängig)
    Alles rund um Windows - 11.01.2014 (4)
  9. PC auf einmal extrem langsam beim Laden von Programmen
    Log-Analyse und Auswertung - 08.10.2013 (5)
  10. Nach Bluescreen Internetseiten laden nicht außer Facebook
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (8)
  11. Manche Internetseiten laden nicht mehr
    Alles rund um Windows - 25.03.2013 (1)
  12. Internetseiten laden langsamer
    Alles rund um Windows - 05.11.2011 (3)
  13. Die Internetseiten brauchen alle ewig zum laden ;-(
    Log-Analyse und Auswertung - 23.01.2011 (51)
  14. Internetseiten laden extrem langsam oder gar nicht
    Log-Analyse und Auswertung - 04.09.2009 (3)
  15. Diverse Internetseiten laden nicht
    Plagegeister aller Art und deren Bekämpfung - 04.03.2009 (1)
  16. Internetseiten laden und Programme starten nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 17.10.2008 (4)
  17. Einige Internetseiten laden nicht
    Log-Analyse und Auswertung - 12.01.2007 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? - Hallo liebes Trojaner-Board, hoffe, ihr könnt mir weiterhelfen... Ich bin leider überhaupt kein Computerspezialist, habe aber einige Probleme die mich vermuten lassen, dass sich ein Trojaner bei mir eingeschlichen hat. - Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???...
Archiv
Du betrachtest: Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130