|
Log-Analyse und Auswertung: PC lahmt und funktioniert nicht richtig...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.07.2008, 20:17 | #1 |
| PC lahmt und funktioniert nicht richtig... Vor kurzem kamen einige male blaue Fenster die meldeten, dass mein PC zu seinem eigenen Schutze herunter gefahren wurde. Diese Fenster kamen bevor der PC fertig hochgefahren war. Ich hab ihn dann wieder zum laufen bekommen aber dann habe ich entdeckt, dass der Ordner meines Antivirus (Antivir) komplett leer war. Ich hab es wieder neu Installiert aber seitdem kann ich weder eine Defragmentierung durchführen, noch ein Checkdisk machen. Außerdem ist der PC durch die Bank weg viel langsamer geworden (Beim booten, öffnen von Ordnern, Programmen, Internetseiten). Ich habe mir überlegt ob dies evtl. ein Virus oder ähnliches sein kann. Wenn nicht woran kann es liegen? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:03:34, on 08.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\mHotkey.exe C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\WiFiConnector\NintendoWFCReg.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Programme\GUILD WARS\Gw.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [LaunchPDeviceConn] "C:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe" O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O20 - AppInit_DLLs: "C:\PROGRA~1\Google\Google Desktop Search\GoogleDesktopNetwork3.dll" confifc.dll ifcstat.dll O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing) O20 - Winlogon Notify: msssmsda - C:\WINDOWS\System32\msssmsda.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6917 bytes |
08.07.2008, 20:27 | #2 |
| PC lahmt und funktioniert nicht richtig... Jup. Du bist infiziert. Suche bitte nach folgender Datei:ifcmgr32.dll
__________________So suchst Du: Start -> Suchen-> Nach Dateien und Ordnern-> Als Suchbegriff ifcmgr32.dll verwenden. Gehe auf VirusTotal - Free Online Virus and Malware Scan und lade die Datei dort hoch. Poste uns das komplette Ergebnis. EDIT: Updaten auf den Internet Explorer 7 und das SP 3 nach der Bereinigung wäre auch nicht schlecht =)
__________________ |
08.07.2008, 20:43 | #3 |
| PC lahmt und funktioniert nicht richtig... Bei der Suche wird nichts gefunden was einen solchen Namen hat. Was also tun?
__________________ |
08.07.2008, 20:51 | #4 |
| PC lahmt und funktioniert nicht richtig... Was nicht da ist kann auch nicht gefunden werden.... Deswegen ja auch File Missing im HijackThis Log! Mache bitte einen Scan mit Malwarebytes..... Lasse alles entfernen was gefunden wird und Poste danach das Log! |
08.07.2008, 20:51 | #5 |
| PC lahmt und funktioniert nicht richtig... Ärgerlich. Die Datei trickst uns aus. Dann müssen Wir es halt so machen: 1) Run Malwarebytes Anti-Malware zur Entfernung von Malware. Anleitung und Downloadlink:http://www.trojaner-board.de/51187-a...i-malware.html 2) Aufräumen mit CCleaner: http://www.trojaner-board.de/51464-a...-ccleaner.html Bitte den Bericht von Malwarebytes Anti-Malware posten. EDIT: Hi Mellosun ! Ein Gedanke , zwei Personen: Malwarebytes ! Ah- ich hab das (file-missing) übersehen.
__________________ Die Signatur wurde geklaut. |
08.07.2008, 21:35 | #6 |
| PC lahmt und funktioniert nicht richtig... So hier der Bericht: Malwarebytes' Anti-Malware 1.20 Datenbank Version: 932 Windows 5.1.2600 Service Pack 2 22:30:01 08.07.2008 mbam-log-7-8-2008 (22-30-01).txt Scan Art: Schnell Scan Objekte gescannt: 43693 Scan Dauer: 15 minute(s), 29 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\battle.net (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\bnetunin.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
09.07.2008, 15:48 | #8 |
| PC lahmt und funktioniert nicht richtig... Es kommt auch manchmal ohne ersichtlichen Grund so ein Windows typisches "Plopp" geräusch |
09.07.2008, 20:12 | #9 |
| PC lahmt und funktioniert nicht richtig... Du hast mit höchster Warscheinlichkeit Smitfraud drauf. Arbeite bitte diese Anleitung ab (by cronos):http://www.trojaner-board.de/51869-a...fakeale-c.html. Das sollte Smitfraud hoffentlich ausschalten. Dann solltest Du den Crap Cleaner nach folgender Anleitung noch benutzen (by [GC]Sunny):http://www.trojaner-board.de/51464-a...-ccleaner.html. Die Registry solange nach Fehlern durchsuchen , bis nichts mehr gefunden wird.
__________________ Die Signatur wurde geklaut. |
09.07.2008, 22:28 | #10 |
| PC lahmt und funktioniert nicht richtig... Hab die Prozedur hinter mir und war entsetzt als ich das Ergebnis von eScan gesehen habe: Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "video activex access Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\Automap.Map.EU.11" verweist auf das ungültige Objekt "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\Automap.Template.EU.11" verweist auf das ungültige Objekt "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\System32\iuctl.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".old". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rp". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rt". Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\pgdegfv.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. |
10.07.2008, 11:09 | #11 |
| PC lahmt und funktioniert nicht richtig... Der Smitfraud ist schon mal weg. Du hast aber noch ein bisschen Spyware drauf.... 1) Run Spywarefighter. Download:Spywareentfernung durch SPYWAREfighter - SPYWAREfighter Bitte Funde löschen lassen! 2) Escan im abgesicherten Modus (F8 beim Booten) noch einmal laufen lassen und alle Funde löschen lassen. Bericht posten.
__________________ Die Signatur wurde geklaut. |
10.07.2008, 12:58 | #12 |
| PC lahmt und funktioniert nicht richtig... wie kann ich denn das löschen was escan findet? da kommt immer nur ne meldung, dass ich das kaufen muss wenn ich die funde löschen will... Edit: Ich hab den scan mit Spyware Fighter gestartet und nach einem Moment wurde der Bildschirm Blau und da standt der PC wurde zu seinem Schutz heruntergefahren da stand auch noch : DRIVER_IRQL_NOT_LESS_OR_EQUAL Was ist denn das nun wieder? Geändert von Kaktuspirat (10.07.2008 um 13:33 Uhr) |
10.07.2008, 14:14 | #13 |
| PC lahmt und funktioniert nicht richtig... Deinstalliere bitte den Spywarefighter. Ok , mit eScan können Wir leider nicht löschen. Also kannst Du eScan auch wieder runterschmeißen. Versuchen Wir folgendes: 1) Run SuperAntiSpyware. Downloadlink+Anleitung:http://www.trojaner-board.de/51871-a...tispyware.html. Bitte Bericht posten und Funde löschen lassen.
__________________ Die Signatur wurde geklaut. |
10.07.2008, 16:51 | #14 |
| PC lahmt und funktioniert nicht richtig... Superantispyware hat nichts gefunden auf meinem PC oO vllt doch besser neu aufsetzten? |
10.07.2008, 21:12 | #15 |
| PC lahmt und funktioniert nicht richtig... Neuaufsetzen ist am sichersten und manchmal am schnellsten. Ich meine Wir könnten jetzt noch so einige Tage weitermachen und viele Programme ausprobieren....Ich glaube Neuaufsetzen ist hier das Beste und schnellste. Hier findest Du eine schicke Anleitung:http://www.trojaner-board.de/51262-a...sicherung.html LG , -die gute gelaunte- Sterni
__________________ Die Signatur wurde geklaut. |
Themen zu PC lahmt und funktioniert nicht richtig... |
add-on, adobe, antivirus, avira, bho, booten, computer, ctfmon.exe, desktop, explorer, firefox, hijack, hijackthis, icq, internet explorer, microsoft, mozilla, mozilla firefox, neu, ordner, pc lahm, pdf, pop-up, programme, seiten, software, stick, system, toolbars, urlsearchhook, windows, windows xp |