Servus allerseits,

ich hatte unzählige Trojaner auf meinem Acer Notebook. Somit entschloss ich mich mit Hilfe der Recovery CD eine Systemwiederherstellung zu machen.

Mein Rechner läuft seitdem langsamer. Z.b. Beim öffnen von verschiedenen Websites braucht er zur Zeit ewig und es stocken auch die Eingaben von Texten oder Mausklicks auf Webseiten. Der Kühler läuft ständig auf Hochtouren obwohl sich die CPU-Auslastung im Taskmanager nicht ständig auf 100% hält, sondern eher um einiges drunter.

Anbei habe ich ein HijackThis file angehängt, kann damit allerdings nicht ganz so viel anfangen.

Bin über jeden Tip dankbar !
Gruss Daniel






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:52, on 17.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Daniel\Desktop\HiJackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O17 - HKLM\System\CCS\Services\Tcpip\..\{1550900D-8C7B-4612-BFF9-A7CA85383219}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1550900D-8C7B-4612-BFF9-A7CA85383219}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7884 bytes

1.) mbr scannen lassen


Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier.

Blacklight scannen lassen

2.) * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.) Navilog1 scannen lassen

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Vielen Dank...

Ergebnis des mbr-Scans:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Ergebnis von Blacklight:

08/17/08 23:34:46 [Info]: BlackLight Engine 1.0.70 initialized
08/17/08 23:34:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/17/08 23:34:46 [Note]: 7019 4
08/17/08 23:34:46 [Note]: 7005 0
08/17/08 23:35:05 [Note]: 7006 0
08/17/08 23:35:05 [Note]: 7011 312
08/17/08 23:35:24 [Note]: 7035 0
08/17/08 23:35:24 [Note]: 7026 0
08/17/08 23:35:24 [Note]: 7026 0
08/17/08 23:35:27 [Note]: FSRAW library version 1.7.1024
08/17/08 23:35:51 [Note]: 2000 1012
08/17/08 23:35:51 [Note]: 2000 1012
08/17/08 23:36:25 [Note]: 7007 0


Ergebnis von Navilog:


Search Navipromo version 3.6.4 began on 17.08.2008 at 23:39:51,09

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Daniel"

Updated on 16.08.2008 at 22h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : FAT32

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniel\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniel\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 17.08.2008 at 23:42:23,98 ***

hmm?

dann Malwarebytes und SUPERAntiSpyware noch drüber laufen lassen

Zitat:

Zitat von erty

hmm?

dann Malwarebytes und SUPERAntiSpyware noch drüber laufen lassen

Ich denke eher, daß es sich um ein anderes Problem handelt, denn kein Programm erkennt irgendwelche Trojaner. Und das System wurde durch das Recovery ja platt gemacht....

Hmm woran kann das denn liegen ?

AOL!

AOL und T-online software

ok spaß beiseite

kann viele ursachen haben. dein KIS usw. usw..

welcher prozeß verursacht denn einen hohe Prozessorauslastung?

Wenn keine Garantie mehr drauf ist, Gehäuse öffnen und mit Staubsauger den Staub wegsaugen.
Evlt. gehts am Lüfterschlitz auch so.

mfg

Edit:
Achja, zuvor die Temp. mit Everest Home Edition überprüfen.

Zitat:

Zitat von erty

AOL!

AOL und T-online software

ok spaß beiseite

kann viele ursachen haben. dein KIS usw. usw..

welcher prozeß verursacht denn einen hohe Prozessorauslastung?

Hmm das kann ich auch nicht sagen, wenn ich z.B. nur Bilder anschaue im StudiVZ ist die Auslastung um die 90 %......Ich habe echt keine Ahnung mit was das zusammen hängt. Alles lahm und dauerns lauft der Kühler, alles erst seit dem ich unmengen von Trojanern drauf hatte und dann die Systemweiderherstellung machte....

ja aber welcher Prozeß`? Taskmanager und dann die Prozesse durschauen.

Ist es nur wenn du online bist? Hattest du die KIS zuvor auch drauf?

Ich gehe davon aus dass du sie nicht drauf hattest bei

Zitat:

Zitat von Dani1984

seit dem ich unmengen von Trojanern drauf hatte

dann könntest du dich mal ans Kaspersky forum wenden.

Zitat:

Zitat von erty

ja aber welcher Prozeß`? Taskmanager und dann die Prozesse durschauen.

Insgesamt laufen 55 Prozesse, und ich kann leider nicht beurteilen welche(r) nicht laufen dürfte....

55?

also ich denke mit der hälfte könnte man auch auskommen.

Zitat:

Zitat von Dani1984

Insgesamt laufen 55 Prozesse, und ich kann leider nicht beurteilen welche(r) nicht laufen dürfte....

Sorry, wie blöd von mir ......die höchste Auslastung hat der Leerlaufprozess mit stets über 90 %
Wenn ich dann z.B. ein Fotoalbum anschaue, wird die Auslastung des Leerlaufprozesses kleiner und IEXPLORE.exe ist dann ca. 90 % ausgelastet

Hat denn keiner sonst noch ne Lösung ??

Bin euch wirklich über jeden Tip dankbar !

hattest du KIS zuvor auch installiert? Hast du eine neue Version drüber installiert?

Zitat:

Zitat von erty

hattest du KIS zuvor auch installiert? Hast du eine neue Version drüber installiert?

Zuvor hatte ich KIS auch drauf, und habe es dann nach dem Recovery neu installiert. Warum bringt eigentlich eine Recovery nix ? Ich meine alle Daten werden dabei doch platt gemacht, oder müsste ich wirklich mal "format c" machen ??