Hallo,

seit Gestern hat mein PC ein Problem. Er läuft viel langsamer als sonst! Sowohl Internet als auch normale Programme. Der Arbeitsspeicher wird auch viel mehr beansprucht als sonst(~50% statt 20%)

Hab auch mein Antivirusprogramm durchlaufen lassen, hat aber nix geholfen.

Jetzt habe ich meinen PC von HijackThis Scanen lassen. Hier der Bericht:

Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\Program Files\Panda Security\Panda Cloud Antivirus\psnupd.exe
C:\Program Files\PDF Suite\PDFServerEngine.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
J:\FireFox\firefox.exe
C:\Users\csaba\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSof1.dll
O1 - Hosts: ::1 localhost
O1 - Hosts: 74.208.105.171 gs.apple.com
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSof1.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSof1.dll
O4 - HKLM\..\Run: [PSUNMain] "C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKLM\..\Run: [PSNUpd] "C:\Program Files\Panda Security\Panda Cloud Antivirus\psnupd.exe" /UpgradeNotification
O4 - HKLM\..\Run: [PDFServerEngine] C:\Program Files\PDF Suite\PDFServerEngine.exe /autorun
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "J:\Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - J:\ICQ\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - J:\ICQ\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - J:\Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - Unknown owner - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 5793



Dazu muss ich noch sagen, dass während dem Scan mit HijackThis folgende fehlermeldung kam, die ich nicht so recht verstehe:

"For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, HijackThis may NOT be able to fix this.

If that happens, you need to edit the file yourself. To do this, click Start, Run and type:

notepad C:\Windows\System32\drivers\etc\hosts

and press Enter. Find the line(s) HijackThis reports and delete them. Save the file as "hosts." (with quotes), and reboot."


Ich hoffe ihr könnt mir helfen.


Gruß Csab08

Hallo und

Zitat:

C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe

Zieht sich warum auch immer fast durchgängig durch alle Logs hier, warum weiß ich nicht, denn TuneUp ist eigentlich der letzte Schrott => TuneUp: Wundermittel oder Placebo Reloaded | DerFisch.de

Zitat:

azu muss ich noch sagen, dass während dem Scan mit HijackThis folgende fehlermeldung kam, die ich nicht so recht verstehe:

Hijackthis war früher mal toll. Nun ist es in die Jahre gekommen, wurde nicht mehr nennenswert weiterentwickelt. Für heutige Analysen ist HJT nicht mehr zu gebrauchen. Dafür analysiert es viel zu oberflächlich.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Soo, danke
Tuneup war nur eine Testversion, hat mir sowieso nicht gefallen.

Der Scan mit Malwarebytes hat einige Infizierte Daten gefunden und ich hab sie gleich gelöscht. Hier der Bericht:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5631

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.01.2011 22:03:05
blablabla

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|J:\|)
Durchsuchte Objekte: 308440
Laufzeit: 1 Stunde(n), 9 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 19
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\programdata\2aca5cc3-0f83-453d-a079-1076fe1a8b65 (Adware.Seekmo) -> No action taken.
c:\Users\csaba\AppData\Roaming\HBLite (Adware.Hotbar) -> No action taken.
c:\programdata\HBLiteSA (Adware.Hotbar) -> No action taken.
c:\Users\csaba\AppData\Roaming\shopperreports3 (Adware.ShopperReports) -> No action taken.
c:\program files\HBLite (Adware.Hotbar) -> No action taken.
c:\program files\HBLite\bin (Adware.Hotbar) -> No action taken.
c:\program files\HBLite\bin\11.0.349.0 (Adware.Hotbar) -> No action taken.
c:\program files\HBLite\bin\11.0.349.0\firefox (Adware.Hotbar) -> No action taken.
c:\program files\HBLite\bin\11.0.349.0\firefox\extensions (Adware.Hotbar) -> No action taken.
c:\program files\HBLite\bin\11.0.349.0\firefox\extensions\plugins (Adware.Hotbar) -> No action taken.
c:\program files\shopperreports3 (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0 (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\chrome (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\chrome\content (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\components (Adware.ShopperReports) -> No action taken.

Infizierte Dateien:
j:\EXE\Clone CD\CloneCD\clonecd 4.0.1.10\CCDKG.EXE (Trojan.Agent.CK) -> No action taken.
j:\EXE\Clone CD\CloneCD\clonecd 4.2\CCDKG.EXE (Trojan.Agent.CK) -> No action taken.
j:\EXE\copytodvd v2.4.1.244-core-pleasuredome101\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.
j:\EXE\copytodvd v2.4.1.244-core-pleasuredome101\cr-cdvd2.exe (Malware.Packer.Gen) -> No action taken.
j:\csabika\programme\aircrack\aircrack-ng-0.9.3-win\bin\aircrack-ng gui.exe (PUP.Aircrack) -> No action taken.
j:\csabika\programme\aircrack\aircrack-ng-0.9.3-win\bin\airdecap-ng.exe (PUP.Aircrack) -> No action taken.
j:\csabika\programme\aircrack\aircrack-ng-0.9.3-win\bin\aireplay-ng.exe (PUP.AirCrack) -> No action taken.
j:\csabika\programme\aircrack\aircrack-ng-0.9.3-win\bin\airodump-ng-airpcap.exe (PUP.AirCrack) -> No action taken.
j:\csabika\programme\aircrack\aircrack-ng-0.9.3-win\bin\ivstools.exe (PUP.Aircrack) -> No action taken.
j:\csabika\programme\aircrack\aircrack-ng-0.9.3-win\bin\packetforge-ng.exe (PUP.Aircrack) -> No action taken.
j:\FireFox\plugins\npclntax_hblitesa.dll (Adware.Hotbar) -> No action taken.
c:\programdata\HBLiteSA\HBLiteSA.dat (Adware.Hotbar) -> No action taken.
c:\programdata\HBLiteSA\hblitesaabout.mht (Adware.Hotbar) -> No action taken.
c:\programdata\HBLiteSA\hblitesaau.dat (Adware.Hotbar) -> No action taken.
c:\programdata\HBLiteSA\hblitesaeula.mht (Adware.Hotbar) -> No action taken.
c:\programdata\HBLiteSA\hblitesa_kyf.dat (Adware.Hotbar) -> No action taken.
c:\program files\HBLite\bin\11.0.349.0\firefox\extensions\install.rdf (Adware.Hotbar) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\install.rdf (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\chrome\content\InfoPane.xul (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.xpt (Adware.ShopperReports) -> No action taken.
c:\program files\shopperreports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions\components\browserextensionff.xpt (Adware.ShopperReports) -> No action taken.
c:\Users\csaba\downloads\svchostanalyzer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.


Die Logfiles vom OTL Scan hab ich als Anhang hinzugefügt.
Vielen Dank für deine Hilfe übrigens


Gruß, Csab08

Zitat:

Infizierte Dateien:
j:\EXE\Clone CD\CloneCD\clonecd 4.0.1.10\CCDKG.EXE (Trojan.Agent.CK) -> No action taken.
j:\EXE\Clone CD\CloneCD\clonecd 4.2\CCDKG.EXE (Trojan.Agent.CK) -> No action taken.
j:\EXE\copytodvd v2.4.1.244-core-pleasuredome101\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.
j:\EXE\copytodvd v2.4.1.244-core-pleasuredome101\cr-cdvd2.exe (Malware.Packer.Gen) -> No action taken.

Jaja, Testversionen - ist klar, weil gecrackt oder gekeygent! Von TuneUp natürlich auch!

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Ehm Tuneup war wirklich ne 15 Tage test version.
Und was CDClone ist weiß ich nicht einmal...

Aber dann werd ich mal mein System neu aufsetzen. Vielen dank für deine Hilfe.