Hallo!
Mein Anti-viren programm PC-Cillin hat vor einigen Tagen einen Trojaner bei mir ausfindig gemacht (sp.exe), ich hatte auch vorher das problem mit ntsearch!
Nun kam einen Tag später eine neue Nachricht bezüglich eines gefundenen Trojaners, allerdings eine andere Datei. Wieder hab ich das unter Quarantäne gestellte file gelöscht da es nicht desinfiziert werden konnte! Leider weiß ich nicht mehr genau den Name der gelöschten Datei.
Jetzt ist allerdings meine downloadrate auf etwa 1 kb/s gesunken obwohl ich DSL habe und es bei den anderen Usern im Netzwerk auch noch mit der gleichen Geschwindigkeit funktioniert!

Meine Frage lautet nun, ob das mit einem Trojaner oder der gelöschten Datei überhaupt zusammenhängen kann und wenn ja was ich dann jetzt unternehmen könnte! Habs mit einem Update des IE probiert aber es hat die Auswahlseite gar nicht erst laden können.

Ich hoffe ihr könnt mir helfen, schon mal n Dankeschön im voraus

Hallo Nikro,
willkommen an Board!

</font><blockquote>Zitat:</font><hr />Original erstellt von Nikro:
Mein Anti-viren programm PC-Cillin hat vor einigen Tagen einen Trojaner bei mir ausfindig gemacht (sp.exe), ich hatte auch vorher das problem mit ntsearch!</font>[/QUOTE]Dabei dürfte es sich aller Wahrscheinlichkeit nach um den Trojaner Spooner gehandelt haben. All diese Probleme haben eine Ursache: einen nicht ausreichend gepatchten Internet Explorer bzw. ein nicht auf dem aktuellsten Stand befindliches System (Java VM).

</font><blockquote>Zitat:</font><hr />Nun kam einen Tag später eine neue Nachricht bezüglich eines gefundenen Trojaners, allerdings eine andere Datei.</font>[/QUOTE]Die Dateinamen sind gar nicht so wichtig - verwertbarer wäre eh die Angabe der Bezeichnung der gemeldeten Malware und ihr jeweiliger Ablagelort im System.

</font><blockquote>Zitat:</font><hr />Wieder hab ich das unter Quarantäne gestellte file gelöscht da es nicht desinfiziert werden konnte!</font>[/QUOTE]Klar, da es sich bei diesen Dateien in aller Regel um welche handelt, die selbst die Malware sind, können sie natürlich nicht repariert werden. Sie tragen halt nur wichtig klingende Namen, um den User zu verunsichern.

</font><blockquote>Zitat:</font><hr />[...] was ich dann jetzt unternehmen könnte! </font>[/QUOTE]Ein HijackThis-Logfile posten:
http://www.trojaner-board.de/51130-a...ijackthis.html

</font><blockquote>Zitat:</font><hr />Habs mit einem Update des IE probiert aber es hat die Auswahlseite gar nicht erst laden können.</font>[/QUOTE]Das versuchst du dann später nachzuholen. Empfehlung: verwende den IE ausschließlich als "Updatebrowser" für's System. Zum normalen Surfen nimm am besten einen sichereren wie (beispielsweise) Mozilla.

hier ist mal das logfile

Da anhängen hier net geht wusst ich net wie ichs anders hinkriegen sollte! sorry

Logfile of HijackThis v1.97.7
Scan saved at 18:34:44, on 22.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Nils K\Eigene Dateien\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {197AB1D7-A7DD-4C86-A938-1FCC0DB21B85} (DMProxyCtl Class) - http://dm.cometsystems.com/dm/dm_286.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...039.3209490741
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

kannst du mal diese datei C:\WINDOWS\System32\wuauclt.exe hier http://www.kaspersky.com/de/remoteviruschk.html scannen lassen.

ansonsten sehe ich nichts virulentes in dem log.
die datei muss es auch nicht unbedingt sein, aber erst prüfen...

lösch auch mal temp.internetfiles incl.offlineinhalte!

tony

</font><blockquote>Zitat:</font><hr />

C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe

O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
</font>[/QUOTE]

---Comet Spyware (wahrscheinlcih Mauszeiger?) - Fixen, Ad-Aware/Spybot S&D laufen lassen.

das mit comets liegt mir irgendwo in erinnerung...weis aber nicht genau wo ichs hinzun soll...wenns das ist was cih vermute ist es ein werbetrojaner bzw. ein spykomonent.comet curser
das plugin mit NPDocBox.dll weis ich jetzt auich nimmer genau zuzuordnen...hast du dazu auch infos?

mal mit ad aware scannen oder spybot...

tony

@ rene
alles klaro, also dann ist das mit comet auch am aufklären...am besten mit dem empfohlenen programm (ad aware oder spybot) scannen.

bye
tony

</font><blockquote>Zitat:</font><hr /> das mit comets liegt mir irgendwo in erinnerung...</font>[/QUOTE]..zum Auffrischen http://www.pestpatrol.com/PestInfo/c/comet_dmserver.asp
</font><blockquote>Zitat:</font><hr />
das plugin mit NPDocBox.dll weis ich jetzt auich nimmer genau zuzuordnen...hast du dazu auch infos?
</font>[/QUOTE]..aba sicher: es gehört zum Adobe Acrobat : http://www.adobe.de/support/toptech/...6153/main.html

man sollte sich glatt pestpatrol anschaffen...

tony

ok,
ich hab mal alles durchlaufen lassen, es hat auch einiges gefunden, dass hab ich inzwischen mit ad-aware alles gelöscht, ABER: das eigentlich problem ist noch genauso, der IE ist immernoch ganz langsam, das würde nicht mal für n update reichen! Heißt das jetzt deinstallieren und wieder draufmachen falls es dabei beschädigt wurde oder gibts dazu noch alternativen,

trotzdem schon mal danke für euren support

vielleicht ist dein ordner temporäre internetfiles schon dermaßen zugemüllt. hast du den schonmal gelöscht?

schliese den browser, und im internetexplorer(browser) temporäre internetfiles löschen incl.offlineinhalte!

defragmentieren würd auch mal den pc ziemlich aufräumen und programme und dateien wieder korrekt anordnen...dauert aber ne zeit!

tony

Das kann ja wohl kaum am Defragmentieren liegen wenn innerhalb von einem Tag die Downloadrate von 80 auf 1kb/s absackt oder??? Außerdem ist die Festplatte erst vor einem Monat das letzte Mal formatiert wurden! Trotzdem müsste es da ja wohl schneller laden. Ich hab keine Ahnung woran das jetzt noch liegen soll!