Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC langsam, IE öffnet 40 Fenster. (https://www.trojaner-board.de/100701-pc-langsam-ie-oeffnet-40-fenster.html)

FlowOh 23.06.2011 14:34
PC langsam, IE öffnet 40 Fenster.
 
Hallo Forum,

ich habe mir anscheinend was eingefangen.
Start des PC's funktioniert einwandfrei, doch nach der Windows-XP-Anmeldung wird alles sehr lahm. Es dauert bis ich auf Programme zugreifen kann und wenn ich I-Explorer starte werde ich immer gefragt ob ich die letzte Sitzung wiederherstellen möchte (bei wiederherstellung öffnen sich ca. 40-80 Fenster vom IE). Ich kann nicht auf den Task-Manager zugreifen und auch keine Programme aus dem Internet laden.
Ich komm hier selber nicht mehr weiter und zähle auf Eure Hilfe!!

Inhalt von defroggger_disable:
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:18 on 23/06/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled

-=E.O.F=-

markusg 23.06.2011 15:00
hiho
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

FlowOh 23.06.2011 15:46
Hallo,
habe beide Dateien als .zip angehängt.

Danke vorab.

markusg 23.06.2011 16:01
achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:
:OTL
PRC - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\1093482\mscj2.exe (Microsoft)
PRC - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA\mscjm.exe (Microsoft)
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  File not found
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [AntiVirus AntiSpyware 2011]  File not found

O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [AntiVirus AntiSpyware 2011 Security]  File not found
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [BD]  File not found
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [mscj2] c:\Dokumente und Einstellungen\admin\Anwendungsdaten\1093482\mscj2.exe (Microsoft)
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [mscjm] c:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA\mscjm.exe (Microsoft)
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [mscjm.exe] C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA\mscjm.exe (Microsoft)
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [UpData]  File not found
[2011.06.16 15:51:15 | 000,207,824 | ---- | C] (Adobe Systems, Incorporated) -- C:\Windows\System32\AcroIEHelpe035.dll
:Files
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\1093482
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

FlowOh 23.06.2011 17:43
Hat das mit dem Upload funktioniert?
Wie muss ich den Link eintragen?

markusg 23.06.2011 17:44
hast richtig gemacht!
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

FlowOh 23.06.2011 20:11
Hallo Markus,

irgendwie hat sich Combofix aufgehängt.
Es sagt er suche nach infizierten dateien und das dauert ca. 10 min.
Aber der Bildschirm ist nun seit über 1 stunde blau mit dieser meldung.
Wiederherstellungspunkt wurde anscheinend gesetzt.
What 2 do?

Danke
Gruß

markusg 23.06.2011 20:27
beende combofix, starte in den abgesicherten modus ohne netzwerk und versuchs dort noch mal, bei pc start mit f8 zu erreichen
poste combofix.txt

FlowOh 23.06.2011 21:21
Wieder 30 Minuten um und es tut sich nichts.
Ich habe jetzt einen Ordner ComboFix der eine Kopie der Festplatte enthält.
Der PC scheint soweit ganz ordentlich zu funktionieren.

markusg 24.06.2011 10:10
lösche combofix.
dann lads erneut runter wie folgt:
rechtsklick auf den download link, ziehl speichern unter.
dort unter dateinamen steht
combofix.exe
dies komplett raus löschen und
5678.com
reinschreiben.
speichern und im abgesicherten modus ausführen.

FlowOh 24.06.2011 13:12
Hallo Markus,
Combofix hängt sich leider wieder auf.

markusg 24.06.2011 14:13
sieht man im taskmanager welche der dateien hängt, geht combofix weiter wenn man diese beendet?

FlowOh 24.06.2011 18:09
Hallo,

es laufen folgende Prozesse:
Leerlaufprozess 99% 16K
tskmgr.exe 00% 1.956K
CF16488.cfxxe 00% 5.008K
findstr.exe
explorer.exe
svchost.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
sms.exe
System

Ich werde mal versuchen einen prozess nach dem anderen zu beenden.
Vielleicht geht dann was weiter.

FlowOh 24.06.2011 18:12
Ich habe findstr.exe beendet und habe jetzt die rmbr.cfxxe dazu bekommen.
Die hat wohl was mit dem Combifix zu tun?

Systemauslastung weiterhin bei 1%.

markusg 24.06.2011 18:23
läuft combofix immernoch nicht weiter?


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:05 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131