Trojaner-Board - HJT-Log mit seltsamen Prozessen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HJT-Log mit seltsamen Prozessen (https://www.trojaner-board.de/20656-hjt-log-seltsamen-prozessen.html)

HJT-Log mit seltsamen Prozessen

Hallo liebe Experten - weil der Rechner, an dem ich grade sitze, seit 2 Tagen in Sachen Inet muckt, suche ich nach der Ursache. Er hat Probleme, Seiten zu laden und die Geschwindigkeit bei Downloads sinkt so lange, bis sie sich komplett aufhängen. Das komische: Wenn ich die beiden fetten Prozesse kille, läuft es viel besser. Diese beiden verbrauchen laut Taskmanager auch viel CPU-Leistung und Google konnte mir dazu nichts sagen.

Wäre nett, wenn ihr mal über das Log schaut. :)

Danke!

Logfile of HijackThis v1.99.1
Scan saved at 13:36:08, on 10.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\WINDOWS\winswen.exe
F:\WINDOWS\winz-dzen.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Dokumente und Einstellungen\edited\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.edited/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [win-x387] F:\WINDOWS\winswen.exe
O4 - HKLM\..\Run: [win-x388] F:\WINDOWS\winz-dzen.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - software-dl.real.com/137980d7ad8321965306/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - /messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Empire Protection Window - Empiregames - F:\Programme\Gemeinsame Dateien\Empiregames Shared\Service\Empire Protection Window.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Hallo,
die beiden Prozesse solltest du mal im Taskmanager beenden und hier überprüfen lassen. Poste dann bitte die jeweiligen Ergebnisse.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:36:08, on 10.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Das ist der Grund für deine mutmaßliche Verseuchung, das System ist absolut nicht aktuell, SP2 sollte mittlerweile für jedes System standart sein. Ist dein Kaspersky eigentlich absichtlich nicht aktiv?

Grüße Wildone

Hey Wildone, hier ist das gewünschte.... Den Kaspersky hab ich nicht deaktiviert - nicht dass ich wüsste. Sollte ich da die Sicherheitsstufe hochstellen? Der Rechner ist allerdings nicht mir.

Datei: winswen.exe
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
unknown virus gefunden (mögliche Variante)
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Datei: winz-dzen.exe
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
unknown virus gefunden (mögliche Variante)
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Hallo,
da scheinst du dir ja was ganz aktuelles eingefangen zu haben:
sende die Datei verpackt und passwortgeschützt an newvirus@kaspersky.com
(und sende natürlich das Passwort mit) und vielleicht auch noch das gleiche mal an virus@sicher-ins-netz.info
Dann warte mal auf die Antwort und poste sie hier her. Die Prozesse lässt du natürlich beendet, bzw. beendest sie wieder wenn du neu bootest.

Grüße Wildone

Ok - sollte ich da noch weitere Informationen reinschreiben?

Der Kaspersky hat auch so eine "Datei einsenden"-Funktion, da schreibt er dann das komplette System mit allen Progs, Lizenz etc. rein.

yeesha

Hallo,
ich denke es reicht wenn du das Passwort reinschreibst, der Rest sollte eigentlich selbsterklärend sein. die "Datei einsenden" Funktion kannst du ja noch zusätzlich machen.

Grüße Wildone

Hallo Wildone,

das Kaspersky-Lab hat geantwortet:

Zitat:

Will be added to next update as Trojan-Downloader.Win32.Small.bha
Sincerely yours,
Yury Mashevsky.
_____________________
Virus analyst
Kaspersky Lab Ltd
Moscow, Russia

Find ich klasse - wenn schon verseucht, dann doch bitte auch mit dem heißen Scheiß :aplaus:

Und dir vielen lieben Dank für deine Hilfe!

Gruß yeesha

Hallo,
da man natürlich das Schadpotenzial schwer bestimmen kann würde ich dir eigentlich Neuaufsetzen nahelegen, hier eine Anleitung dazu.
Falls du dich dagegen entscheidest solltest du noch diese Einträge mit Hijackthis fixen:
O4 - HKLM\..\Run: [win-x387] F:\WINDOWS\winswen.exe
O4 - HKLM\..\Run: [win-x388] F:\WINDOWS\winz-dzen.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
Desweiteren solltest du dein System updaten, nur so konntest du diesen Virus wahrscheinlich bekommen. Also SP2 aufspielen +alle weiteren Updates die Microsoft zur Verfügung stellt und das System aktuell halten!!

Grüße Wildone