Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC extrem langsam stockt andauernd trotz iexplorer öffnet selbständig eine seite (https://www.trojaner-board.de/25866-pc-extrem-langsam-stockt-andauernd-trotz-iexplorer-oeffnet-selbstaendig-seite.html)

Schuminho 15.01.2006 16:34
PC extrem langsam stockt andauernd trotz iexplorer öffnet selbständig eine seite
 
Pc ist bei relativ NAspruchslosen spielen nur am hacken und stottern ... trotz 512 ddr ram ...außerdem öffnet sich beim internet explorer immer das fnster mit nexws die seite heißt irgendwie powerd by redirad.de hoffe ihr könnt mir helfen



Logfile of HijackThis v1.99.1
Scan saved at 16:29:01, on 15.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rdirector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Schuminho\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{300D671F-2A7F-4327-A8DC-3D74B6DCE9CF}: NameServer = 213.191.74.18,213.191.92.78
O17 - HKLM\System\CS1\Services\Tcpip\..\{300D671F-2A7F-4327-A8DC-3D74B6DCE9CF}: NameServer = 213.191.74.18,213.191.92.78
O17 - HKLM\System\CS2\Services\Tcpip\..\{300D671F-2A7F-4327-A8DC-3D74B6DCE9CF}: NameServer = 213.191.74.18,213.191.92.78
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Markus1234 15.01.2006 16:51
erstmal das, was dir hier jeder sagen wird ... "Keine Servicepacks installiert?!"

folgende prozesse sind mir nicht bekannt

Zitat:
C:\WINDOWS\System32\rdirector.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\wuauclt.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\System32\rdirector.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{300D671F-2A7F-4327-A8DC-3D74B6DCE9CF}: NameServer = 213.191.74.18,213.191.92.78
O17 - HKLM\System\CS1\Services\Tcpip\..\{300D671F-2A7F-4327-A8DC-3D74B6DCE9CF}: NameServer = 213.191.74.18,213.191.92.78
O17 - HKLM\System\CS2\Services\Tcpip\..\{300D671F-2A7F-4327-A8DC-3D74B6DCE9CF}: NameServer = 213.191.74.18,213.191.92.78
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
Das sind die meiner meinung nach "verdächtigen" prozesse/einträge.
Man sieht auch deutlich wie per registrie die startseite jedesmal abgeändert wird.

1.) Installiere das SP2 (zu finden auf microsoft.de)
2.) Update dein Antiviren Programm
3.) Update Spybot S&D
4.) Scanne alles mit beiden Programmen durch

das soltle eigentlich schon reichen ... achja .. führe öfter mal das m$ online update aus .. kollege hatte ein ähnliches problem ;)

irrlicht 15.01.2006 16:54
Hallo Markus,
diese hier kennst du bzw.du weißt für was das gebraucht wird ?
C:\WINDOWS\System32\rdirector.exe
Für ein völlig ungepatchtes System gibt es bei dir welchen Grund ?
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Irrlicht

Markus1234 15.01.2006 17:02
Zitat:
Die Domain redirad.de installiert das nette kleine Programm
RDIRECTOR.EXE in das Windows/System32 Verzeichnis und
trägt sich in die Registry in folgende Autostartrampen ein:
HKCU/Software/Microsoft/Windows/Run
HKLM/Software/Microsoft/Windows/Run

Einmal als Autostarter ausgeführt nervt sie IE-Anwender mit
ständigen Popups von redirad.de. Als erstes nun die Adresse der Macher dieser Scheiss-Software die schon stark an Computersabotage grenzt und mir 4 Stunden Zeit geraubt hat:

PRANGER:
cyrus media
Lutz Obermann
Goebenstr. 11
D-32052 Herford
Germany


Was ihr mit dem macht bleibt euch überlassen. Als zweites nun der Vorgang wie man den Dreck wieder los wird:
<STRG><ALT><Entf> (Taskmanager aufrufen)

--> Den Prozess RDIRECTOR.EXE abschiessen

Nun in der Registry nach: RDIRECTOR suchen nacheinander aufrufen und dort auch alle Verweise auf RDIRECTOR.EXE löschen. Zum Schluss noch im Verzeichnis Windows/System32 die Datei RDIRECTOR.EXE löschen.
quelle: http://www.booom24.de


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131