System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?
 

Hallo an Alle,

seit einiger Zeit verhält sich mein System relativ merkwürdig, über mehrere Jahre keine Probleme und nun, komischerweise seit ich eine AV Software (F-secure) installiert habe ist der "Wurm" drin.

Die komischen Ereignisse aufgelistet:
Rechner plötzlich extrem langsam, Eingaben und Klicks dauern plötzlich mehrere Sekunden, nach kurzer Zeit wieder alles normal.
Kennwörter die automatisch ausgefüllt wurden, werden nun plötzlich nicht mehr ausgefüllt.
Vor ein paar Tagen hatte ich den uralten Wurm drauf der den Rechner nach 60Sekunden abschaltet.

Im Hijack logfile ist mir besonders die Explorer.EXE (EXE groß geschrieben) aufgefallen, das ist wahrscheinlich irgendwas falsches. Bei Active Ports gesehen das dieser auf Port 1050 im LISTEN Modus läuft, wenn man ihn killt dann ist er weg, beim Windows Neustart aber wieder da. Beim killen ist der Explorer kurz ausgeblendet und dann wieder eingeblendet, sonst passiert nichts!

Ich weiß, System killen und neu aufsetzen, tolles Wochenende, ich würde trotzdem gerne wissen ob euch noch was auffällt um künftige Fehler zu vermeiden und was sonst noch unnötig ist. MSMessenger verwende ich eigentlich nicht, bin deshalb verwundert warum der z.B. auftaucht.

Für Eure Hilfe vielen Dank!

Das Logfile

Logfile of HijackThis v1.99.1
Scan saved at 11:03:45, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
C:\PROGRA~1\MOBILE~2\bin\SCfgSrv.exe
c:\programme\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
C:\PROGRA~1\MOBILE~2\bin\DESPROXY.exe
C:\PROGRA~1\MOBILE~2\bin\SPHONE~1.EXE
C:\PROGRA~1\MOBILE~2\bin\SCONTA~1.EXE
C:\PROGRA~1\MOBILE~2\bin\MESSAG~1.EXE
C:\PROGRA~1\MOBILE~2\SMARTS~1\xtndpc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Peter M. Moosmüller\Desktop\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Matrox PowerDesk 8] "c:\Programme\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~2\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe" /devicetype:philips
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Mobile Phone Manager.lnk = C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: HushEncryptionEngine - hxxps://mailserver2.hushmail.com/shared/HushEncryptionEngine.cab
O16 - DPF: {xxxxxxxxxxxxxx-8165-E47AB2EAEFE8} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1024_EN_XP.cab
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (eAssist NetAgent Customer ActiveX Control version 3) - hxxp://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - hxxp://cm4all01.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - hxxp://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - hxxp://wwx.tradesignalonline.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2) - hxxps://www.xxxxxxxxxxxxxxx4203-i586-p.exe
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - hxtp://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6E3EBE-2D87-4D47-ADE9-8A5CDD62267E}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{67CD6777-CAAF-42F9-AEB5-8A525D2DF5FA}: NameServer = 217.237.151.97,194.25.2.129,194.25.2.130,194.25.2.131,194.25.2.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{A555D776-F492-4261-949E-AB685F6CB9A0}: NameServer = 217.237.150.33,194.25.2.129
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe

@Peter@mkm
Scheinbar war der Wurm doch schon drin, blieb aber bislang unentdeckt. Was für AV-Programm hattest du gehabt, bevor du dich für F-Secure enschieden hast?
BTW: IMHO ist F-Secure für Privatanwender etwas schwerfällig.
Es scheint, ein Backdoor-Trojaner zu sein: http://www.avira.com/de/threats/sect...gent.jh.1.html
Was meldet F-Secure denn? Wo und Was findet er (noch)?

vorher hatte ich keine AV Software die im Hintergrund gelaufen ist, sondern nur regelmäßig Ad-Aware laufen lassen.

F-Secure findet nichts! Meldet auch nichts!
Eine Datei übersprungen sagt er??? Sonst gar nix!

tlntsvr.exe öffnet auch einen Port mhmmm

kann man den irgendwie testen ob jemand über diesen Weg irgendwelche Daten schon bekommen hat?

@Peter@mkm
Das war mutig! :daumenhoc
Welche denn?
Nein. Aber man soll in dem Fall in dubio contra reo entscheiden, d.h. mit Schlimmsten rechnen.

Diese Datei gehört zu Microsoft und ist O.K. besser gesagt ist sie das "Windows system Telnet server relay file".


Gruß
Sunny

Das Dumme ist hier nur, dass TelNet-Protokoll lt. Wikipedia, ist heutzutage kaum verwendbar. Bei meinem Windows XP gibt es diese Datei gar nicht. Ratsam wäre, die bei www.virustotal.com zu überprüfen.

Ich würde die Datei sicherlich auch erstmal auswerten lassen um auf Nummer sicher zu gehen.

Bei mir exitiert diese Datei allerdings schon, aber wie schon gesagt, die Datei kann dafür missbraucht werden um einen zufälligen TCP-Port zu öffen um somit Backdoor Funktion zur Verfügung zu stellen.

Aber trotzdem Danke für die Kontrolle Rene-gad :party: