Trojaner-Board - Rechnerstart und Internet extrem langsam und stürzt manchmal ab

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Rechnerstart und Internet extrem langsam und stürzt manchmal ab (https://www.trojaner-board.de/34945-rechnerstart-internet-extrem-langsam-stuerzt-manchmal-ab.html)

Rechnerstart und Internet extrem langsam und stürzt manchmal ab

Hallo zusammen,

ich bin am Ende meines Wissens. Alle Virenscanner usw. nutzen nix. Seid ein paar Tagen ist der Startvorgang meines Rechners sehr langsam und meine Internetverbindung extrem langsam.

Wer kann mir helfen?? :headbang:

Vielen Dank schon mal vorab.

Gruss Uwe

Logfile of HijackThis v1.99.1
Scan saved at 09:40:16, on 04.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Microsoft SQL Server\MSSQL$KONTOR_NET\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\DAP\DAP.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TorCP\torcp.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\UWESEI~1\LOKALE~1\Temp\Rar$EX01.922\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://secure.ascent.de/OnlineOffice/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [aBAInstaller] C:\Programme\ascent AG\aBA SE\aBAInstaller.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [TorCP] C:\Programme\TorCP\torcp.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: BS Contact VRML-X3D Control - h**p://www.bitmanagement.de/download/cab_installer/BS_Contact_VRML-X3D.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123867741156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123867715078
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Cassini - Unknown owner - C:\Programme\Skandia\mySkandia\bAV-Tools\CassiniService\CassiniService.exe (file missing)
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Entrümpel mal deinen Autostart, der ist pervers groß! :eek:
Klick auf Start, Ausführen und tippe msconfig ein, klick dann auf Ok und drück [RETURN]. Geh dort oben auf den letzten Reiter. Und entferne entsprechende Häkchen bei Programmen, die nicht unbedingt beim Systemstart mitgeladen werden müssen.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

Dieser Eintrag sieht ein wenig seltsam aus. Manche Schädlinge tarnen sich als wmplayer.exe, mach daher mal bitte einen Check mit Blacklight und poste das Ergebnis.

Danke für den Tipp mit msconfig

Bei Blacklight ergibt sich das:

- Scan complete
- No hidden items found.

So da gibt es keinen Hinweis oder?

Okay. Hast du schon den Autostart ausgemistet? Das bringt m.E. nach immer wieder recht viel Leistung zurück, ich habe wirklich immer nur das allernötigste im Autostart. Das meiste ist echt unnützes Zeuch, das man wenn man es dann braucht, immer noch manuell starten kann bei Bedarf.

Des weiteren empfehle ich dir einen Check mit eScan - folge dem Link in meiner Signatur für die Anleitung, die du bitte genau beachtest. Alternativ kannst du auch den Onlinescanner von Kaspersky benutzen.
Poste relevante Einträge, also die Funde (sofern welche da sind!).

So ... hoffe alles nach Plan gemacht. Dies sind die Ergebnisse:

Fri Jan 05 14:01:01 2007 => ***** Scanning complete. *****

Fri Jan 05 14:01:01 2007 => Total Objects Scanned: 143351
Fri Jan 05 14:01:01 2007 => Total Critical Objects: 12
Fri Jan 05 14:01:01 2007 => Total Disinfected Objects: 0
Fri Jan 05 14:01:01 2007 => Total Objects Renamed: 0
Fri Jan 05 14:01:01 2007 => Total Deleted Objects: 0
Fri Jan 05 14:01:01 2007 => Total Errors: 469
Fri Jan 05 14:01:01 2007 => Time Elapsed: 05:34:47
Fri Jan 05 14:01:01 2007 => Virus Database Date: 1/4/2007
Fri Jan 05 14:01:01 2007 => Virus Database Count: 256010

Das sind die Files:

Fri Jan 05 08:31:25 2007 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jan 05 08:31:25 2007 => Loading Spyware Signatures from new External Database (Size: 197410).
Fri Jan 05 08:31:28 2007 => Indexed Spyware Databases Successfully Created...

Fri Jan 05 11:10:14 2007 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Fri Jan 05 11:10:30 2007 => Offending Key found: HKLM\Software\magnet !!!
Fri Jan 05 11:10:30 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 05 11:10:31 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Fri Jan 05 11:10:31 2007 => Object "medload Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 05 11:10:40 2007 => Offending file found: C:\WINDOWS\gpinstall.exe
Fri Jan 05 11:10:40 2007 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Fri Jan 05 11:10:41 2007 => Offending file found: C:\DOKUME~1\****~1\LOKALE~1\Temp\pv.exe
Fri Jan 05 11:10:41 2007 => System found infected with drivecleaner2006 Trojan (pv.exe)! Action taken: No Action Taken.

Fri Jan 05 11:11:02 2007 => Offending Folder found: C:\Dokumente und Einstellungen\****\Desktop\ordner\sw
Fri Jan 05 11:11:02 2007 => Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 05 11:11:02 2007 => Offending Folder found: C:\Dokumente und Einstellungen\****\Favoriten\sw
Fri Jan 05 11:11:02 2007 => Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 05 11:11:15 2007 => Offending file found: C:\Dokumente und Einstellungen\****\Vers0404\Eigene Dateien\downloads\data\pv.exe
Fri Jan 05 11:11:15 2007 => System found infected with drivecleaner2006 Trojan (pv.exe)! Action taken: No Action Taken.

Fri Jan 05 11:11:34 2007 => Offending file found: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\temp\pv.exe
Fri Jan 05 11:11:34 2007 => System found infected with drivecleaner2006 Trojan (pv.exe)! Action taken: No Action Taken.

Fri Jan 05 11:11:40 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ca\etrustpestpatrol\ppv5log.txt
Fri Jan 05 11:11:40 2007 => System found infected with websearch Toolbar (ppv5log.txt)! Action taken: No Action Taken.

Fri Jan 05 11:11:42 2007 => Offending file found: C:\Dokumente und Einstellungen\****\Vers0404\Eigene Dateien\downloads\data\pv.exe
Fri Jan 05 11:11:42 2007 => System found infected with drivecleaner2006 Trojan (pv.exe)! Action taken: No Action Taken.

Was mach ich jetzt?

Der sollte im System neben einigen anderen Sachen sein:
Troj/Taladra-F - Trojaner - Sophos Bedrohungsanalyse

Deshalb mein Rat:
http://www.trojaner-board.de/12154-a...sicherung.html

Servus,

Zuerst einmal vielen Dank für die Hilfe bisher.

Hab eure Tipps versucht und viele Meldungen auf meinem Rechner gehabt. Konnte sie aber nicht loswerden .... löschen oder so

Hab jetzt per Zufall Spybot Search&Destroy gefunden und hab das mal über meinen Rechner laufen lassen und siehe da .. es wurden fast 1.000 kritische Hinweise gefunden und auch behoben. Sieht aus als der Rechner wieder "normal" läuft. Bin mir abe rnoch nicht ganz sicher.

Achso hab mal den Tipp mit ausschalten der Systemwiederherstellung gemacht und das alles scheint geholfen zu haben. Wie ist eure Erfahrung? Kann das Problem gelöst sein oder scheint es nur???

Danke für das feedback..

Das Problem ist der hier:

Zitat:

System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.

Dadurch konnten Dritte unbefugten Zugang zu deiner Kiste bekommen. Daher wär es am sichersten, die Kiste neu aufzusetzen, weil niemand sagen kann, wie das System verändert worden ist. Durch das Entfernen der gefundenen Schädlinge macht man diese Änderungen ja nicht rückgängig!