Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Langsames System nach Trojaner (https://www.trojaner-board.de/35684-langsames-system-trojaner.html)

Bob7 25.01.2007 13:32
Langsames System nach Trojaner
 
Hi,

Ich brauche ganz dringend Hilfe!
Habe leider nicht besonders viel Ahnung, seid also bitte nachsichtig, wenn ich nicht alles sofort verstehe.
Ich hatte leider vor einigen Tagen, einen Trojaner den ich mit Ach&Krach losgeworden bin.
Allerdings ist mein System seit dem sehr langsam und ich weiss nicht mehr weiter.

Bin für jeden guten Rat dankbar

Hier mein Logfile



Logfile of HijackThis v1.99.1
Scan saved at 12:30:15, on 25.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Duden\Duden Korrektor\DK3Tray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Office-Bibliothek\PCLib.exe
C:\WINDOWS\system32\txtuser.exe
C:\Programme\Office-Bibliothek\officebib.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c46c87988cc9b3fca2263f0b4783356\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Key Generator\isaddon.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programme\Key Generator\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Duden Korrektor 3.0] C:\Programme\Duden\Duden Korrektor\DK3Tray.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0b\aoltray.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156085736404
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.adultpark.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B6D95AD-CB50-4477-AD7A-B4B018855A0E}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B6D95AD-CB50-4477-AD7A-B4B018855A0E}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Sunny 25.01.2007 15:42
Hallo. :)

Arbeite diese Anleitung als erstes ab:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Und was bitte ist das? :teufel3:

Zitat:
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programme\Key Generator\iesplugin.dll
Was installierst du dir auch so einen Müll?! :rolleyes:

Sunny

Bob7 26.01.2007 11:32
Hi Sunny!

Danke erst mal Deinen Rat!
Habe Deine Anweisung mit FraudFix befolgt und bin leider nicht schlauer als vorher!??? AntiVir findet keine Trojaner mehr-was ja schon mal gut ist, oder???

Gruss



mitFraudFix v2.135

Scan done at 9:50:33,72, 26.01.2007
Run from C:\Dokumente und Einstellungen\user\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Bob7 26.01.2007 14:59
Hi Sunny!

Hast Du eine Ahnung, was ich noch tun muss?

Gruss Bob7

Sunny 26.01.2007 17:17
Zitat:
Zitat von Bob7 (Beitrag 250945)
Hi Sunny!

Hast Du eine Ahnung, was ich noch tun muss?

Gruss Bob7
Ich habe eine leise Ahnung, nämlich das immer noch der Report von eScan fehlt. ;)

Gruß
Sunny

Bob7 28.01.2007 10:13
Hi Sunny!

Hier mein eScan Log


Fri Jan 26 15:11:50 2007 => **********************************************************
Fri Jan 26 15:11:50 2007 => eScan AntiVirus Toolkit Utility.
Fri Jan 26 15:11:50 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Jan 26 15:11:50 2007 => **********************************************************
Fri Jan 26 15:11:50 2007 => Version 8.5.1
Fri Jan 26 15:11:50 2007 => Protokolldatei: C:\PROGRA~1\eScan\LOG\MWAV.LOG
Fri Jan 26 15:11:50 2007 => MWAV Registered: TRUE.
Fri Jan 26 15:11:50 2007 => User Account: user
Fri Jan 26 15:11:50 2007 => OS Type: Windows Workstation
Fri Jan 26 15:11:50 2007 => OS: Windows XP
Fri Jan 26 15:11:50 2007 => Ver: Service Pack 2 (Build 2600)
Fri Jan 26 15:11:50 2007 => Windows Root Folder: C:\WINDOWS
Fri Jan 26 15:11:50 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Fri Jan 26 15:11:50 2007 => Local Fixed Drives: c:\,d:\
Fri Jan 26 15:11:50 2007 => MWAV Mode: Scan and Clean files (for viruses, adware and spyware).
Fri Jan 26 15:11:50 2007 => Optionen für Kommandozeile: /MEM /REG /STARTUP /SER /SC /S /SYSFOLDER /PINSTALL=eScan|SCANINST.EXE|SCANREMV.EXE
Fri Jan 26 15:11:50 2007 => Database Path in KL Key: C:\Programme\eScan.
Fri Jan 26 15:11:50 2007 => Letztes Datum der KL key Dateien: 26 Jan 2007 14:40:02.
Fri Jan 26 15:11:50 2007 => Letztes Datum der MWAV Dateien: 26 Jan 2007 14:40:02.
Fri Jan 26 15:11:50 2007 => eScan Installationsverzeichniss: C:\PROGRA~1\eScan\
Fri Jan 26 15:11:50 2007 => Setting Database Path to C:\DOKUME~1\user\LOKALE~1\Temp\MWBASES
Fri Jan 26 15:11:55 2007 => AV Bibliothek wird geladen...

Fri Jan 26 15:11:55 2007 => **********************************************************
Fri Jan 26 15:11:55 2007 => eScan AntiVirus Toolkit Utility.
Fri Jan 26 15:11:55 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Jan 26 15:11:55 2007 =>
Fri Jan 26 15:11:55 2007 => Support: support@mwti.net
Fri Jan 26 15:11:55 2007 => Web: http://www.mwti.net
Fri Jan 26 15:11:55 2007 => **********************************************************
Fri Jan 26 15:11:55 2007 => Version 8.5.1
Fri Jan 26 15:11:55 2007 => Protokolldatei: C:\PROGRA~1\eScan\LOG\MWAV.LOG
Fri Jan 26 15:11:55 2007 => User Account: user
Fri Jan 26 15:11:55 2007 => Windows Root Folder: C:\WINDOWS
Fri Jan 26 15:11:55 2007 => Windows Sys32 Folder: C:\WINDOWS\system32

Bob7 28.01.2007 13:51
Hi Sunny!

Irgenwie ist der eScan Log zu lang! Hast Du eine Idee, wie Dir das schicken soll???

Gruss


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131