Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Internet sehr langsam (https://www.trojaner-board.de/53697-internet-sehr-langsam.html)

Sevko_28 08.06.2008 23:17

Internet sehr langsam
 
Hallo erstmal bin neu hier:).
Also zu meinem Problem, mein Internet ist seit drei TAgen extrem langsam geworden und da ich ein Noob bin weiß ich nicht so richtig woran es liegen könnte.
Ich benutze Windows Xp
hier mein Log file

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:00, on 08.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Veoh\VeohClient.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Veoh] "E:\Programme\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\DOKUME~1\sevket\LOKALE~1\Temp\ddcCSJcY.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOKUME~1\***\LOKALE~1\Temp\iiffDWPh.dll,c
O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOKUME~1\***\LOKALE~1\Temp\cngivykx.dll",run
O4 - HKCU\..\Run: [84830800] rundll32.exe "C:\DOKUME~1\***\LOKALE~1\Temp\gnbxjivc.dll",b
O4 - HKCU\..\Run: [BM87b03b9c] Rundll32.exe "C:\DOKUME~1\sevket\LOKALE~1\Temp\gpfpsepg.dll",s
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210539060820
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://80.237.209.20/objects/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4E32A94-9189-44E6-A152-769053B86206}: NameServer = 62.109.123.6 213.191.92.87
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3109 bytes

Ich hoffe ihr könnt mir helfen danke schonmal :rolleyes:

Chris4You 09.06.2008 07:13

Hi,

Bitte folgende Files prüfen (ersetzte die XXX durch den richtigen Pfad!):
Zitat:

C:\DOKUME~1\sevket\LOKALE~1\Temp\ddcCSJcY.dll
C:\DOKUME~1\***\LOKALE~1\Temp\iiffDWPh.dll
C:\DOKUME~1\***\LOKALE~1\Temp\cngivykx.dll
C:\DOKUME~1\***\LOKALE~1\Temp\gnbxjivc.dll
C:\DOKUME~1\sevket\LOKALE~1\Temp\gpfpsepg.dll
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebnis jeweils mit Filename!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://swandog46.geekstogo.com/res/images/avenger.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Achtung! Ersetzte auch hier die XXX durch den richtigen Pfad

Code:

Files to delete:
C:\DOKUME~1\sevket\LOKALE~1\Temp\ddcCSJcY.dll
C:\DOKUME~1\***\LOKALE~1\Temp\iiffDWPh.dll
C:\DOKUME~1\***\LOKALE~1\Temp\cngivykx.dll
C:\DOKUME~1\***\LOKALE~1\Temp\gnbxjivc.dll
C:\DOKUME~1\sevket\LOKALE~1\Temp\gpfpsepg.dll

Folders to delete:
C:\DOKUME~1\sevket\LOKALE~1\Temp

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\DOKUME~1\sevket\LOKALE~1\Temp\ddcCSJcY.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOKUME~1\***\LOKALE~1\Temp\iiffDWPh.dll,c
O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOKUME~1\***\LOKALE~1\Temp\cngivykx.dll",r un
O4 - HKCU\..\Run: [84830800] rundll32.exe "C:\DOKUME~1\***\LOKALE~1\Temp\gnbxjivc.dll",b
O4 - HKCU\..\Run: [BM87b03b9c] Rundll32.exe "C:\DOKUME~1\sevket\LOKALE~1\Temp\gpfpsepg.dll ",s

Poste bitte ein neues HJ-Log uns scanne mit Prevx:
Prevx CSI - FREE Malware Scanner

Chris

Sevko_28 10.06.2008 13:34

Ok hab alle durchsuchen lassen hier die ergebnisse

C:\DOKUME~1\***\LOKALE~1\Temp\ddcCSJcY.dll
Die datei wurde nicht gefunden

C:\DOKUME~1\***\LOKALE~1\Temp\iiffDWPh.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.10 -
AntiVir 7.8.0.55 2008.06.10 -
Authentium 5.1.0.4 2008.06.09 -
Avast 4.8.1195.0 2008.06.10 -
AVG 7.5.0.516 2008.06.10 -
BitDefender 7.2 2008.06.10 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.10 -
DrWeb 4.44.0.09170 2008.06.10 -
eSafe 7.0.15.0 2008.06.09 -
eTrust-Vet 31.6.5862 2008.06.10 -
Ewido 4.0 2008.06.10 -
F-Prot 4.4.4.56 2008.06.09 W32/Virtumonde.P.gen!Eldorado
Fortinet 3.14.0.0 2008.06.10 W32/Vundo.XD!tr
GData 2.0.7306.1023 2008.06.10 Trojan.Win32.Monder.gen
Ikarus T3.1.1.26.0 2008.06.10 Trojan-Downloader.Zlob.ABNI
Kaspersky 7.0.0.125 2008.06.10 Trojan.Win32.Monder.gen
McAfee 5313 2008.06.09 -
Microsoft None 2008.06.10 -
NOD32v2 3172 2008.06.10 -
Norman 5.80.02 2008.06.09 W32/Virtumonde.WWH
Panda 9.0.0.4 2008.06.09 Suspicious file
Prevx1 V2 2008.06.10 Fraudulent Security Program
Rising 20.48.12.00 2008.06.10 Trojan.Win32.Virtumod.ak
Sophos 4.30.0 2008.06.10 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.10 -
TheHacker 6.2.92.341 2008.06.10 -
VBA32 3.12.6.7 2008.06.09 -
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.10 Win32.UPXpacked.gen!88 (suspicious)

weitere Informationen
File size: 281088 bytes
MD5...: b833e195fbdea89edba6910283282fe4
SHA1..: 9ce11f59e72365527470083f4b4bc61ae28c9f4a
SHA256: 13c31dcb14a851dc021914516125928a3ca26371898da0fef336d719844e4081
SHA512: 04b36b2b5d42867c35082fd42b58093e784fa60ae2faa56b1429f23ac696b392
6c6a2fcfc94637f04605d8b42ef5067b8e67bf7a0e39d4610704b5ed53126ce0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1009f330
timedatestamp.....: 0x47f796b9 (Sat Apr 05 15:11:53 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x5c000 0x44000 0x44000 8.00 09cb17f4d540d0352e22f988291e0787
.rsrc 0xa0000 0x1000 0x600 1.87 bcc3ada8b45c978a02b49b093accfeff

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ole32.dll: OleRun
> user32.dll: GetCursor

( 0 exports )

Prevx info: 61938568.DLL - Prevx
packers (Kaspersky): UPX
packers (F-Prot): UPX_LZMA

C:\DOKUME~1\sevket\LOKALE~1\Temp\cngivykx.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.10 -
AntiVir 7.8.0.55 2008.06.10 -
Authentium 5.1.0.4 2008.06.09 -
Avast 4.8.1195.0 2008.06.10 -
AVG 7.5.0.516 2008.06.10 -
BitDefender 7.2 2008.06.10 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.10 -
DrWeb 4.44.0.09170 2008.06.10 -
eSafe 7.0.15.0 2008.06.09 -
eTrust-Vet 31.6.5862 2008.06.10 -
Ewido 4.0 2008.06.10 -
F-Prot 4.4.4.56 2008.06.09 W32/Virtumonde.P.gen!Eldorado
F-Secure 6.70.13260.0 2008.06.10 Trojan.Win32.Monder.gen
Fortinet 3.14.0.0 2008.06.10 -
GData 2.0.7306.1023 2008.06.10 Trojan.Win32.Monder.gen
Ikarus T3.1.1.26.0 2008.06.10 Trojan.Win32.Vundo.GX
Kaspersky 7.0.0.125 2008.06.10 Trojan.Win32.Monder.gen
McAfee 5313 2008.06.09 -
Microsoft None 2008.06.10 -
NOD32v2 3172 2008.06.10 -
Norman 5.80.02 2008.06.09 -
Panda 9.0.0.4 2008.06.09 Suspicious file
Prevx1 V2 2008.06.10 Cloaked Malware
Rising 20.48.12.00 2008.06.10 -
Sophos 4.30.0 2008.06.10 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.10 Trojan.Metajuan
TheHacker 6.2.92.341 2008.06.10 -
VBA32 3.12.6.7 2008.06.09 -
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.10 Win32.UPXpacked.gen!88 (suspicious)
weitere Informationen
File size: 96256 bytes
MD5...: e822e6ec176a5aa5c785437c4d787b21
SHA1..: 7bf0b9b93860308aea8e4b5639a0b076b3179791
SHA256: 58e8349d07cb3620bed30836f2e6f0f5e0058b9ef4aa776cc46ebcaf22d0b812
SHA512: cc894bf22783193ac65b89999f342f6571d9913f5a6766515996a9f29c98c909
fb9a93c0592622b76a1e7db3f9c16f647c2bbaa268edb4acf758d2861d792305
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100330e0
timedatestamp.....: 0x47fb197b (Tue Apr 08 07:06:35 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1d000 0x17000 0x16e00 7.99 d899d0a2ac03d1b86b30a8a0fd25b175
.rsrc 0x34000 0x1000 0x600 1.74 5bc7a976d071ff6fc34288c17ef965f0

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ole32.dll: CoInitialize
> user32.dll: GetFocus

( 0 exports )

Prevx info: IRHGQKXF.DLL - Prevx
packers (Kaspersky): UPX
packers (F-Prot): UPX_LZMA

C:\DOKUME~1\sevket\LOKALE~1\Temp\gnbxjivc.dll

Sevko_28 10.06.2008 14:37

Und hier noch die restliche Dateien

C:\DOKUME~1\sevket\LOKALE~1\Temp\gnbxjivc.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.10 -
AntiVir 7.8.0.55 2008.06.10 -
Authentium 5.1.0.4 2008.06.09 -
Avast 4.8.1195.0 2008.06.10 -
AVG 7.5.0.516 2008.06.10 -
BitDefender 7.2 2008.06.10 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.10 -
DrWeb 4.44.0.09170 2008.06.10 -
eSafe 7.0.15.0 2008.06.09 -
eTrust-Vet 31.6.5862 2008.06.10 -
Ewido 4.0 2008.06.10 -
F-Prot 4.4.4.56 2008.06.10 W32/Virtumonde.P.gen!Eldorado
F-Secure 6.70.13260.0 2008.06.10 -
Fortinet 3.14.0.0 2008.06.10 -
GData 2.0.7306.1023 2008.06.10 -
Ikarus T3.1.1.26.0 2008.06.10 Trojan.Win32.Vundo.GX
Kaspersky 7.0.0.125 2008.06.10 -
McAfee 5313 2008.06.09 -
Microsoft None 2008.06.10 -
NOD32v2 3172 2008.06.10 -
Norman 5.80.02 2008.06.09 -
Panda 9.0.0.4 2008.06.09 Suspicious file
Prevx1 V2 2008.06.10 Fraudulent Security Program
Rising 20.48.12.00 2008.06.10 -
Sophos 4.30.0 2008.06.10 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.10 -
TheHacker 6.2.92.341 2008.06.10 -
VBA32 3.12.6.7 2008.06.10 -
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.10 Win32.UPXpacked.gen!88 (suspicious)
weitere Informationen
File size: 82944 bytes
MD5...: 885c22faf59538694660ac140efc3d23
SHA1..: 013614a49dba8e65a73932470bafc3819f942db6
SHA256: 8a7f71feee3fe54f5b14f1124667fe8193cd6f32ec4e9c7dfe232b8200bb94ba
SHA512: 07212b7c83f2ba22c9f5b71d95bb3e46322d6d3c051f97bf9c0fdaf09c8d850f
8a9d7d83ac50c4d67f7e9fe0a8f683e24617beac3bb4cda19d6e575301d2afc8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10028de0
timedatestamp.....: 0x47fb225f (Tue Apr 08 07:44:31 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x15000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x16000 0x14000 0x13a00 7.99 be3acf2742640dd05563e77874fc7c58
.rsrc 0x2a000 0x1000 0x600 1.69 274ef0ab376af8a83e8fc4e065bd3d16

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ole32.dll: CoGetObject
> user32.dll: GetMenu

( 0 exports )

packers (Kaspersky): UPX
Prevx info: EYKMYNSR.DLL - Prevx
packers (F-Prot): UPX_LZMA

C:\DOKUME~1\sevket\LOKALE~1\Temp\gpfpsepg.dll

Die Datei wurde auch nicht gefunden

Und das Programm Avanger konnte ich nicht benutzen weil ich keine Rechte auf C hatte, weil ich nicht Admin bin sondern mein Vater:aplaus::headbang::aplaus:

Chris4You 10.06.2008 18:55

Hi,

dann hurtig hurtig den Papa geholt,
sonst laden die Viecher neu da und wir wiederholen das Ganze n-fach...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19