|
bitte logfile durchsehen...was ist mein Problem? Hallo, ich habe keine Ahnung wo ich noch suchen soll, so dass ihr die ltzte hoffnung seit (bevor format c...) mein Compi wird seit einigen Tagen immer langsamer, die cpu auslastung geht laufend auf 100%, AV Anti vir findet nichts ad-aware habe ich durchlaufen lassen. mein verdacht ist, dass ich irgenwas Bösartiges auf dem Compi habe, was laufend im HIntergrund prozesse , v a über den IExplorer abwickelt. Mir ist auch aufgefallen, dass , obwophl ich nur einen IE auf hatte im taskmanager 5 ie-einträge waren...vielleicht könnt ihr mir helfen, erkennt ihr was?... danke im vorraus log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:45:42, on 12.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\sstray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\TBPanel.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\WinTV\Ir.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\WebwaIgd.exe C:\Programme\FRITZ!DSL\WebwaIgd.exe C:\Programme\FRITZ!DSL\fritzdsl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\tools\WinRAR\WinRAR.exe C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.844\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-greifswald.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {3BEBCE40-0A8F-7751-D587-274035E1FDE0} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [vsn] C:\WINDOWS\vsn.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Opnt] C:\Dokumente und Einstellungen\***\Anwendungsdaten\arat.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Programme\LEO-Ext-for-IE\DE_EN.htm O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Programme\LEO-Ext-for-IE\DE_FR.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h*tp://www.giga.de/giga-stream-test/Rawflow.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h*tp://www.cult3d.com/download/cult.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102252322781 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/***/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg -- End of file - 9681 bytes |
C:\Dokumente und Einstellungen\wolf\Anwendungsdaten\arat.exe Diese Datei mal bitte bei Virustotal auswerten lassen und Ergebnisse posten. Folge dann mal meinen Links zu Blacklight und DSS in meiner Signatur, führe die Programme aus und poste die Logfiles. |
Hallo, arat.exe ist nicht mehr vorhanden (hab nochmal nach ihr gesucht...wurde nicht geunden) mmh, er braucht seit ner woche auch relativ lange um (mit dem windows explorer) ein verzeichnis zu öffnen...immer so ein-zwei sekunden, nervig, , aber ev hängt das damit zusammen, das die cpu laufend zwischen 50 und 100 prozent auslastung schwankt Blacklight hat nihcts gefunden... Code: 07/13/08 17:41:28 [Info]: BlackLight Engine 1.0.70 initializedCode: Deckard's System Scanner v20071014.68 |
und die extra log noch...danke fürs durchschauen! extra Code: Deckard's System Scanner v20071014.68 |
und der rest...der extralog Code: Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" |
Du hast viele Spiele installiert. Da deuten einige Treiber darauf im Logfile hin, die für "Kopierschutz" sorgen, aber bei manchen bin ich mir nicht sicher. Wagen wir mal einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Hallo root24, also erstmal schonein herzliches Dankeschön für deine bisherige Hilfe! Soviele Spiele sinds gar nicht, da war der CCleaner schonmal sehr sinnvoll, alles überflüssiges rauszuschmeißen, waren auch ziemlich viele regeinträge, die er angezeigt hat. zum combofix, poste ich nun hier, vielleicht kannst du ja übersetzen, wenn es was zu übersetzen gibt, sprich, ich habe keine ahnung ob was gefunden wurde und ob etwas verändert wurde :crazy: was ist eigendlich das: C:\PROGRAMME\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE ? ist das ok? grüße Code: ComboFix 08-07-13.4 - *** 2008-07-13 21:31:32.1 - FAT32x86 |
Zitat:
Zum Combofix-Log, Du hast da einige Einträge, die mich doch schon sehr stutzig machen: Code: 2005-08-08 13:22 401,408 --sh--r C:\WINDOWS\system32\n?tepad.exeCode: S3 bDMusicb;bDMusicb;C:\DOKUME~1\***\LOKALE~1\Temp\bDMusicb.sys []Mach bitte auch ein Logfile mit Silentrunners und poste es hier. Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
zwischenbericht hallo,mir ist grad schlecht geworden...ok, ich versuche grad die notepad auf virustotal hochzuladen, , da stürzt der browser ab und dann wird bei nochmaligem aufrufen der seite nicht mehr der "durchsuchen" button angezeigt..., rechtsklick funktioniert bei der datei auch nicht ich versuche es noch ein paar mal... außerdfem hatte ich heute das prob. dass der bildschirm, nach dem korrekten booten und windows ladebildschirm dann schwarz bleibt, mmh aus meinem gedächtnis glaube ich hatte er das schon vorgestern einmal gemacht, also bevor combofix lief, wenn ich mich recht erinnere...fahre nochmal runter und hoch... nachtrag silentrunner... Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Sonst probier es mit der bösen notepad.exe so: Packe sie und lade sie bei file-upload.net hoch. |
File-Upload.net - system32.rar die listing ist mit drinne, die zwei anderen dateien haben nichts zu sagen, außer dass ich die mit kopiert hatte ins rar archiv, um auch die notepad zu "überlisten", bei file-upload hat s mich genauso entschärft, nach dem ersten upload hat es mir die seite geschlossen bei nochmaliegm öffnen ohne upload button, beim zweiten und dritten mal gabs nen sql fehler im browser...kA wer was zu verantworten hat...:crazy: :(grüße |
Bei der "notepad.exe" handelt es sich um Adware. Das "O" ist kein O ;) sondern wohl ein Omikron (aus dem griechischen Alphabet). Sieht aber aus wie ein o. ;) Code: C:\WINDOWS\system32\quartz.dllAnleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
Überprüf danach, ob diese ominöse notepad.exe noch vorhanden ist. Die gute notepad.exe sollte etwa 70 Kb groß sein, nicht 400 Kb. |
mmh, leider hat das nicht den gewünschten erfolg gebracht, da mir der durchsuchen button bei file-sharing und virustotal fehlt, kann ich die quartz nicht prüfen, den avenger habe ich laufen lassen, jedoch hat er dann einmal gebootet, jedoch kurz nach dem windows startbildschirm, wenn er den desktop aufbaut, nochmal gebootet und alles ist beim alten, auch die notepad ist noch vorhanden...ein zweites mal war das gleiche passiert...mmh ps: im avenger reportverzeichnis befindet sich auch keine log datei PPS: File-Upload.net - quartz.dll der file-upload ging eben, jedoch noch nicht virus total, ev. bist du schneller mit der prüfung? danke , ich versuchs aber auch weiter... |
Also wenn das selbst mit dem Avenger nicht mehr so funktioniert wie es sollte, hast Du schlechte Karten - Entfernung vielleicht dann über eine Notfall-CD möglich. Die sauberste Variante wäre es aber, das System einfach neu aufzusetzen. Also Systempartition formatieren und zur Windows Neuinstallation antreten. So biste ohne wenn und aber jeden Müll wirklich los. Manche Schädlinge schreiben sich aber auch in den MBR, so daß ein einfaches Formatieren nicht ausreicht. Führe mal dieses Tool aus und poste das Logfile. |
lagsam glaub ich nicht mehr was ich da sehe, wo hab ich mir denn sowas extremst hässliches eingefangen, mmh was ist denn die mbr---master boot record, dank wiki ;-) grüße Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
Da hat irgendwas sinowal-mäßiges (von diesem Schädling "Sinowal" kenn ich, daß der MBRs manipuliert) bei Dir voll eingeschlagen. Ich schlage vor, Du schreibst zuerst einen neuen MBR mit Hilfe der Vista-Wiederherstellungskonsole, und setzt dann nach einem Neustart das System neu auf (nat. Festplatte vorher formatieren!). 1.) in die Vista-Wiederherstellungskonsole booten - dort mit dem Befehl bootrec /fixmbr einen neuen MBR schreiben lassen. 2.) System neustarten, nach dieser Anleitung neu aufsetzen. 3.) Steht das System wieder, vorsichtshalber noch einen Durchlauf mit der mbr.exe machen und das Log posten, um sicherzustellen, daß der MBR auch einwandfrei ist. |
Hao root24, nochmal herzlichen Dank für die Hilfe! Ich bin ganz schön platt (nach dem Motto, das kann mir doch nicht passieren...) so, ich hab ja Win xp, ist das der gleiche Befehl auch für XP ? (bootrec /fixmbr ) nach dem neuen mbr schreiben, kann ich sicher nicht mehr starten, d.h. ich muss dann das system neu aufsetzen?...das wird ein weilchen dauern und ich befürchte fast, dass ich dazu nicht sofort komme, es sei denn es beißt mich der "wilde hans"...muss ja noch alle dateien, die ich noch brauche sichern, bzw,. auf ne andere partition... kannst du mir einen zukünftigen virenscanner empfehlen? herzliche Grüße |
Zitat:
Das hier gilt für die Wiederherstellunskonsole unter XP: Zitat:
Dort dann einfach nur fixmbr ausführen. Ohne bootrec. Zitat:
Zitat:
Wenn Du doch vom versifften System aus sichern willst und dann auf eine externe Platte, mußt Du damit rechnen, dass auch der MBR der externen Platte befallen wird! Zitat:
|
Hallo, so habe nun das system neu aufgesetzt, noch nicht fertig...updates fehlen noch, aber es wächst langsam wieder. ja "brain" ;-) autsch , hast ja recht... Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
So, war ne Woche im Urlaub, war deswegen verhindert. :) Hast Du das Logfile VOR oder NACH dem Neuaufsetzen erstellt? GMER hat dort nämlich schädlichen Code im MBR entdeckt! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board