Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rechner ausgebremst (https://www.trojaner-board.de/56144-rechner-ausgebremst.html)

Olle 17.07.2008 08:52

Rechner ausgebremst
 
Hiho,
mein rechner ist in letzter Zeit total langsam. Das kam von einem auf den anderen Tag. Evtl liegts an Firefox 3, evtl an dem neuen Windows update, evtl aber auch an zone alarm.
Ich bin nciht wirklich fähig hijacklogs auszuwerten, darum wäre ichs ehr dankbar, falls euch da was auffällt...

Logfile of HijackThis v1.99.1
Scan saved at 09:39:41, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180), Firefox 3

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\ESRI\License\arcgis9x\ARCGIS.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Dokumente und Einstellungen\***\Desktop\Hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {8D18DFF4-0943-4347-8BCA-0C57033F6820} (MISB DHTML Plugin Wrapper) - http://activex.microsoft.com/objects/ocget.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ArcGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



danke schonmal!!
so long....
Olle

HSV-Andy 17.07.2008 09:15

Mal auf die Schnelle!

Dein Rechner ist auf jeden Fall infiziert:

O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\system32\scvhost.exe

Dein System ist auch nicht auf dem aktuellen Stand, es gibt mittlerweile das Service-Pack 3 und ein aktuelleres HijackThis.

Bis sich jemand findet, der Dir Tipps zum Bereinigen gibt, solltest Du nur noch notfalls online gehen.

blow-in 17.07.2008 09:34

Hallo Olle
Du scheist da einen Backdoor Trojaner drauf zu haben. Lasse mal folgende Datei:
Zitat:

C:\WINDOWS\system32\scvhost.exe
bei Virustotal hoch und lasse diese auswerten.
Poste dann das gesamte Ergebnis.
Wenn du diese Datei nicht finden solltest, kannst du das auch direkt eingeben.

Olle 17.07.2008 09:51

der findet die datei net. auch wenn ich sie eingebe. habe nochmal den hijackthis scan gemacht, da ist sie immernoch da. ich weiß net, wie ich die jetzt hochladen soll...

blow-in 17.07.2008 10:35

Die komplette Zeile in meinem Vorpost einfach markieren, rechte Maustaste auf kopiren und in dem Feld bei Virustotal mit der rechten Maustaste einfügen.
Danach auf hochladen klicken.

Olle 17.07.2008 11:16

eben das geht ja net. wenn ich in die zeile klicke, öffnet sich direkt das "durchsuchen" fenster. da zu suchen bleibt erfolglos, da die zeile einzufügen bleibt erfolglos. ich krieg die datei net hochgeladen.
stell ich mich grad doof an, oder lässt es die page net zu, einfach nur den dateipfad einzugeben?

undoreal 17.07.2008 11:23

:) keine Sorge. Du stellst dich nicht dämlich an!! Es ist nicht möglich die Datei auf diesem Wege zu Virustotal zu befördern.

Du kannst dir nun überlegen ob es dir den kleinen "Aufwand" wert ist oder nicht weiterzumachen da du eh neuaufsetzten musst.

Um die Datei an VT zu senden erstelle bitte eine Kopie von ihr: Rechtsklick auf die scvhost.exe -> kopieren.
Füge die Kopie auf dem Desktop ein: Rechtsklick auf den Desktop -> einfügen.
Bennene die Datei anschließen um: Rechtsklick auf die Datei -> umbennen in infected.ex

Dann sende sie wie hier beschrieben zur Untersuchung ein.

Olle 17.07.2008 12:24

ich finde die auch so net :(
die ist einfach net da. ich finde die net. auch ent mit der suche. nur hijackthis findet die datei. und wenn ich bei hijackthis einfach auf "fix" gehe?

undoreal 17.07.2008 12:26

Zitat:

und wenn ich bei HiJackThis einfach auf "fix" gehe?
NEIN!

Hast du wie in meiner Signatur beschrieben nach der Datei gesucht?? Eher nicht oder?

Olle 17.07.2008 12:37

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131