Trojaner-Board - Windows ist plötzlich langsam

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows ist plötzlich langsam (https://www.trojaner-board.de/70890-windows-ploetzlich-langsam.html)

Windows ist plötzlich langsam

Guten Abend Community,

ich bin neu hier und ich hab ein großes Problem.
Seit ein paar Tagen ist Windows sehr langsam und habe versucht, die Ursache herauszusuchen, aber leider ohne Erfolg.
Viele Programme wie zum Beispiel Firefox u.ä. starten langsam (5-10 Sekunden).

Im Task-Manager finde ich leider kein Prozess, der verdächtig ist.
Ich hab auch im Autostart (msconfig) nachgeguckt, aber scheint normal zu sein.
Eine vollständige Viren-/Spyware-Überprüfung (Kaspersky & Ad-Aware Anniversary Edition; SpyBot - Search & Destroy) habe ich auch durchgeführt, aber es konnte nur eine Trojaner-Datei "H@tKeysH@@k.DLL" (im System32-Ordner) gefunden werden. Diese habe ich entfernt, aber das Performance-Problem besteht leider weiterhin.

Ein HijackThis-Protokoll habe ich erstellt:

Zitat:

Zitat von Logfile of Trend Micro HijackThis v2.0.2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:03:18, on 09.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
F:\KeePass\KeePass.exe
C:\Programme\PowerMenu\PowerMenu.exe
C:\Programme\Psi\psi.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [KeePass Password Safe] "F:\KeePass\KeePass.exe"
O4 - Startup: Nettalk.lnk = C:\Programme\Nettalk6de\Nettalk.exe
O4 - Startup: PowerMenu.lnk = C:\Programme\PowerMenu\PowerMenu.exe
O4 - Startup: Psi.lnk = C:\Programme\Psi\psi.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich weis leider nicht mehr, was ich noch machen kann :(
Das nervt voll, dass Windows voll langsam ist und ich kann nix machen.

Hier ein paar Systemdaten:
-Windows XP Home Edition mit Service Pack 3
-INTEL Core2 Duo E8200
-3 GB RAM

Bitte helft mir, danke im Voraus.

\\Edit:
Ich seh grad, dass ein extra Unterforum für Viren etc. gibt (Plagegeister aller Art und deren Bekämpfung).
Sorry, spät gesehen.
Danke im Voraus fürs Verschieben des Threads.

Halli hallo.

Zwei Sachen zu deinem HJT log:
1) Editiere bitte alle aktiven Links!
2) Das log scheint nicht vollständig zu sein. Am Ende sollte "End of File..." stehen.

Dann beachte bitte das hier: http://www.trojaner-board.de/69886-a...-beachten.html

@undoreal
Hallo

Zitat:

1) Editiere bitte alle aktiven Links!

Was meinst du damit genau? Bzw. welche Pfade meinst du?

Zitat:

>2) Das log scheint nicht vollständig zu sein. Am Ende sollte "End of File..." stehen.

Achso, ich dachte, es sei nicht so wichtig:

Zitat:

--
End of file - 3910 bytes

Zitat:

>Dann beachte bitte das hier: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Danke für den Link des Threads, ich mach gerade eine vollständige Überprüfung v.Programm "Malwarebytes' Anti-Malware" und ich hoffe, er findet was.

Hallo,

ich hab eine Überprüfung durchgeführt (Malwarebytes' Anti-Malware).

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1832
Windows 5.1.2600 Service Pack 3

11.03.2009 16:47:53
mbam-log-2009-03-11 (16-47-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 64365
Laufzeit: 2 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL (Fake.Driver) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Guten Morgen,

kann mir niemand weiter helfen? :(
Gibt es vielleicht andere Ursachen?
Wenn es kein Virus oder Trojaner ist, was ist es dann?
Windows kann doch nicht schlagartig langsam werden, das geht doch nicht.
Ich hab da an dem Tag nur einige Spiele-Trainer getestet, aber irgendwann später habe ich Firefox geöffnet und das Starten ist auf einmal voll langsam.
Da hab ich FF erneut gestartet und es hat wieder lange gedauert, bis FF sich öffnete.
Ich bin verzweifelt :confused:

Für eine komplette Neuinstallaton habe ich leider wenig Zeit.

:rolleyes: Wo ist die HJT MiscTool -> Uninstall Liste?

Du musst uns schon alles geben damit wir dir helfen können.

Zitat:

ch hab da an dem Tag nur einige Spiele-Trainer getestet

Damit hast du dir mit ziemlicher Sicherheit einen Backdoor eingefangen.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodoo o-ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Ganz im Gegenteil
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

@undoreal
Vielen Dank für deine ausführliche Antwort.

Ich hab die Datei "mbr.exe" ausgeführt:

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !

Heißt es jetzt, dass mein MBR sauber ist?

Wenn ja, dann bin ich froh^^

Aber was ist dann die Ursache, dass mein PC bzw. Windows langsam ist?
Ich hab schon eine komplette Datenbereinigung durchgeführt (TuneUp; CCleaner) und eine Registry-Bereinigung.
Aber leider ohne Erfolg.

\\Edit:
Oder gibt es einen Win-Timer, der irgendwann sagt "ja jetzt streike ich und bin ab jetzt langsam" xD
Glaube ich eher weniger, aber das komische ist halt, dass es so plötzlich kam.
Wenn es ein bisschen langsamer und später noch ein bisschen langsamer geworden wäre (also nach und nach...), dann kann ich das gut nachvollziehen, aber einige Programme (nicht alle, aber einige) starteten plötzlich langsam.
Einmal ist mein PC sogar nach dem Wiederherstellen des Ruhezustands stehen geblieben, ich konnte meine Maus bewegen, konnte aber nix machen, nur schwarzer Hintergrund. Sowas hatte ich noch nie.
Das ist schon sehr merkwürdig :rolleyes:

Der MBR ist in Ordnung.

Das bedeutet nicht das dein Rechner sauber ist! Als du die Spiele Trainer ausgeführt hast hast du dir einen Backdoor eingefangen der nun alles mögliche anstellt und deine Systemperformance beeinflusst.

Setze nach Anleitung neu auf.

Zitat:

copy of MBR has been found in sector 62 !

Das finde ich allerdings recht verdächtig.

@undoreal
OKay, danke für die Info, aber gibt es wirklich keine andere Möglichkeit (außer Formatierung), den Backdoor zu entfernen?
Ich hab leider nicht so viel Zeit und habe auch nicht so die Lust, alles neu zu installieren.

@Kaos
Meinst du?

Andere Möglichkeiten gibt es nicht. Das ist die einzig vernünftige Lösung.
Außerdem ist der Rechner schneller wieder fit wenn du neuaufsetzt...

@undoreal
OKay vielen Dank.

Ich mach gerade eine Überprüfung (noch nicht fertig) mit der Software "A-Squared Anti-Malware".
Und der hat einiges gefunden:
http://www.bilder-space.de/show.php?...naCAEssuN1.png
(Net-Worm.Win32.Mytob!IK = Spiel-Trainer)
Was ist deine Meinung?
Ist das vielleicht das die Ursache?

Evtl. ist das der Auslöser.

Die Ursache nicht.

@undoreal
Hab jetzt noch eine Überprüfung gemacht, diesmal mit der Software "Spyware Doctor".
Resultat:
http://www.bilder-space.de/show.php?file=12.03eVGlWZp8H8MP0Id.png
:koch:

Ich gucke mir hier nichts weiter an.

Jede Minute die du am Netz bist kann dir die Kripo vor die Tür bestellen oder dir eine Kündigung deines Providers einbringen..