Trojaner-Board - Firefox + IE langsam, Siimbrowser schnell

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox + IE langsam, Siimbrowser schnell (https://www.trojaner-board.de/73377-firefox-ie-langsam-siimbrowser-schnell.html)

Firefox + IE langsam, Siimbrowser schnell

Hallo,

alle paar Minuten wird eine Seite aufgerufen mit Werbung, Firefox und IE sind extrem langsam, der Slimbrowser dagegen recht schnell.

Außerdem kann ich bei Eigenschaften nicht mehr alles einstellen, z.B. kann ich meinen Hintergrund mehr ändern, der Reiter ist einfach weg.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:26:35, on 22.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\marloss\lokale einstellungen\anwendungsdaten\ukekiuc.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EverProfitsAddOns - {1b08a88c-3083-4512-93dc-ce1321deb555} - C:\Programme\Ever Profits Toolbar\adxloader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.19.0\gears.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Ever Profits Toolbar - {4fe8e2eb-f905-45a9-8de9-9ad2f228ccc9} - C:\Programme\Ever Profits Toolbar\adxloader.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "G:\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ukekiuc] "c:\dokumente und einstellungen\marloss\lokale einstellungen\anwendungsdaten\ukekiuc.exe" ukekiuc
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.19.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.19.0\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win/QuickTimeInstaller.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c9d4981b63b3ea) (gupdate1c9d4981b63b3ea) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6377 bytes

Hallo und :hallo:

Zitat:

alle paar Minuten wird eine Seite aufgerufen mit Werbung

das wird wohl an Adware Navipromo liegen, dieser Eintrag in deinem Logfile

Zitat:

O4 - HKCU\..\Run: [ukekiuc] "c:\dokumente und einstellungen\marloss\lokale einstellungen\anwendungsdaten\ukekiuc.exe" ukekiuc

Arbeite bitte diese Anleitung ab (ohne Hijackthis)
http://www.trojaner-board.de/69886-a...-beachten.html
und lass dazu Navilog dein System untersuchen

Zitat:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

poste anschließend alle Logs hierher.

MFG

So, Partiton C ist nun um 190 MB leichter geworden :-) Meine Fresse war da viel Müll drauf.

Ich wollte mich gerade mit dem SLimbrowser bei euch einloggen, leider kommt dann dauernd folgender Hinweis (siehe Bild), welcher sich permanent wiederholt, es geht als nicht weiter. Mit Firefox komm ich aber bei euch rein, wobei der Hinweis auch einmal angezeigt wird, geht aber dann weiter

--------------------------
Malwarebytes' Anti-Malware 1.36
--------------------------
Datenbank Version: 2166
Windows 5.1.2600 Service Pack 2

22.05.2009 15:47:53
mbam-log-2009-05-22 (15-47-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|I:\|)
Durchsuchte Objekte: 255634
Laufzeit: 32 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\AdvRemoteDbg (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\WhoisCL.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Windows_update.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

------------------
NAVILOG1
----------------

Search Navipromo version 3.7.7 began on 22.05.2009 at 15:52:59,54

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2000+ )
BIOS : Default System BIOS
USER : *** ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 7.0.2.82
(Activated)

C:\ (Local Disk) - NTFS - Total:4 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:29 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:40 Go (Free:2 Go)
F:\ (CD or DVD)
G:\ (Local Disk) - NTFS - Total:80 Go (Free:0 Go)
H:\ (CD or DVD)
I:\ (Local Disk) - NTFS - Total:73 Go (Free:0 Go)

Search done in normal mode

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\****\anwend~1" ***

...\Live-Player found !

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

Scan with Catchme not done.
No administrator rights on this user account.

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Search files ***

C:\WINDOWS\prefetch\LIVE-PLAYER_SETUP.EXE-30CAE269.pf found !
C:\WINDOWS\prefetch\LIVE-PLAYER.EXE-21686DDE.pf found !

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ukekiuc"="\"c:\\dokumente und einstellungen\\***\\lokale einstellungen\\anwendungsdaten\\ukekiuc.exe\" ukekiuc"

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

ukekiuc.exe found !
ukekiuc.dat found !
ukekiuc_nav.dat found !
ukekiuc_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 22.05.2009 at 15:54:14,90 ***

-------------------

Firefox und IE sind immer noch langsam. Alle Reiter in Eigenschaften - Hintergrund, Darstellung etc. sind aber weider da. Wenigstens schon mal was!

Hallo

ich würde hier die Bereinigung sein lassen, du hast/hattest einen aktiven Backdoortrojaner im System.
Ich rate dir zur Neuinstallation des Betriebssystems, da niemand mit Sicherheit sagen kann, ob und was an deinem System verbogen wurde.

Ändere alle deine Pass- und Kennwörter nach der Neuinstallation oder von einem sauberen System aus.
Wenn du eine Sicherung deiner Daten durchführen möchtst, verzichte auf ausführbare Dateien (*.exe, *.pif, *.bat, *.scr usw.) und Dateien aus unsicheren Quellen wie P2P.
Überprüfe deine gesicherten Daten vor dem Wiederverwenden im neuen System mit einem aktuellem Antivirenprogramm.
Besorge dir bitte das Servicepack 3 und installiere es, bevor du das erste mal Online gehst.

MFG

Ok, danke! Werd die Kiste demnächst entsorgen und endlich meinen Mac startklar machen :-)