Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   DOS-Fenster öffnet für ein paar millisekunden, verbindung wird langsam (https://www.trojaner-board.de/31067-dos-fenster-oeffnet-paar-millisekunden-verbindung-langsam.html)

RoBBeck 01.08.2006 19:36
DOS-Fenster öffnet für ein paar millisekunden, verbindung wird langsam
 
Hallo,
wenn ich eine internetverbindung (DSL) aufgebaut habe erscheint nach kurzer zeit ein DOS-fenster, aber nur für einen sehr kurzen moment. muss nichteinmal ein dosfenster sein aber sieh ganz danach aus, kleines schwarzes fenster. danach wird meine internetverbindung extrem langsam.
ist dieses phänomen schon bekannt? und was könnt ich da machen?

Princ_of_Galaxy 01.08.2006 19:38
Du benutzt welches betriebssysthem?

RoBBeck 01.08.2006 19:43
Benutze winXP Home SP1
und nochwas hab ich grad bemerkt...
der taskmanager geht nichtmehr auf, wird aber neben der uhr angezeigt.


Hier mal noch meine HJT Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:46:11, on 01.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\windows\System32\smss.exe
D:\windows\system32\winlogon.exe
D:\windows\system32\services.exe
D:\windows\system32\lsass.exe
D:\windows\system32\svchost.exe
D:\windows\System32\svchost.exe
D:\windows\system32\spoolsv.exe
D:\windows\Explorer.EXE
D:\windows\System32\RUNDLL32.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
D:\windows\System32\ctfmon.exe
D:\Programme\ArcorOnline\Arcor.exe
D:\windows\system32\itdriver.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Network Monitor\netmon.exe
D:\windows\System32\nvsvc32.exe
D:\Programme\Spyware Doctor\sdhelp.exe
D:\windows\System32\svchost.exe
D:\windows\wdfmgr.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Spyware Doctor\swdoctor.exe
D:\windows\System32\winnnit.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\windows\System32\taskmgr.exe
c:\pro3_install.exe
D:\Dokumente und Einstellungen\*********\Eigene Dateien\Setup\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] D:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Win32] winnnit.exe
O4 - HKLM\..\RunServices: [Win32] winnnit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\sndoctor.exe" /Q
O4 - Startup: Arcor Online.lnk = D:\Programme\ArcorOnline\Arcor.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\windows\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\windows\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{73576018-E311-4B9C-8834-98973BC8B265}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\windows\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - D:\windows\wdfmgr.exe

Mellosun 01.08.2006 20:29
Guten Abend,

schau mal hier und Arbeite es ab.
Hier im Bord gibts auch sowas ähnliches, finde es nur gerade nicht!
Poste danach ein neues LOG von Hijacktis.

Obwohl ich eigentlich, bei dDeinem völlig ungewarteten System, eine Neuinstallation empfehlen würde und anschließend die Absicherungung selbigen! Link in meiner SIG!



Gruß Mellosun

Wildone 01.08.2006 21:01
Hallo,
beende mal die Prozesse winnnit.exe, wdfmgr.exe im Taskmanager, überprüfe die zugehörige Dateien D:\windows\System32\winnnit.exe D:\windows\wdfmgr.exe hier und poste die jeweiligen Ergebnisse.



Grüße Wildone

RoBBeck 01.08.2006 21:40
winnnit.exe war im taskmanager nicht aufgeführt
wdfmgr.exe lies sich beenden startete aber sofort neu
als datei hab ich auch nur winnnit.exe gefunden
wdfmgr.exe hat der computer nicht gefunden

Wildone 01.08.2006 21:55
Hallo,
gehe mal in den abgesicherten Modus (F8 beim booten) und schiebe die Dateien D:\windows\System32\winnnit.exe und D:\windows\wdfmgr.exe in einen neu erstellten Ordner auf dem Desktop.
Dann gehst du in den normalen Modus, überprüfst sie bei virustotal und postest die Erbebnisse.
Und die Dateien sind auf jeden Fall da, sie sind ja gerade aktiv, siehe HJT Log:

Running processes:
D:\windows\System32\smss.exe
D:\windows\system32\winlogon.exe
D:\windows\system32\services.exe
D:\windows\system32\lsass.exe
D:\windows\system32\svchost.exe
D:\windows\System32\svchost.exe
D:\windows\system32\spoolsv.exe
D:\windows\Explorer.EXE
D:\windows\System32\RUNDLL32.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE
D:\windows\System32\ctfmon.exe
D:\Programme\ArcorOnline\Arcor.exe
D:\windows\system32\itdriver.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Network Monitor\netmon.exe
D:\windows\System32\nvsvc32.exe
D:\Programme\Spyware Doctor\sdhelp.exe
D:\windows\System32\svchost.exe
D:\windows\wdfmgr.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Spyware Doctor\swdoctor.exe
D:\windows\System32\winnnit.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\windows\System32\taskmgr.exe



Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131