Trojaner-Board - Cpu 100% i-net explorer geht nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Cpu 100% i-net explorer geht nicht (https://www.trojaner-board.de/53352-cpu-100-i-net-explorer-geht.html)

Cpu 100% i-net explorer geht nicht

Hi, mein pc ist total langsam und cpu ist fast immer auf 100% und mein i-net explorer stürtzt dauernt ab.
Ich habe win xp.

HijackThislog:
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 19:44, on 2008-06-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.e xe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\cchservice.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\NAVW32.exe
C:\Dokumente und Einstellungen\***\cftmon.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\HIJACK~1.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Jonny\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Jonny\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: phase-6 reminder.lnk = C:\Programme\phase6\phase6 professional\Phase6Reminder.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1212088482
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.e xe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.E XE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 6955 bytes

Hallo

mach bitte mal alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien (Pfad beachten)

Zitat:

C:\Dokumente und Einstellungen\Jonny\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

C:\Dokumente und Einstellungen\Jonny\cftmon.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 -
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 -
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.03 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 -
eSafe 7.0.15.0 2008.06.03 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 Trojan-Downloader.Win32.Small.wgo
Fortinet 3.14.0.0 2008.06.03 -
GData 2.0.7306.1023 2008.06.03 Trojan-Downloader.Win32.Small.wgo
Ikarus T3.1.1.26.0 2008.06.03 Trojan-Downloader.Win32.Small.wgo
Kaspersky 7.0.0.125 2008.06.03 Trojan-Downloader.Win32.Small.wgo
McAfee 5309 2008.06.03 -
Microsoft 1.3604 2008.06.03 -
NOD32v2 3155 2008.06.03 -
Norman 5.80.02 2008.06.03 W32/Malware.CXOB
Panda 9.0.0.4 2008.06.03 -
Prevx1 V2 2008.06.03 Cloaked Malware
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 Mal/EncPk-DB
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 Trojan/Downloader.Small.wgo
VBA32 3.12.6.7 2008.06.03 Trojan-Downloader.Win32.Small.wgo
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.03 Win32.Malware.gen
weitere Informationen
File size: 27136 bytes
MD5...: 8191901431d6547dc8fa630c2171f09f
SHA1..: af1c5b9c11bd746752c3733598d7f6545a8628f6
SHA256: c7387933724e13d74cf60005097a4a8f383244b6327b15e660d9bae9fe651daa
SHA512: 29d96792bf65203f69bf4b85690d875c7f4243f7197c632c7d4154742756f9f9
afd1e5dfa63efc654aac131d0cb1704f2238ced90ee52628eef184b433e94c8b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x426092
timedatestamp.....: 0x472e0e8d (Sun Nov 04 18:25:17 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x1ef46 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.tls 0x20000 0x5cfe 0x5800 7.92 82a27950b5ac8dbbfcacb12c9e0f5630
.fasm 0x26000 0x338 0x400 6.77 7ac8ad1647fddc15bc7849334309c5ea
.tls 0x27000 0x1c4 0x200 4.19 664c08d33ee1ba7143215e0bbf42a58f
.rsrc 0x28000 0x1000 0x800 4.02 237009d6a3ea62031bb27647ef18a89e

( 1 imports )
> user32.dll: LoadStringA, BroadcastSystemMessageA, GetMessageA

( 0 exports )

Prevx info: SPOOLS.EXE - Prevx

C:\WINDOWS\system32\drivers\spools.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 -
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 -
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.03 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 -
eSafe 7.0.15.0 2008.06.03 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 Trojan-Downloader.Win32.Small.wgo
Fortinet 3.14.0.0 2008.06.03 -
GData 2.0.7306.1023 2008.06.03 Trojan-Downloader.Win32.Small.wgo
Ikarus T3.1.1.26.0 2008.06.03 Trojan-Downloader.Win32.Small.wgo
Kaspersky 7.0.0.125 2008.06.03 Trojan-Downloader.Win32.Small.wgo
McAfee 5309 2008.06.03 -
Microsoft 1.3604 2008.06.03 -
NOD32v2 3155 2008.06.03 -
Norman 5.80.02 2008.06.03 W32/Malware.CXOB
Panda 9.0.0.4 2008.06.03 -
Prevx1 V2 2008.06.03 Cloaked Malware
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 Mal/EncPk-DB
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 Trojan/Downloader.Small.wgo
VBA32 3.12.6.7 2008.06.03 Trojan-Downloader.Win32.Small.wgo
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.03 Win32.Malware.gen
weitere Informationen
File size: 27136 bytes
MD5...: 8191901431d6547dc8fa630c2171f09f
SHA1..: af1c5b9c11bd746752c3733598d7f6545a8628f6
SHA256: c7387933724e13d74cf60005097a4a8f383244b6327b15e660d9bae9fe651daa
SHA512: 29d96792bf65203f69bf4b85690d875c7f4243f7197c632c7d4154742756f9f9
afd1e5dfa63efc654aac131d0cb1704f2238ced90ee52628eef184b433e94c8b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x426092
timedatestamp.....: 0x472e0e8d (Sun Nov 04 18:25:17 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x1ef46 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.tls 0x20000 0x5cfe 0x5800 7.92 82a27950b5ac8dbbfcacb12c9e0f5630
.fasm 0x26000 0x338 0x400 6.77 7ac8ad1647fddc15bc7849334309c5ea
.tls 0x27000 0x1c4 0x200 4.19 664c08d33ee1ba7143215e0bbf42a58f
.rsrc 0x28000 0x1000 0x800 4.02 237009d6a3ea62031bb27647ef18a89e

( 1 imports )
> user32.dll: LoadStringA, BroadcastSystemMessageA, GetMessageA

( 0 exports )

Prevx info: SPOOLS.EXE - Prevx

mfg jonny

Hallo

sehr viel wird über diesen Freund ja nicht verraten, in der Onlineauswertung wird er als

Zitat:

Mal/EncPk-DA is a malicious packed executable file.

erkannt, da scheint aber nur die "gepackte" Datei als ungewöhnlich erkannt zu werden.
Ich hab aber noch dies hier gefunden:(

Zitat:

Zitat von Sophos

W32/Niya-C includes functionality to access the internet and communicate with a remote server via HTTP.
...
The following registry entries are created to run cftmon.exe and spools.exe on startup:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ntuser
<System>\drivers\spools.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
autoload
<User>\cftmon.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ntuser
<System>\drivers\spools.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
autoload
<User>\cftmon.exe

das deckt sich auch mit der Analyse von PrevX, leider.
Ich rate dir setze dein System neu auf nach dieser Anleitung.
http://www.trojaner-board.de/51262-a...sicherung.html
Ändere alle Pass- und Kennwörter nach der Neuinstallation.

MFG

Gibt es nicht noch irgentewine andere Lösung den ich habe meinen Pc vor 1. Monat neu gemacht und danach hatte ich schon einen Tr.Vundo und möchte nicht alles neu machen.

sry. für Doppelpost aber habe den Bearbeitungs Button nicht gefunden.
Jetzt ist die Cpu a. wieder normal aber immer wenn ich eine .exe starte kommt das Fenster öfnnen mit.