Trojaner-Board - Komisch.. Ne kb download rate von 7 und ganz viel Werbung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Komisch.. Ne kb download rate von 7 und ganz viel Werbung (https://www.trojaner-board.de/54549-komisch-ne-kb-download-rate-7-ganz-viel-werbung.html)

Komisch.. Ne kb download rate von 7 und ganz viel Werbung

Hallo
Ich habe meinen Großen man markiert Großen Bruder an meinen Rechner gelassen
Nun hab ich ne Download rate von 5-7 Kb und es öffnen sich immer Übern Firefox Werbung von Flug Anbietern und Handy ANbietern.
und der Rechner ist generell sehr sehr Langsam

Hijackthis Log File

PHP-Code:

   Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:19:06, on 23.06.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 
Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Media Player\wmplayer.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\DynDNS Updater\DynUpSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Steam\Steam.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\Dokumente und Einstellungen\Möller\Desktop\ne menge\HiJackThis.exe

 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1212857731

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: DynDNS Updater - Unknown owner - C:\Programme\DynDNS Updater\DynUpSvc.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - c:\xampp\FileZillaFTP\FileZillaServer.exe (file missing)

O23 - Service: mysql - Unknown owner - C:\Programme\xampplite-win32-1.6.6a\xampplite\mysql\bin\mysqld-nt.exe (file missing)

 
--

End of file - 4384 bytes

Bitte um Hilfe^^
grüsse m0nst3rkill3r

Hallo,
bunte Log`s haben hier sowieso schlechte Karten...
Wenn einer nämlich Zeit für Farbe hat,scheint ihm seine PC-Wehwechen nicht so sehr zu stören...
Warum du das in Codetags gesetzt hast ist auch so eine Frage.....
Ist denn copy und paste zu primitiv für dich...?

Hast du mal deinen Scanner im abgesicherten Modus durchlaufen lassen und ihn vorher einem Update unterzogen..?
Hast du mal deinen Bruder gefragt was er gemacht hat...?
Irrlicht

Im Vergleich zu Deinem vorherigen Logfile findet sich folgende Software.

ICQ Software
Der Messenger
ein MySql Server
Im Vergleich zu Deinem letzten Logfile findet sich
Adobe Acrobat

Schadeinträge sind nicht zu sehen, was aber erstmal nichts bedeuten muss.
Welchen Internet Anbieter / Bandbreite hast Du denn und hat dieser vielleicht eine Störung gemeldet?
Ansonsten kannst Du z.B. Malwarbytes bei Dir laufen lassen und ein Filelist posten.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl :)

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

Das HijackThis Log sollte nicht als Code eingefügt werden. Es nimmt z.B. die Backslashes aus dem Log raus.

Hier Nochmal der Hijackthis Log
Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Kannst Du die Formatierung des Textfiles bitte noch ändern?

Das sollte eine untereinanderstehende Liste sein.

Da hast Du einen formatierten Text verlinkt. :)
Cryptload, so so. :/

[QUOTE=Petra;207058]

===== Punkt 1 =====

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter. (wird von einigen Programmen als schadbehaftet erkannt, bitte zulassen)

Option 1 - Untersuchung

Doppelklicke navilog1.exe, um es auf dem PC zu installieren.
(Wenn Du die Zip Datei heruntergeladen hast, dann doppelklicke diese und mache einen erneuten Doppelklick auf die im Archiv befindende Navilog1.exe)
Wenn die Installation abgeschlossen ist, wird das Programm automatisch starten.
Sollte es nicht automatisch starten, so mache einen Doppelklick auf Navilog1 shortcut auf Deinem Desktop, um es auszuführen.
Drücke E für English im Sprachenmenü
Drücke 1 in dem nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Warte bis der Scan fertig ist (Es könnte etwas länger dauern)
Drücke eine beliebige Taste, wie aufgefordert.
Ein neues Dokument wird erstellt und öffnet sich: fixnavi.txt.
Bitte kopiere/füge den Inhalt dieser Datei in Deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z. B.: "C:\") erstellt.

Bitte benenne die C:\fixnavi.txt in fixnavi_research.txt um, damit die Datei beim zweiten Lauf mit Option 2 nicht überschrieben wird.

Zitat:

Zitat von ^Petra

Option 2 - Entfernung

Doppelklicke auf den Navilog1 Shortcut auf Deinem Desktop, um es auszuführen.
Klicke E für English im Sprachenmenü
Tippe 2 in dem nächsten Menü und drücke Enter.
Das Programm wird Dich dann darauf hinweisen, dass der PC neu gestartet wird.
Schließe alle offenen Fenster und speichere alle offenenen privaten Dokumente, falls diese geöffnet sind.
Falls Dein PC nicht neu startet, mache einen manuellen Neustart.
Wähle Dein normales Benutzerprofil.
Warte auf die *** Cleaning stage complete! *** Nachricht (es könnte etwas länger dauern)
Ein neues Dokument wird erstellt.
Bitte kopiere/füge den Inhalt dieses Dokuments in Deine nächste Antwort ein.
Dein Desktop wird nun wieder erscheinen.

NB : Im Falle eines Desktop-Verlustes, betätige Strg+Alt+Entf und lasse Explorer.exe als einen neuen Task laufen.

Der Bericht wird außerdem im Hauptverzeichnis gespeichert. Bitte ebenfalls hier posten.

Search Navipromo version 3.5.8 began on 23.06.2008 at 13:53:09,03

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Möller"

Updated on 06.06.2008 at 18h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

Favorit

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Möller\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Möller\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Möller\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Möller\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Search files ***

C:\WINDOWS\system32\nvs2.inf found !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-0217F201.pf found !

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Möller\lokale~1\anwend~1" :

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 23.06.2008 at 14:04:09,28 ***

Das war das tolle Programm

Zitat:

WEBMEDIAPLAYER.EXE

Wie verhält sich Dein Rechner jetzt?

jo danke es geht nun besser^^

danke für die Hilfe..
Wisst ihr was dieser "webmediaplayer" sonst noch ausser Werbung öffnen und resourcen fressen tut?

grüsse

ich denke die Werbung ist der Kern der Sache und natürlich Geld verdienen.

okay danke füe eure Hilfe ..
hier kann Geclosed werden^^

grüsse m0nst3rkill3(r)