Hallo erstmal...
Habe seit kurzem den Computer von einem Bekannten und seit (noch) kürzerem macht er mir so einige Probleme
Er läuft extrem langsam(braucht zum Starten von Programmen bis zu 10 min),
bricht Programme ab(weil angeblich nicht genug Speicher vorhanden wäre und auch gern mal Grundlos),
öffnet Programme nur nach mehrfachem "Auffordern",
Die Firewall schaltet sich gern nach belieben ab,
und Avira Antivir Scan funktioniert gar nicht mehr(daher bin ich mir auch nicht sicher ob es Dropper.Gen war)....

Da es sich wie gesagt nicht um meinen eigenen Computer handelt, sondern um den von einem Bekannten und ich noch dazu absolut gar keine Ahnung habe was Viren,Trojaner etc. angeht, habe ich mich nicht getraut eigenmächtig irgendwelche Lösungsvorschläge die ich fand nachzuarbeiten.

Ich hoffe ihr könnt mir hoffnungslos unwissenden und hilflosen Persönchen weiterhelfen.
Danke schon mal im vorraus.

Achso hier auch noch ein Log-File

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:30:23, on 26.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\sol.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\***\Desktop\***\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {935F9B04-0C7B-4454-A391-348C54AD7ADD} (Jolly Bear Games Player) - http://h**p//games.bigfishgames.com/...GamePlayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://h**p://arcade.icq.com/online/...ploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F615E03E-55F6-4C8D-A156-897CF99FE5DE}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4252 bytes

Hallo Nail
Da wirst du wohl wenig Glück haben mit einem Reinigungsversuch.
Da ist die NTOS.EXE drauf. Die hat alle Kennwörter ausgespäht und weitergemeldet.
Eines ist auch komisch und zwar die SOL.EXE im System32 Ordner.
Diese Datei bitte mal bei Virustotal scannen lassen.
Das Ergebnis dann hier komplett posten.

Hallo und

Zitat:

Habe seit kurzem den Computer von einem Bekannten und seit (noch) kürzerem macht er mir so einige Probleme
Er läuft extrem langsam(braucht zum Starten von Programmen bis zu 10 min),
bricht Programme ab(weil angeblich nicht genug Speicher vorhanden wäre und auch gern mal Grundlos),
öffnet Programme nur nach mehrfachem "Auffordern",
Die Firewall schaltet sich gern nach belieben ab,
und Avira Antivir Scan funktioniert gar nicht mehr(daher bin ich mir auch nicht sicher ob es Dropper.Gen war)....

wundert nicht, weil

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

ein Backdoor mit rootkiteigenschaften auf dem System aktiv ist.
Dieser Bösewicht stiehlt alles an Pass und Kennwörtern was ihm in die Quere kommt und sollten von einem sauberen Rechner sofort geändert werden.
Wenn Onlinebanking betrieben werden sollte setzt euch bitte mit der Bank in Verbindung, kontrolliert auch sonstige Konten z.B. PayPal.

Sorry, aber einzig sinnvolle Abhilfe --> http://www.trojaner-board.de/51262-a...sicherung.html

MFG

Hallo @Nochdigger
das ist mit schon klar, das Neu aufgesetzt werden muss. Mich hatte nur die Sol.exe interressiert.

Moin

irgendwie hatte ich wohl noch die Klüsen dicht heut morgen (mag am Wein gestern gelegen haben), ich hab deinen Beitrag völlig übersehen und die von dir genannte Datei auch

Evtl. lässt der TO die Datei ja noch auswerten und postet das Ergebnis damit wir dazu lernen...

MFG

Ohweh gibts denn da keine andere Möglichkeit als das System neu aufzusetzen???
Das wäre nämlich mein größter Albtraum...


Hier noch der Scan von Sol.exe :
Datei sol.exe empfangen 2008.06.26 16:23:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/33 (0%)



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.26.0 2008.06.26 -
AntiVir 7.8.0.59 2008.06.26 -
Authentium 5.1.0.4 2008.06.25 -
Avast 4.8.1195.0 2008.06.26 -
AVG 7.5.0.516 2008.06.26 -
BitDefender 7.2 2008.06.26 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.26 -
DrWeb 4.44.0.09170 2008.06.26 -
eSafe 7.0.17.0 2008.06.25 -
eTrust-Vet 31.6.5907 2008.06.26 -
Ewido 4.0 2008.06.26 -
F-Prot 4.4.4.56 2008.06.25 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.26 -
GData 2.0.7306.1023 2008.06.26 -
Ikarus T3.1.1.26.0 2008.06.26 -
Kaspersky 7.0.0.125 2008.06.26 -
McAfee 5325 2008.06.25 -
Microsoft None 2008.06.26 -
NOD32v2 3221 2008.06.26 -
Norman 5.80.02 2008.06.26 -
Panda 9.0.0.4 2008.06.26 -
Prevx1 V2 2008.06.26 -
Rising 20.50.32.00 2008.06.26 -
Sophos 4.30.0 2008.06.26 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.26 -
TheHacker 6.2.92.362 2008.06.26 -
TrendMicro 8.700.0.1004 2008.06.26 -
VBA32 3.12.6.8 2008.06.26 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.26 -
weitere Informationen
File size: 57344 bytes
MD5...: 2f4c044826ea73ac033d5713ebdfe438
SHA1..: 7128457c734364bcce0c83c8c2c1469f8774d705
SHA256: ccee2c625593c9b44e63e82a0526a97217cb205d51399ec2451b83e03ea5d426
SHA512: 11f02d83c5f8b69704bf03af947d985ebab1d992bda3db7b3c3b3b80951e76fa
3689d746161151b0a87d6657d3c71d9d1dc32a1d6e8f1295cc0648e2d8d5db79
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1005f85
timedatestamp.....: 0x3b7d8480 (Fri Aug 17 20:54:24 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5d2e 0x5e00 6.50 e427f2681b9e08fa6ca241374b489498
.data 0x7000 0x38c 0x200 1.70 21f37eb73f8ceb287391ed1acf7ece84
.rsrc 0x8000 0x8000 0x7c00 5.04 66cb04596f4c7ccea97a46fb6b1a32fb

( 8 imports )
> msvcrt.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, rand, time, srand
> ADVAPI32.dll: RegCreateKeyExW, RegQueryValueExW, RegOpenKeyExA, RegQueryValueExA, RegSetValueExW, RegCloseKey
> KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, MulDiv, lstrlenW, LocalFree, LocalAlloc, GetCommandLineW, GetProcAddress, LoadLibraryA
> GDI32.dll: SetTextColor, SetPixel, LineDDA, BitBlt, CreateCompatibleDC, GetStockObject, GetTextExtentPoint32W, CreateFontW, DeleteDC, TextOutW, PtVisible, SetBrushOrgEx, SelectObject, PatBlt, SetROP2, MoveToEx, LineTo, GetTextMetricsW, DeleteObject, CreateSolidBrush, GetDeviceCaps, CreateCompatibleBitmap
> USER32.dll: SetFocus, RegisterClassW, CopyRect, MoveWindow, DestroyWindow, GetSysColor, EndPaint, BeginPaint, GetDC, ReleaseDC, InvalidateRect, EndDialog, GetDesktopWindow, LoadStringA, ReleaseCapture, GetCapture, SetCapture, PostMessageW, EnableMenuItem, GetMenu, DefWindowProcW, ShowCursor, PostQuitMessage, KillTimer, GetClientRect, IsIconic, LoadAcceleratorsW, UpdateWindow, ShowWindow, SetTimer, CreateWindowExW, AdjustWindowRect, RegisterClassExW, LoadImageW, LoadIconW, RegisterWindowMessageW, LoadCursorW, DispatchMessageW, TranslateMessage, TranslateAcceleratorW, GetMessageW, InvertRect, IntersectRect, MessageBoxW, LoadStringW, SetCursorPos, ClientToScreen, GetKeyState, PtInRect, PeekMessageW, MsgWaitForMultipleObjects, DrawTextW, WinHelpW, CheckDlgButton, IsDlgButtonChecked, EnableWindow, GetDlgItem, CheckRadioButton, DialogBoxParamW, InflateRect, FrameRect
> CARDS.dll: cdtDrawExt, cdtInit, cdtTerm, cdtDraw
> SHELL32.dll: ShellAboutW
> COMCTL32.dll: InitCommonControlsEx

( 0 exports )