Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 21.10.2006, 10:33   #1
Peter@mkm
 
System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



Hallo an Alle,

seit einiger Zeit verhält sich mein System relativ merkwürdig, über mehrere Jahre keine Probleme und nun, komischerweise seit ich eine AV Software (F-secure) installiert habe ist der "Wurm" drin.

Die komischen Ereignisse aufgelistet:
Rechner plötzlich extrem langsam, Eingaben und Klicks dauern plötzlich mehrere Sekunden, nach kurzer Zeit wieder alles normal.
Kennwörter die automatisch ausgefüllt wurden, werden nun plötzlich nicht mehr ausgefüllt.
Vor ein paar Tagen hatte ich den uralten Wurm drauf der den Rechner nach 60Sekunden abschaltet.

Im Hijack logfile ist mir besonders die Explorer.EXE (EXE groß geschrieben) aufgefallen, das ist wahrscheinlich irgendwas falsches. Bei Active Ports gesehen das dieser auf Port 1050 im LISTEN Modus läuft, wenn man ihn killt dann ist er weg, beim Windows Neustart aber wieder da. Beim killen ist der Explorer kurz ausgeblendet und dann wieder eingeblendet, sonst passiert nichts!

Ich weiß, System killen und neu aufsetzen, tolles Wochenende, ich würde trotzdem gerne wissen ob euch noch was auffällt um künftige Fehler zu vermeiden und was sonst noch unnötig ist. MSMessenger verwende ich eigentlich nicht, bin deshalb verwundert warum der z.B. auftaucht.

Für Eure Hilfe vielen Dank!

Das Logfile

Logfile of HijackThis v1.99.1
Scan saved at 11:03:45, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
C:\PROGRA~1\MOBILE~2\bin\SCfgSrv.exe
c:\programme\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
C:\PROGRA~1\MOBILE~2\bin\DESPROXY.exe
C:\PROGRA~1\MOBILE~2\bin\SPHONE~1.EXE
C:\PROGRA~1\MOBILE~2\bin\SCONTA~1.EXE
C:\PROGRA~1\MOBILE~2\bin\MESSAG~1.EXE
C:\PROGRA~1\MOBILE~2\SMARTS~1\xtndpc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Peter M. Moosmüller\Desktop\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Matrox PowerDesk 8] "c:\Programme\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~2\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe" /devicetypehilips
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Mobile Phone Manager.lnk = C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: HushEncryptionEngine - hxxps://mailserver2.hushmail.com/shared/HushEncryptionEngine.cab
O16 - DPF: {xxxxxxxxxxxxxx-8165-E47AB2EAEFE8} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1024_EN_XP.cab
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (eAssist NetAgent Customer ActiveX Control version 3) - hxxp://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - hxxp://cm4all01.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - hxxp://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - hxxp://wwx.tradesignalonline.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2) - hxxps://www.xxxxxxxxxxxxxxx4203-i586-p.exe
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - hxtp://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6E3EBE-2D87-4D47-ADE9-8A5CDD62267E}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{67CD6777-CAAF-42F9-AEB5-8A525D2DF5FA}: NameServer = 217.237.151.97,194.25.2.129,194.25.2.130,194.25.2.131,194.25.2.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{A555D776-F492-4261-949E-AB685F6CB9A0}: NameServer = 217.237.150.33,194.25.2.129
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe

Alt 21.10.2006, 11:31   #2
Rene-gad
 
System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



@Peter@mkm
Zitat:
komischerweise seit ich eine AV Software (F-secure) installiert habe ist der "Wurm" drin.
Scheinbar war der Wurm doch schon drin, blieb aber bislang unentdeckt. Was für AV-Programm hattest du gehabt, bevor du dich für F-Secure enschieden hast?
BTW: IMHO ist F-Secure für Privatanwender etwas schwerfällig.
Zitat:
C:\WINDOWS\System32\tlntsvr.exe
Es scheint, ein Backdoor-Trojaner zu sein: http://www.avira.com/de/threats/sect...gent.jh.1.html
Was meldet F-Secure denn? Wo und Was findet er (noch)?
__________________


Alt 21.10.2006, 16:18   #3
Peter@mkm
 
System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



vorher hatte ich keine AV Software die im Hintergrund gelaufen ist, sondern nur regelmäßig Ad-Aware laufen lassen.

F-Secure findet nichts! Meldet auch nichts!
Eine Datei übersprungen sagt er??? Sonst gar nix!

tlntsvr.exe öffnet auch einen Port mhmmm

kann man den irgendwie testen ob jemand über diesen Weg irgendwelche Daten schon bekommen hat?
__________________

Alt 21.10.2006, 16:23   #4
Rene-gad
 
System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



@Peter@mkm
Zitat:
vorher hatte ich keine AV Software die im Hintergrund gelaufen ist
Das war mutig!
Zitat:
Eine Datei übersprungen sagt er???
Welche denn?
Zitat:
kann man den irgendwie testen ob jemand über diesen Weg irgendwelche Daten schon bekommen hat?
Nein. Aber man soll in dem Fall in dubio contra reo entscheiden, d.h. mit Schlimmsten rechnen.

Alt 21.10.2006, 16:23   #5
Sunny
Administrator
> Competence Manager
 

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



Zitat:
Zitat von Peter@mkm
tlntsvr.exe öffnet auch einen Port mhmmm
Diese Datei gehört zu Microsoft und ist O.K. besser gesagt ist sie das "Windows system Telnet server relay file".


Gruß
Sunny

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 21.10.2006, 16:36   #6
Rene-gad
 
System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



Zitat:
Zitat von [Gc]Sunny
Diese Datei gehört zu Microsoft und ist O.K.
Das Dumme ist hier nur, dass TelNet-Protokoll lt. Wikipedia, ist heutzutage kaum verwendbar. Bei meinem Windows XP gibt es diese Datei gar nicht. Ratsam wäre, die bei www.virustotal.com zu überprüfen.

Alt 21.10.2006, 16:44   #7
Sunny
Administrator
> Competence Manager
 

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Standard

System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?



Ich würde die Datei sicherlich auch erstmal auswerten lassen um auf Nummer sicher zu gehen.

Zitat:
Bei meinem Windows XP gibt es diese Datei gar nicht.
Bei mir exitiert diese Datei allerdings schon, aber wie schon gesagt, die Datei kann dafür missbraucht werden um einen zufälligen TCP-Port zu öffen um somit Backdoor Funktion zur Verfügung zu stellen.

Aber trotzdem Danke für die Kontrolle Rene-gad
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?
adobe, bho, dateien, desktop, document, einstellungen, excel, extrem langsam, f-secure, fehler, fritz!, google, hijack, hijackthis, internet, internet explorer, langsam, logfile, mehrere, microsoft, neu aufsetzen, neustart, programme, sekunden, software, system, vielen dank, warum, windows, windows xp, wurm, wörter, yahoo



Ähnliche Themen: System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?


  1. Symantec-Meldung "NTOSKRNL.EXE", System bootet auch deutlich langsamer
    Log-Analyse und Auswertung - 20.05.2015 (15)
  2. Plötzlich Software "picexa.exe" installiert, "delta-homes.com" als Startseite in sämtlichen Browsern
    Log-Analyse und Auswertung - 10.04.2015 (11)
  3. Windows 7 PRO, SP1 wird zunehmend langsamer! Gefunden "DealPly", "HideIcon" und andere
    Log-Analyse und Auswertung - 06.11.2013 (19)
  4. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  5. Spyhunter 4 wegen "System care Antivirus" runtergeladen wie werde ich es wieder los
    Plagegeister aller Art und deren Bekämpfung - 10.05.2013 (10)
  6. GVU Trojaner Mai 2013 gelöscht, System wieder "clean" ?
    Log-Analyse und Auswertung - 08.05.2013 (7)
  7. wie werde ich "System Progressive Protiction" wieder los?
    Plagegeister aller Art und deren Bekämpfung - 19.10.2012 (1)
  8. Trojan:Win32/Bumat!rts von alter HD "eingefangen"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (10)
  9. "System Check" - Virus, wie werde ich ihn wieder los
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (23)
  10. Infiziert mit "System Check" - System wieder in Ordnung?
    Log-Analyse und Auswertung - 01.03.2012 (24)
  11. und wieder ein " aus sicherheitsgründen wurd eihr system gesperrt"
    Log-Analyse und Auswertung - 16.02.2012 (5)
  12. "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert" auf WinXP - System wieder in Ordnung?
    Log-Analyse und Auswertung - 18.01.2012 (17)
  13. Nicht sicher, ob PC nach "System Fix" Entfernung wieder "sauber"
    Log-Analyse und Auswertung - 07.01.2012 (18)
  14. Rechner langsamer; bei Prozessen erscheint "dwm.exe", verschwindet wieder, erscheint erneut
    Plagegeister aller Art und deren Bekämpfung - 16.09.2011 (7)
  15. Virus oder Wurm " Perflib_Perfdata_1cc " & " Perflib_Perfdata_228 "
    Log-Analyse und Auswertung - 23.08.2010 (23)
  16. Trojaner "TDSS" / Antivirus 2009 Spyware -Ist das System jetzt wieder sauber???
    Log-Analyse und Auswertung - 15.02.2009 (3)
  17. Alter Schwede snyggast.se, oldgames.se und google suche "george bush idiot"
    Log-Analyse und Auswertung - 11.01.2005 (6)

Zum Thema System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? - Hallo an Alle, seit einiger Zeit verhält sich mein System relativ merkwürdig, über mehrere Jahre keine Probleme und nun, komischerweise seit ich eine AV Software (F-secure) installiert habe ist der - System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg?...
Archiv
Du betrachtest: System plötzlich "merkwürdig"! langsamer, alter Wurm wieder da, Passwörter weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.