Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???

salsera1 · 01.06.2008, 20:44

Hallo liebes Trojaner-Board,

hoffe, ihr könnt mir weiterhelfen...

Ich bin leider überhaupt kein Computerspezialist, habe aber einige Probleme die mich vermuten lassen, dass sich ein Trojaner bei mir eingeschlichen hat.

1. viele Programme laufen langsamer
2. Internetseiten lassen sich oft nur langsam laden
3. manchmal kommt es vor, dass mein Bildschirm komplett schwarz wird, nach ein paar Sekunden und Tastaturbetätigung erscheint das Bild wieder
4. im Taskmanager laufen (auch wenn ich wenige Programme geöffnet habe) sehr viele Prozesse, manche doppelt

Ich weiß leider nicht, welche der Prozesse man ohne Bedenken beenden kann und hoffe stark auf eure Hilfe!

Hier das logfile:

#

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:28, on 01.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 5027 bytes
#

Falls ihr etwas Auffälliges entdeckt, sagt mir bitte wie ich das endgültig entfernen kann. (Bitte ganz einfach und deutlich erklärt - thnx!)

DANKE

nochdigger · 01.06.2008, 20:59

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien
(scheinen zusammen zu gehören)

Zitat:

C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\SYSTEM32\fsmgmt.dll

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

salsera1 · 02.06.2008, 08:09

Hallo und vielen Dank erstmal...

so wie es aussieht, sind die beiden Dateien wirklich extremst gefährlich...

Ich poste dir hier die Ergebnisse (den Abschnitt mit den ERgebnissen der Antivirenprogramme wolltest du hier nicht, nur das Letzte mit der Dateigröße sowie die MD5 und SHA1 Angaben, oder?)

für die DAtei C:\WINDOWS\system32\secpol.exe:

Code:

ATTFilter

File size: 17408 bytes
MD5...: 02b1d6643a5f10d9df72f144ecd09ebd
SHA1..: 01b902e86af83a5c7945c4097dbe7e123cc1f00a
SHA256: 1bc68edbf47ae8bc972844e4f86c518fae7a4db975b65850731a0b9e362096f3
SHA512: 798ae91001c04b08c921af2caf54fea461df77b12b9c4edb710301f5d5fb7196
7859d7c39325c967bfea1bd3e689405c03133892b8e90985e5f3bf48f40f14a0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40fa50
timedatestamp.....: 0x4806459b (Wed Apr 16 18:29:47 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x4000 0x3c00 7.86 d0d8ebd008dfbe8b525b2941beb27770
.rsrc 0x10000 0x1000 0x600 3.00 8179fe75b92d6fe6e986f747de826e73

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6F392D49002C43D4448B005F761F6700BC524DB7
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

und für die C:\WINDOWS\SYSTEM32\fsmgmt.dll:

Code:

ATTFilter

File size: 47616 bytes 
MD5...: 528a89874681b02415164f95f23fc9eb 
SHA1..: 9afb39786865b726d8d87fbe5435f99ee0c42c1f 
SHA256: ca55cd391bf72fdf81595d211a1b6993091cd0ab956d1efd9baa448647738464 
SHA512: 6db6addc2961cc7f072d8d75706722542a8e946a555003b277eb5b490aca7b5f
9ab4a87ed28b35b6610593611b74e7c7b6082afaf45a5f6a10b76d84ab38e51d 
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41d114
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xb000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xc000 0x1000 0x400 3.39 083b5e2942a180f969ff0011124ae11b
teq314dn 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xe000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x13000 0xb000 0xa1d6 7.98 b670eae9345b03ae5585e5787c471b57
ia364n7w 0x1e000 0x1000 0x1000 0.08 7bc52eff8140e6291fb9c7d005ac4526

( 0 imports ) 

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1740C81700B472FEBAC100060735BB00F5370B30 
packers (Kaspersky): Execryptor

Wie soll ich jetzt am Besten vorgehen, um die Dateien endgültig zu beseitigen? Und sind die restlichen Dateien unbedenklich gewesen?

Vielen Dank für die Hilfe,

Liebe Grüße

blow-in · 02.06.2008, 11:49

Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.

salsera1 · 02.06.2008, 12:04

Hallo,

Zitat:

Zitat von blow-in

Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.

das hab ich leider falsch verstanden... sorry... Die Datei secpol.exe habe ich schon gelöscht, weswegen ich die Datei nicht nocheinmal durchlaufen lassen kann. Nur tritt sie bei hijack noch immer auf weil ich das noch nicht "gefixt" habe, da ich mir unsicher war (siehe vorheriger Eintrag)

Für die fsmgmt.dll Datei poste ich dir das Ergebnis nocheinmal:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.02	-
AntiVir	7.8.0.26	2008.06.02	TR/Crypt.FKM.Gen
Authentium	5.1.0.4	2008.06.01	W32/Downloader.F.gen!Eldorado
Avast	4.8.1195.0	2008.06.02	-
AVG	7.5.0.516	2008.06.02	Win32/CryptExe.A
BitDefender	7.2	2008.06.02	DeepScan:Generic.PWS.Games.3.662AD07A
CAT-QuickHeal	9.50	2008.05.31	TrojanPSW.WOW.ast
ClamAV	0.92.1	2008.06.02	Trojan.WoW-448
DrWeb	4.44.0.09170	2008.06.02	-
eSafe	7.0.15.0	2008.06.01	-
eTrust-Vet	31.4.5837	2008.05.30	Win32/VMalum.CPDV
Ewido	4.0	2008.06.02	-
F-Prot	4.4.4.56	2008.06.01	W32/Downloader.F.gen!Eldorado
F-Secure	6.70.13260.0	2008.06.02	Trojan-PSW.Win32.WOW.ast
Fortinet	3.14.0.0	2008.06.02	W32/Heuri.AST!tr.pws
GData	2.0.7306.1023	2008.06.02	Trojan-PSW.Win32.WOW.ast
Ikarus	T3.1.1.26.0	2008.06.02	Trojan-PWS.Win32.WOW.aic
Kaspersky	7.0.0.125	2008.06.02	Trojan-PSW.Win32.WOW.ast
McAfee	5307	2008.05.30	PWS-WoW.dll
Microsoft	1.3520	2008.06.02	-
NOD32v2	3151	2008.06.02	a variant of Win32/PSW.WOW.NDJ
Norman	5.80.02	2008.05.30	W32/Wow.DFG
Panda	9.0.0.4	2008.06.02	Trj/WoW.HV
Prevx1	V2	2008.06.02	Malicious Software
Rising	20.47.01.00	2008.06.02	Trojan.PSW.Win32.GamesOnline.tz
Sophos	4.29.0	2008.06.02	Mal/Heuri-E
Sunbelt	3.0.1139.1	2008.05.29	Trojan.Crypt.FKM.Gen
Symantec	10	2008.06.02	Infostealer.Gampass
TheHacker	6.2.92.331	2008.06.02	Trojan/PSW.WOW.ast
VBA32	3.12.6.6	2008.06.01	Trojan-PSW.Win32.WOW.ast
VirusBuster	4.3.26:9	2008.06.01	Packed/Execryptor
Webwasher-Gateway	6.6.2	2008.06.02	Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 46080 bytes
MD5...: f12f3f78bb400b61d08210444be5124e
SHA1..: 7a6ba78ecd8f092455d52494bb057d3465658407
SHA256: 12dc54aa0c9ae2304317365a91a5010cc518181fc27cd1c230031002943418fd
SHA512: 00bc3f7095f10d98c9af0624e3a8133e6bad3caeba3206750b5054b46dd00023
695464cc0f1e91f0c9799bc1733d047bfe41bd6b9096f845fae2faaab436ede2
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41bb08
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1000 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b
teq314dn 0xc000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xd000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x12000 0xa000 0x9bca 7.98 1f0ca7963893af5beac309d009acb9d8
ia364n7w 0x1c000 0x1000 0x1000 0.08 341e662bbca72c30fc72beb1a86f676f

( 0 imports )

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DB4BF152004E5263B4910063FC4DFC00C885BF09
packers (Kaspersky): Execryptor

Was rätst du mir?

LG salsera

blow-in · 02.06.2008, 12:18

Wenn du schon etwas gelöscht hast, ist es nicht verkehrt, wenn du ein neues HJT-Log zeigen würdest.
Zur weiteren Entfernung muss dir dann aber @Nochdigger weiterhelfen.

salsera1 · 02.06.2008, 11:53

Hallo,

ich hab noch ne Frage:

ich möchte die Dateien mit Hijack fixen, die Datei secpol.exe wird aber in einer Zeile mit einer anderen Datei (userinit.exe), die mir unbedenklich erscheint angezeigt. Wenn ich das Häkchen davor mache, wird dann diese Datei mitgelöscht?

So sieht der Eintrag aus:

F2 - REG: system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe,

Bitte gebt mir Bescheid, wie ich das am Besten handhabe... möchte nichts löschen, was man noch braucht...

Danke!

Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???

Log-Analyse und Auswertung: Verlangsamen von Programmen und Laden von Internetseiten... --> Trojaner???