Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner: PC fährt langsam runter u. dann Standby

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.11.2008, 15:57   #1
schwonz
 
Trojaner: PC fährt langsam runter u. dann Standby - Standard

Trojaner: PC fährt langsam runter u. dann Standby



Hallo,

im Folgenden habe ich einen HijackThis Logfile sowie einen Spybot S&D Logfile.
Laut spybot habe ich mir den VIRTUMONDE (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR ) eingefangen.

Auffällig ist, dass mein System anstelle von 5 Sek zum Herunterfahren nun 5 Minuten braucht. Und dann auch nicht ausgeht, sondern nur in den Standby!

Sind diese Symptome für Virtumonde normal und ich kann also wie in anderen Beiträgen beschrieben, vorgehen?


Vielen Dank schonmal.

Hier die Posts der Logs




HijackThis-LogFile
-----------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:44, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Ansys Inc\Shared Files\Licensing\intel\ansyslmd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NX 3.0\License Servers\UGNXFLEXlm\lmgrd.exe
C:\Programme\NX 3.0\License Servers\UGNXFLEXlm\uglmd.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Pinnacle\PCTV Stereo\Vision\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://maschinenbauer-forum.de/hmportal.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.143.132.115:32000
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker\PartyPokerNet\RunPF.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {A567B0E6-7392-4F5F-B556-AD89529185BD} (DopLivePlayer Class) - http://60.28.162.202/dopstreamer.cab
O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{535BE0E8-F8C8-427A-8656-239811F79790}: NameServer = 130.83.22.60,130.83.56.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{B242ADC0-648C-42D8-964B-1E6268383B8B}: NameServer = 130.83.22.60,130.83.56.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware\aawservice.exe
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Unigraphics-Lizenzserver (uglmd) (Unigraphics License Server (uglmd)) - Macrovision Corporation - C:\Programme\NX 3.0\License Servers\UGNXFLEXlm\lmgrd.exe

--




Spybot-LogFile
-------------------------

Virtumonde: [SBI $1F8EC695] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR


--- Spybot - Search & Destroy version: 1.6.0 (build: 20080729) ---

2008-08-14 blindman.exe (1.0.0.8)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-08-14 SDMain.exe (1.0.0.6)
2008-08-14 SDShred.exe (1.0.2.3)
2008-08-14 SDUpdate.exe (1.6.0.9)
2008-08-14 SDWinSec.exe (1.0.0.12)
2008-07-30 SpybotSD.exe (1.6.0.31)
2008-09-16 TeaTimer.exe (1.6.3.25)
2007-09-06 unins000.exe (51.41.0.0)
2008-11-29 unins001.exe (51.49.0.0)
2008-08-14 Update.exe (1.6.0.7)
2008-10-22 advcheck.dll (1.6.2.13)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-10-22 Tools.dll (2.1.6.8)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-11-04 Includes\Adware.sbi (*)
2008-11-25 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-11-18 Includes\Hijackers.sbi (*)
2008-11-18 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-11-18 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-11-18 Includes\Malware.sbi (*)
2008-11-25 Includes\MalwareC.sbi (*)
2008-11-03 Includes\PUPS.sbi (*)
2008-11-25 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-11-25 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-11-04 Includes\Spyware.sbi (*)
2008-11-11 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-11-04 Includes\Trojans.sbi (*)
2008-11-26 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll



--- Startup entries list ---
Located: HK_LM:Run, avgnt
command: "C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
file: C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
size: 266497
MD5: 6E812818306D460D62B4ABEA9FDC6679

Located: HK_LM:Run, FreePDF Assistant
command: C:\Programme\FreePDF_XP\fpassist.exe
file: C:\Programme\FreePDF_XP\fpassist.exe
size: 357376
MD5: 3E5D1B90329F320A49FB993D488E9709

Located: HK_LM:Run, hpfsched
command: C:\WINDOWS\hpfsched.exe
file: C:\WINDOWS\hpfsched.exe
size: 35328
MD5: C96978792C0EC46E639B0007BCE174A8

Located: HK_LM:Run, KernelFaultCheck
command: %systemroot%\system32\dumprep 0 -k
file: C:\WINDOWS\system32\dumprep 0 -k
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:Run, NvCplDaemon
command: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
file: C:\WINDOWS\system32\NvCpl.dll
size: 8491008
MD5: 1A2933669C63064AE04C577ED639DA2C

Located: HK_LM:Run, NvMediaCenter
command: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
file: C:\WINDOWS\system32\NvMcTray.dll
size: 81920
MD5: 818ABCF5E846747C83B09E9530892F3D

Located: HK_LM:Run, nwiz
command: nwiz.exe /install
file: C:\WINDOWS\system32\nwiz.exe
size: 1626112
MD5: EA403BDD9CCB4B3FA6222ADF0434D199

Located: HK_LM:Run, PCLEPCI
command: C:\PROGRA~1\Pinnacle\PPE\ppe.exe
file: C:\PROGRA~1\Pinnacle\PPE\ppe.exe
size: 32768
MD5: 7EAA51B4817D1C5FC0C85E740728A38A

Located: HK_LM:Run, Ptipbmf
command: rundll32.exe ptipbmf.dll,SetWriteCacheMode
file: C:\WINDOWS\system32\ptipbmf.dll
size: 118784
MD5: 8CEADAF5628EDBE232E0C6E905DA77E8

Located: HK_LM:Run, SoundMan
command: SOUNDMAN.EXE
file: C:\WINDOWS\SOUNDMAN.EXE
size: 65024
MD5: 58ADA3BEEFE33FB8E4875A7848B1FAE4

Located: HK_CU:Run, CTFMON.EXE
where: .DEFAULT...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-19...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-20...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, ctfmon.exe
where: S-1-5-21-329068152-1844823847-839522115-500...
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, NVIDIA nTune
where: S-1-5-21-329068152-1844823847-839522115-500...
command: "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
file: C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe
size: 81920
MD5: DA32F8864EFF0B437A7F4BD75FA9A7BA

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-18...
command: C:\WINDOWS\System32\CTFMON.EXE
file: C:\WINDOWS\System32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: Startup (allgemein), Adobe Reader - Schnellstart.lnk
where: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart...
command: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
file: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
size: 29696
MD5: 43362B96870CE8649F4F2EC893DA93F0

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, winrzf32
command: winrzf32.dll
file: winrzf32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!



--- Browser helper object list ---
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Adobe PDF Reader Link Helper
description: Adobe Acrobat reader
classification: Legitimate
known filename: AcroIEhelper.ocx<br>AcroIEhelper.dll
info link: http://www.adobe.com/products/acrobat/readstep2.html
info source: TonyKlein
Path: C:\Programme\Adobe\Acrobat 7.0\ActiveX\
Long name: AcroIEHelper.dll
Short name: ACROIE~1.DLL
Date (created): 18.12.2006 04:16:42
Date (last access): 30.11.2008 16:20:40
Date (last write): 18.12.2006 04:16:42
Filesize: 59032
Attributes: archive
MD5: 4EA3A6CD9D20584FFAFDB1E47DBF0E20
CRC32: 7B0A854F
Version: 7.0.9.50

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: SSVHelper Class
Path: C:\Programme\Java\jre1.6.0_02\bin\
Long name: ssv.dll
Short name:
Date (created): 12.09.2007 23:09:48
Date (last access): 30.11.2008 16:36:30
Date (last write): 12.07.2007 03:00:36
Filesize: 501136
Attributes: archive
MD5: D6137540BDF0F9F9B9055C60ADD8007A
CRC32: 29E910AF
Version: 6.0.20.6



--- Process list ---
PID: 0 ( 0) [System]
PID: 696 ( 4) \SystemRoot\System32\smss.exe
size: 50688
PID: 776 ( 696) \??\C:\WINDOWS\system32\csrss.exe
size: 6144
PID: 840 ( 696) \??\C:\WINDOWS\system32\winlogon.exe
size: 507392
PID: 892 ( 840) C:\WINDOWS\system32\services.exe
size: 108544
MD5: EDB6B81761BD60F32F740BBC40AFB676
PID: 904 ( 840) C:\WINDOWS\system32\lsass.exe
size: 13312
MD5: 183805EB05BCA5A1E4AAAED4D2BE3690
PID: 1068 ( 892) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1136 ( 892) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1224 ( 892) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1288 ( 892) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1384 ( 892) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1592 ( 892) C:\Programme\Ad-Aware\aawservice.exe
size: 611664
MD5: 17067069B9A7865028C1F2E6971D0CCC
PID: 1716 (1700) C:\WINDOWS\Explorer.EXE
size: 1035264
MD5: 22FE1BE02EADDE1632E478E4125639E0
PID: 1844 (1716) C:\WINDOWS\SOUNDMAN.EXE
size: 65024
MD5: 58ADA3BEEFE33FB8E4875A7848B1FAE4
PID: 1972 (1716) C:\WINDOWS\system32\RUNDLL32.EXE
size: 33792
MD5: 9082AD264D95541DDC7CB2AC6513DC0D
PID: 1980 (1716) C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
size: 266497
MD5: 6E812818306D460D62B4ABEA9FDC6679
PID: 1988 (1716) C:\Programme\FreePDF_XP\fpassist.exe
size: 357376
MD5: 3E5D1B90329F320A49FB993D488E9709
PID: 2000 (1716) C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29
PID: 216 ( 892) C:\WINDOWS\system32\spoolsv.exe
size: 57856
MD5: 54E7113A4BD696E430919BCAF5C65E06
PID: 212 ( 892) C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
size: 151297
MD5: 335A142923FE7F97E8C8388ACD067568
PID: 656 (1716) C:\Programme\Skype\Phone\Skype.exe
size: 21755688
MD5: 4BD55DF6374E27416F21CF06CBB2D991
PID: 724 ( 892) C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
size: 909312
MD5: 8EFBE1588C44167C9E6BEA596301AD0F
PID: 732 ( 892) C:\Programme\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
size: 68865
MD5: D6C8942BEA3698A2E7559BD423BFA5D7
PID: 412 ( 892) C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
size: 131072
MD5: C4305F070481199D102F20DAC23E554B
PID: 908 ( 724) C:\Programme\Ansys Inc\Shared Files\Licensing\intel\ansyslmd.exe
size: 987136
MD5: 156E8A8C0953E5245AA4DDA3E5583B2B
PID: 1096 ( 892) C:\WINDOWS\system32\nvsvc32.exe
size: 155716
MD5: 9FE764D5EECCA13B0932FAB81A4A5A6F
PID: 1276 ( 892) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1356 ( 892) C:\WINDOWS\system32\wdfmgr.exe
size: 38912
MD5: C81B8635DEE0D3EF5F64B3DD643023A5
PID: 1432 ( 892) C:\Programme\NX 3.0\License Servers\UGNXFLEXlm\lmgrd.exe
size: 659456
MD5: B29010875E383999761A19247846E345
PID: 1696 (1432) C:\Programme\NX 3.0\License Servers\UGNXFLEXlm\uglmd.exe
size: 806912
MD5: 94C0F0F11B04271DB0CC9394B3B391FE
PID: 2236 ( 656) C:\Programme\Skype\Plugin Manager\SkypePM.exe
size: 76744
MD5: A8D36ADDD1FCD24A450807EE693E4762
PID: 2400 ( 892) C:\WINDOWS\System32\alg.exe
size: 44544
MD5: 6596DD260FFDE1BDC994C1DF236307BB
PID: 2964 (1716) C:\Programme\Mozilla Firefox\firefox.exe
size: 7676528
MD5: D0269B291E8FBB3E16DE398DA57B6C73
PID: 2220 (1716) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 4891984
MD5: 9C8F0F34F66BB845B42F70E92A972B5F
PID: 2368 (1716) C:\Programme\Pinnacle\PCTV Stereo\Vision\Vision.exe
size: 1708032
MD5: 7D1E17F723130D1F2677C6A50A5A96E9
PID: 2468 (1068) C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
size: 73728
MD5: 695D9E52E1BD52D371637BE350356BD5
PID: 2552 (1068) C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
size: 61699
MD5: 52FC3FEB922EE559D3F07FAC7C707703
PID: 2604 (1068) C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
size: 241664
MD5: DAB24403A1B796029E731F8E79AB8106
PID: 4 ( 0) System

Alt 01.12.2008, 15:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PC fährt langsam runter u. dann Standby - Standard

Trojaner: PC fährt langsam runter u. dann Standby



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Antwort

Themen zu Trojaner: PC fährt langsam runter u. dann Standby
0 bytes, 5 minuten, ad-aware, antivir, avira, bho, browser, excel, firefox, helper, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, langsam, licens, location, logfile, mozilla, object, security, software, symantec, system, trojaner, virtumonde, windows, windows xp



Ähnliche Themen: Trojaner: PC fährt langsam runter u. dann Standby


  1. Falsche Weiterleitung, falsche Werbung, Laptop langsam, fährt lange runter
    Log-Analyse und Auswertung - 17.07.2015 (94)
  2. PC bootet in safemode und fährt dann runter
    Log-Analyse und Auswertung - 29.09.2014 (27)
  3. PC bootet in safemode und fährt dann runter
    Alles rund um Windows - 07.09.2014 (1)
  4. Laptop fährt nicht in Standby nach Zuklappen
    Alles rund um Windows - 08.08.2014 (18)
  5. Computer ist langsam, fährt von selbst runter und öffnet von alleine andauernd irgednweclhe Internetseiten unteranderem Virenbekämpfungsprog
    Plagegeister aller Art und deren Bekämpfung - 27.10.2013 (12)
  6. Computer plötzlich langsam und fährt nicht mehr runter ohne den Strom auszuschalten
    Plagegeister aller Art und deren Bekämpfung - 05.10.2013 (7)
  7. Windows Vista ganz langsam, Lüfter läuft (und läuft) PC fährt nicht runter...
    Alles rund um Windows - 27.02.2011 (6)
  8. Laptop (Asus) fährt sich ohne Vorwarnung in Standby -Was tun?
    Netzwerk und Hardware - 09.08.2010 (3)
  9. PC fährt hoch und dann gleich wieder runter
    Alles rund um Windows - 10.02.2010 (1)
  10. 30 Minuten - dann fährt vista runter
    Log-Analyse und Auswertung - 04.02.2010 (2)
  11. PC fährt immer wieder hoch und runter, dann Meldung, dass PC heruntergefahren wird ..
    Log-Analyse und Auswertung - 29.12.2009 (15)
  12. Rechner fährt nicht runter,fährt sehr langsam hoch und laggt zwischendurch
    Log-Analyse und Auswertung - 29.12.2009 (1)
  13. Windows fährt hoch, meldet sich an und fährt sofort wieder runter
    Alles rund um Windows - 27.11.2007 (1)
  14. Laptop fährt von alleine hoch nach Standby! Hilfe!
    Alles rund um Windows - 09.11.2007 (0)
  15. XP fährt sehr langsam runter
    Mülltonne - 23.10.2007 (1)
  16. XP fährt nur gaaanz langsam runter..
    Log-Analyse und Auswertung - 26.08.2005 (3)
  17. Pc fährt hoch, und dann direkt wieder runter.....
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (11)

Zum Thema Trojaner: PC fährt langsam runter u. dann Standby - Hallo, im Folgenden habe ich einen HijackThis Logfile sowie einen Spybot S&D Logfile. Laut spybot habe ich mir den VIRTUMONDE (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR ) eingefangen. Auffällig ist, dass mein System anstelle von - Trojaner: PC fährt langsam runter u. dann Standby...
Archiv
Du betrachtest: Trojaner: PC fährt langsam runter u. dann Standby auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.