|
rechner langsam und progs hängen sich auf ... grüß euch! zum glück hab ich euch gefunden und ich hoffe, dass ihr mir helfen könnt. folgendes problem: ich denke, dass ich durchs surfen irgendetwas eingefangen habe. seit ca. zwei wochen läuft mein rechner nicht so einwandfrei und schnell wie vorher. wenn ich programme wie outlook express, winzip, winamp etc. starte kann es passieren, dass sich die programme aufhängen und ich sie "sofort beenden" muss, damits wieder weitergeht. außerdem bleibt im mozilla, wenn ich etwas downloade, der ladebalken am schluß hängen, und ich muss auch meinen browser "sofort beenden". es läuft eigentlich alles sehr behebig und die geschwindigkeit meiner internetverbindung ist alles andere als schnell (trotz chello = kabel). hier mein hijackthis.log : Logfile of HijackThis v1.99.1 Scan saved at 21:07:28, on 29.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\TFNF5.exe C:\Programme\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\00THotkey.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\System32\TPSMain.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe C:\WINDOWS\System32\TPSBattM.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Winamp\Winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\mswin.pif C:\WINDOWS\system32\RAMASST.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\smss.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\WISPTIS.EXE C:\Dokumente und Einstellungen\name\Eigene Dateien\_system\programme\virenreiniger\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MS Sys Security] mswin.pif O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MS Sys Security] mswin.pif O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe wisst ihr vielleicht einen rat? ich bin jedenfalls ratlos ... lg martin |
Hi, da ich glaube, daß Du den hier draufhast, solltest Du die Datei: C:\WINDOWS\smss.exe bei Jotti online scannen lassen. Beende vorher allerdings den Prozess. Und bereite Dich auf ein Neuaufsetzen des Systems vor. Poste die Ergebnisse von Jotti. cacatoa |
Hallo martin_77, prüfe folgende Datei auch mal bei Jotti: C:\WINDOWS\System32\mswin.pif Teile ebenfalls das Ergebnis mit. dartus Hi cacatoa :daumenhoc |
Servus dartus! :party: Hatte mich auf die smss.exe beschränkt, weil ich denke, daß wir uns weiteres suchen sparen können... cacatoa Edit: Uups, da ist ja doch einer gewaltig dran. Denke mal, Du hast den hier gemeint. Halte das für gesichert. Wird ohne Neuaufsetzen nicht gehen. |
Hallo cacatoa, da hat doch glatt mein google versagt tztztz. :confused: dartus |
danke für die schnelle antwort. "neu aufsetzen !!!" huch, bitte nein. ich will nicht. nein!!! :heulen: okay, ich muß es ertragen wie ein mann :pukeface: zu euren tipps: der taskmanager läßt sich nicht öffnen. d.h. ich kann die smss.exe nicht beenden. habe es aber trotzdem versucht, die datei richtung jotti zu senden. aber irgendwie sendet er schon seit einigen minuten und es tut sich nix. und die mswin.pif finde ich nicht unter "system 32". ah halt, jetzt ist grad eine meldung aufgetaucht "warnung: keine daten gefunden". bezieht sich wahrscheinlich auf das jotti-vorhaben ... wie kann ich sonst noch den smss-prozess beenden? lg martin |
Hallo martin_77, Du hast min. einen aktiven Trojaner mit Backdoorfunktionalität in Deinem System. Eine Neuinstallation ist zu Deiner eigenen Sicherheit unumgänglich, um wieder ein vertrauenswürdiges System zu besitzen. http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
danke. jetzt weiß ich was ich am wochenende mache. hab ja sonst nix besseres zu tun ;) d.h. wenn ich den rechner neu aufsetze, sind die probleme beseitigt und ich kann ein jungfräuliches system neu einrichten? ich melde mich, und geb bescheid, wie es ausgegangen ist ... wahrscheinlich komm ich aber zwischenzeitlich auf eure hilfe zurück ;) gute nacht. |
hallo! ich habe versucht den rechner nach eurer anleitung neu aufzusetzen. mittlerweile habe ich den 3. missglückten versuch unternommen, um den rechner wieder sauber zu bekommen. d.h. das neuaufsetzen funktioniert nicht. es sollte zwar die festplatte formatiert werden und damit alle daten verlorengehen, aber der virus/trojaner ist noch immer da. der pc macht die selben faxen wie vor der neuinstallation. wie kann ich diese befallene festplatte ein für alle mal vom virus befreien? zur info: der patient ist ein notebook mit einer festplatte und einem cd/dvd-laufwerk und läuft mit windows xp (wenn er mal läuft ...). ich will einfach nur "format c:" - und hoffe auf eine erleuchtung ... lg martin |
Also, damit ich das richtig verstehe: Du hast die WindowsCD reingeschoben und von eben dieser gebbotet, dann hast du alle vorhandenen Partitionen gelöscht (das mußt du auch machen), die neuen Partitionen erstellt und formatiert und anschließend Windows installiert? Du hast auch dein System vernünftig abgesichert und hast erst danach eine Inet-Verbindung aufgebaut? |
ja genau. ich bin eigentlich genau der anleitung, die in diesem board zu finden ist, gefolgt. einmal mit der vom hersteller bereitgestellten recovery-cd und ein anderes mal mit einer normalen windows xp-cd. zum absichern des systems bin ich gar nicht mehr gekommen, denn die probleme, die ich vorher hatte, haben sich nicht gelöst. da gibts zum beispiel die berühmte meldung, dass plötzlich erscheint und ankündigt den rechner in 60 sekunden herunterzufahren. außerdem kommt es vor, dass der rechner hängt, und nur mit gewalt abzuschalten ist. allerdings habe ich drei vermutungen, wie sich der virus trotzdem hartnäckig halten kann: 1. beim löschen der einzigen partition c, bemerkte ich darunter in der liste einen unpartitionierten bereich mit 8 mb. den hab ich nicht gelöscht, weil ich nicht wusste ob es das toshiba-notebook braucht... steckt dort der hundianer? 2. nachdem ich das internetkonto angelegt habe, öffnete ich die mozilla-seite, um mir deren browser zu installieren. das sind aber sichere websites, die keine trojaner schicken sollten, oder? 3. oder genügt es online zu sein, um die probleme zu "reaktivieren"? d.h. merkt sich der "verbrecher" meine ip-adresse und bombardiert so mich mit infizierten dateien? aber bei einem chello-anschluß (kabel) wechselt doch die ip-adresse jedesmal bei einem einstieg ins internet? was soll ich tun? kann es nicht sein, dass sich infizierte datein auf einer festplatte verstecken und so das normale "neuaufsetzen" schadlos überstehen oder sich reproduzieren? ich hoffe es war irgendwie verständlich geschildert ... |
da haben wir ja das Problem,du warst im Internet, ohne das du dein system abgesichert hast. Das System muß vollständug gepatcht sein, bevor du dich mit dem Internet verbindest. Netzwerkwürmer verbreiten sich über Schwachstellen, die durch das SP" und anschliessende Updates behoben sein sollten. Und um dir so einen zu fangen, genügt es mit dem Internet verbunden zu sein. In deinem Fall heißt das, System nochmal aufsetzen,absichern und erst dann ins Internet. |
Hallo, Zitat:
Es wird im Internet permanent nach Computern gesucht die nicht gesichert sind, und diese dann angegriffen, dafür muss kein Browser geöffnet sein. Also du stöpselt dieses mal dein LAN Kabel zum Modem ab, bis du SP2 installiert und alle anderen Vorkehrungen getroffen hast, erst dann stöpselst du das Kabel wieder ein. Dann sollte eigentlich nichts mehr passieren. @cronos da warst du wohl schneller :party: Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board