Kann das ein Trojaner verursachen??
 

Hallo!

Seit zwei Tagen ist unser System fast tot. Jeder Zugriff auf Dateien dauert eine Ewigkeit. Z. B. Word->Datei öffen, dann kann man Minuten warten, bis sich überhaupt die Auswahl öffnet.

Der Task-Manager zeigt eine Auslastung von fast 50% in der Speichernutzung, selbst wenn alle Anwendungen zu sind.
Die CPU-Nutzung zeigt laufend kleine "Spitzen", auch wenn man nichts macht.
zwischendurch wird eine Art Zickzacklinie mit sehr dichten Ausschlägen aufgezeichnet.
PC-Cillin findet nichts, was auf ein Virus hindeutet.

Wer weiß Rat?
Ach ja, auf der Festplatte ist noch Platz, das habe ich überprüft.

Danke Euch!
terra

PS: Da ich nicht sicher bin, ob es Systemproblem ist, ist der Beitrag nochmal unter Windows zu finden. Sorry!

Hallo!

Welches Betriebssystem verwendest du? War vor 2 Tagen etwas besonderes (z.B. neue Soft- oder Hardware...)?

Gibt es einen Prozess, der besonders viel Leistung frisst?

Poste bitte mal ein HijackThis-Logfile und die Antworten auf meine Fragen.

Hallo!

Das sind die Anwendungen, die der Security Task Manager auflistet:

Was richtig groß ist, ist der Trend-Micro mit 26 MB, dann kommt der Internet-Explorer mit 21 MB.

C:\WINNT\htpatch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
d:\Programme\Ahead\InCD\InCDsrv.exe
D:\programme\BlueSoleil\BTNtService.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\Trend Micro\Internet Security\PCClient.EXE
D:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\programme\Siemens CX75\SmartSync\ScheduleSync.exe
D:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
D:\Programme\Trend Micro\Internet Security\tmproxy.exe
D:\Programme\Trend Micro\Internet Security\PccPfw.exe
D:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\nwiz.exe
C:\WINNT\system32\NeroCheck.exe
C:\WINNT\oryxsrv.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
C:\WINNT\system32\nvsvc32.exe
E:\Daten Ablage\HDD Daten\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\OSA9.EXE
D:\programme\BlueSoleil\BlueSoleil.exe
D:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE
D:\Programme\Trend Micro\Internet Security\PCCMAIN.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\NvCpl.dll
C:\WINNT\system32\NvMcTray.dll
C:\WINNT\Logi_MwX.Exe
C:\WINNT\system\cmicnfg.cpl
C:\WINNT\system32\internat.exe
C:\Programme\Security Task Manager\taskman.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\taskmgr.exe

Auch wenn man daraus schon etwas erkennen kann:
Schau' dir mein Posting an und schau' dir deine Antwort an...
Fällt dir was auf?

Sorry, das war vorhin ein "Schnellschuss". :kloppen:

Also Win 2000
Nein, keine besonderen Vorkommnisse.

Copy:
Logfile of HijackThis v1.99.1
Scan saved at 23:21:31, on 21.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
D:\programme\BlueSoleil\BTNtService.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
d:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
D:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
D:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\htpatch.exe
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Ahead\InCD\InCD.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\Trend Micro\Internet Security\pccguide.exe
D:\Programme\Trend Micro\Internet Security\PCClient.exe
D:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\programme\BlueSoleil\BlueSoleil.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
E:\Daten Ablage\HDD Daten\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Daten Ablage\HDD Daten\Programme\WinZip\WINZIP32.EXE
C:\Dokumente und Einstellungen\Moni.W2K\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tariftip.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] d:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [OryxSrv32] C:\WINNT\oryxsrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "D:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "D:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] D:\PROGRA~1\SIEMEN~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: BlueSoleil.lnk = D:\programme\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Daten Ablage\HDD Daten\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {B991DA79-51F7-4011-98D2-1F2592E82A56} (ACNPlayer2 Class) - http://138.108.63.129/ePlayer/V3_2_0_0/ACNePlayer.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\programme\lexware\taxman2004\haufe\HRInstmon.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\programme\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - d:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - D:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - D:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - D:\Programme\Trend Micro\Internet Security\tmproxy.exe

Grüße
terra

Das ist sehr verdächtig. Bitte beende den Prozess C:\WINNT\oryxsrv.exe mit dem Security Task Manager (nur beenden, nicht in Quarantäne stecken) und überprüfe die Datei online auf http://virusscan.jotti.org bzw. http://www.virustotal.com. Poste das jeweils mehrzeilige Ergebnis.

Also das ist wirklich misteriös..

Virustotal sagt:
File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you.
Und Virusscan:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Der Security Task Manager weist übrigens darauf hin:
Error: Das System kann die angegebene Datei nicht finden
und stuft das Programm als nicht aktiv und ungefährlich ein.

And now?? fragte die Cow...

terra

Wenn die Datei tatsächlich nicht mehr vorhanden ist und du sie auch nicht zuordnen kannst (wovon ich ausgehe), muss man vom Schlimmsten ausgehen. Daraus würde ein komplettes Neuaufsetzen des Systems resultieren.

Aufwändiger, unsicherer und mit der evtl. gleichen Schlussfolgerung:
Poste ein Silent-Runners-Logfile und die Ergebnisse eines Scans mit eScan.
Überprüfe das System außerdem mit RootkitRevealer und poste das Ergebnis.

Da kommt Freude auf!!

Aber bitte, was ist das für ein Ding? Ich finde es in keiner Suchmaschine.

Danke
terra

Ach ja, und warum hat der verdammte Trend Micro das Ding nicht erkannt??
Wofür kaufe ich extra ein Programm?

terra

Warum glaubst du, solltest du die Datei überprüfen? ;)
Genau, ich weiß es auch nicht (woher auch, evtl. handelt es sich sogar um einen zufällig generierten Namen).
Es kann praktisch alles Mögliche (gewesen?) sein und genau das ist das Problem. Wenn wir es nicht feststellen können, ist das System nicht mehr als vertrauenswürdig zu betrachten! Weitere Infos dazu gibt's z.B. hier.

Weil kein Virenscanner alles erkennt.

Weil du nicht weißt, was Virenscanner (ist ein anderer Link ;)) prinzipiell leisten können und was eben nicht.


BTW: Verwende in Zukunft bitte den Editieren-Button, wenn du etwas hinzufügen willst.