Trojaner-Board - PC megalahm durch trojaner!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PC megalahm durch trojaner!!! (https://www.trojaner-board.de/7003-pc-megalahm-trojaner.html)

PC megalahm durch trojaner!!!

hi zusammen,

meine kiste ist so langsam, um ein icon vom desktop zu löschen braucht mein 3,2 GHz, 2 GB RAM etwa 2 minuten :-(
hatte eine trojaner meldung in der datei notepad.exe oder auch notpad.exe, diese habe ich dann beide über netzwerk gelöscht, denn auf dem rechner selbst geht ja so gut wie nichts weil alles 3 jahre dauerd, als ob er auf 1 MHz getaktet wäre.

kann mir jemand helfen, virusscanner haben nichts mehr gefunden seit dem ich die 2 exe dateien gelöscht habe, aber irgendwie scheint trotzdem noch was da zu sein, denn kurz nach dem hochfahren mit XP geht noch alles normal, und dann nach ca. 2 minuten wird alles super lahm.

Bitte hilfe, ich will nicht xp neu aufsetzen müssen.

ok hier das log file, habe schon was entdeckt mit ´deamon` im namen, oder liege ich da falsch? das problem ist nur ich kann nicht kaspersky scannen lassen weil auf der kiste nach ca. 1 minute so gut wie nix mehr geht :-(

Logfile of HijackThis v1.98.2
Scan saved at 13:28:54, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Sophos SWEEP for NT\ICMON.EXE
D:\PROGRA~1\WinZip\winzip32.exe
D:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
C:\DOKUME~1\3D-EDI~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ##################
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\Programme\IntBar\rundlg32.dll
O1 - Hosts: 172.20.1.109 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\Programme\IntBar\rundlg32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\IntBar\rundlg32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterCheck Monitor.LNK = D:\Programme\Sophos SWEEP for NT\ICMON.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {356E71A0-B0F1-4AF7-877C-A4E9B4D6BED5} (RWViewer Control) - [url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C6A8844-B188-40F0-AF50-E207FFC344E3}: NameServer = #################
O17 - HKLM\System\CCS\Services\Tcpip\..\{C09875C1-DFA8-4BBB-97B7-E3376D5E5620}: NameServer = ##########.....

Der Daemon ist nicht gefährlich. Du solltest den CW-Shredder mal durchlaufen lassen, da du dir diesen Schädling eingefangen hast:

http://filepony.de/download-cwshredder/

Fixen solltest du dann, falls noch vorhanden:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\Programme\IntBar\rundlg32.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\Programme\IntBar\rundlg32.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\IntBar\rundlg32.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

danke für die hilfe, es ist echt dringend, aber was nun....

das programme shredder habe ich drüber laufen lassen, ein paar dinge hat er auch removed bzw. geändert, aber was jetzt? wie fixe ich diese anderen zeilen und wie sehe ich ob diese noch so sind wie du geschrieben hast, mit
hijackthis?

so sieht jetzt mein neues logfile aus, meine kiste ist immer noch super lahm, ich glaube nicht das da alles in ordnung ist.

Logfile of HijackThis v1.98.2
Scan saved at 15:28:39, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Sophos SWEEP for NT\ICMON.EXE
D:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
D:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\3D-EDI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ################
R3 - Default URLSearchHook is missing
O1 - Hosts: ######## localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterCheck Monitor.LNK = D:\Programme\Sophos SWEEP for NT\ICMON.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {356E71A0-B0F1-4AF7-877C-A4E9B4D6BED5} (RWViewer Control) - http://www.#####
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C6A8844-B188-40F0-AF50-E207FFC344E3}: NameServer = ###########
O17 - HKLM\System\CCS\Services\Tcpip\..\{C09875C1-DFA8-4BBB-97B7-E3376D5E5620}: NameServer = #####

ist denn dieser eintrag normal:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

puuh, die systemwiederherstellung hats wieder gerichtet, gott sei dank. jetzt läuft die mühle wieder mit richtiger geschwindigkeit :-)

vielen dank auch für die schnelle hilfe hier

cya

NvCPLDaemon gehört zu deiner Nvidia-Karte, darüber brauchst du dir wirklich keine Gedanken zu machen, der Eintrag ist völlig in Ordnung. Entpacke HJT mal in einen eigenen Ordner und führe es dort aus, wegen der Backups.

Fixen (In Hijackthis einen Haken davor machen und "Fix checked" klicken):

R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Hast du die IP-Adressen selber umgeändert oder steht das so bei dir im Log?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = ################
O1 - Hosts: ######## localhost
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C6A8844-B188-40F0-AF50-E207FFC344E3}: NameServer = #######
O17 - HKLM\System\CCS\Services\Tcpip\..\{C09875C1-DFA8-4BBB-97B7-E3376D5E5620}: NameServer = #####

Du hast zwei Virenscanner gleichzeitig laufen, und soweit ich weiss, ist Sophos Sweep nicht für XP gedacht, wieso und seit wann hast du das drauf? Kann mir gut vorstellen, dass das ein wesentlicher Grund für deine Probleme ist.

Troj/StartPa-Y Meldung

jetzt bekomme ich wieder die meldung das ein trojaner gefunden wurde, und zwar: Troj/StartPa-Y ,aber weder escan, cwshredder oder mein normaler virenscanner kann ihn löschen, nur sophos entdeckt ihn und meldet ihn, kann aber nicht auf ihn zugreifen :-(

Mach bitte noch mal ein HJT-Log. Hast du E-Scan im abgesicherten Modus mit der Option, alles zu durchsuchen, gestartet? Wundert mich, dass er nicht gefunden wird, ist aber natürlich möglich.

Wo genau wird dieser Trojaner gemeldet? Bitte präzise schildern!