Trojaner-Board - Internet extrem langsam trotz guter Verbindung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Internet extrem langsam trotz guter Verbindung (https://www.trojaner-board.de/99165-internet-extrem-langsam-trotz-guter-verbindung.html)

Wenn es deinstalliert ist, einfach ignorieren die Meldung.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Seccenter::

AV: Kaspersky Security Suite CBE *Enabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Security Suite CBE *Enabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-
 

Driver::

mailKmd

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hier ist sie
:kaffee:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER log ist angehängt

edit

und Osam

und hier noch MBR

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Professional

Windows Information:                Service Pack 3 (build 2600)

Logical Drives Mask:                0x0000000c
 

Kernel Drivers (total 137):

  0x804D7000 \WINDOWS\system32\ntoskrnl.exe

  0x80701000 \WINDOWS\system32\hal.dll

  0xF7BE5000 \WINDOWS\system32\KDCOM.DLL

  0xF7AF5000 \WINDOWS\system32\BOOTVID.dll

  0xF7695000 ACPI.sys

  0xF7BE7000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xF7684000 pci.sys

  0xF76E5000 isapnp.sys

  0xF7AF9000 compbatt.sys

  0xF7AFD000 \WINDOWS\system32\DRIVERS\BATTC.SYS

  0xF7CAD000 pciide.sys

  0xF7965000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xF7666000 pcmcia.sys

  0xF76F5000 MountMgr.sys

  0xF7647000 ftdisk.sys

  0xF7BE9000 dmload.sys

  0xF7621000 dmio.sys

  0xF7B01000 ACPIEC.sys

  0xF7CAE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS

  0xF796D000 PartMgr.sys

  0xF7705000 VolSnap.sys

  0xF7609000 atapi.sys

  0xF7533000 iaStor.sys

  0xF7715000 disk.sys

  0xF7725000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xF7513000 fltmgr.sys

  0xF7501000 sr.sys

  0xF74EA000 KSecDD.sys

  0xF745D000 Ntfs.sys

  0xF7430000 NDIS.sys

  0xF7416000 Mup.sys

  0xF77C5000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xF5A4C000 \SystemRoot\system32\DRIVERS\igxpmp32.sys

  0xF5A38000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xF5A10000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xF59D4000 \SystemRoot\system32\DRIVERS\yk51x86.sys

  0xF7A35000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0xF580E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xF7A3D000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xF77D5000 \SystemRoot\system32\DRIVERS\EMS7SK.sys

  0xF57FA000 \SystemRoot\system32\DRIVERS\sdbus.sys

  0xF77E5000 \SystemRoot\system32\DRIVERS\ESD7SK.sys

  0xF7069000 \SystemRoot\system32\DRIVERS\CmBatt.sys

  0xF77F5000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xF7A45000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xF57CA000 \SystemRoot\system32\DRIVERS\SynTP.sys

  0xF7C19000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xF7A4D000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xF7805000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xF7815000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xF7825000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xF57A7000 \SystemRoot\system32\DRIVERS\ks.sys

  0xF7A55000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys

  0xF5794000 \SystemRoot\system32\DRIVERS\avfwim.sys

  0xF7CF2000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xF7835000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xF705D000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xF577D000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xF7845000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xF7855000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xF7A5D000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xF576C000 \SystemRoot\system32\DRIVERS\psched.sys

  0xF6248000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xF7A65000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xF7A6D000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xF573C000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xF6238000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xF7C1B000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xF56DE000 \SystemRoot\system32\DRIVERS\update.sys

  0xF7B9D000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xF7895000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xA3000000 \SystemRoot\system32\drivers\RtkHDAud.sys

  0xA2FDC000 \SystemRoot\system32\drivers\portcls.sys

  0xA4FC6000 \SystemRoot\system32\drivers\drmk.sys

  0xA2F09000 \SystemRoot\system32\DRIVERS\smserial.sys

  0xA87B9000 \SystemRoot\System32\Drivers\Modem.SYS

  0xA4FB6000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xA81EB000 \SystemRoot\System32\Drivers\i2omgmt.SYS

  0xF7C7B000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xA41CC000 \SystemRoot\System32\Drivers\Null.SYS

  0xF7C7D000 \SystemRoot\System32\Drivers\Beep.SYS

  0xA49DB000 \SystemRoot\System32\drivers\vga.sys

  0xF7C7F000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF7C81000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xA49D3000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xA49CB000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xA81E7000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xA2EAE000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xA2E55000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xA2E2D000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xA2E07000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xA2DEF000 \SystemRoot\system32\DRIVERS\avfwot.sys

  0xA4FA6000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xA4966000 \SystemRoot\System32\drivers\ws2ifsl.sys

  0xA2DA5000 \SystemRoot\System32\drivers\afd.sys

  0xA4F96000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xA49C3000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0xA2D7A000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xA2D0A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xA4962000 \SystemRoot\System32\Drivers\Hotkey.SYS

  0xA4F66000 \SystemRoot\System32\Drivers\Fips.SYS

  0xA49BB000 \SystemRoot\System32\Drivers\BTHUSB.sys

  0xA2CC7000 \SystemRoot\System32\Drivers\bthport.sys

  0xA49AB000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xA4636000 \SystemRoot\system32\DRIVERS\rfcomm.sys

  0xA3CAA000 \SystemRoot\system32\DRIVERS\BthEnum.sys

  0xA2CAE000 \SystemRoot\system32\DRIVERS\bthpan.sys

  0xA4626000 \SystemRoot\system32\DRIVERS\bthmodem.sys

  0xA2C88000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0xA046F000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys

  0x9D36B000 \SystemRoot\System32\Drivers\Udfs.SYS

  0x9D295000 \SystemRoot\System32\Drivers\dump_iaStor.sys

  0xBF800000 \SystemRoot\System32\win32k.sys

  0x9E0EA000 \SystemRoot\System32\drivers\Dxapi.sys

  0x9DE77000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xA3461000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF024000 \SystemRoot\System32\igxpgd32.dll

  0xBF012000 \SystemRoot\System32\igxprd32.dll

  0xBF04E000 \SystemRoot\System32\igxpdv32.DLL

  0xBF1D8000 \SystemRoot\System32\igxpdx32.DLL

  0xBF453000 \SystemRoot\System32\ATMFD.DLL

  0x9D280000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0xAA6D3000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0x9D243000 \SystemRoot\system32\drivers\wdmaud.sys

  0xA9ED5000 \SystemRoot\system32\drivers\sysaudio.sys

  0xF77B5000 \SystemRoot\system32\DRIVERS\secdrv.sys

  0x9CDB3000 \SystemRoot\system32\DRIVERS\srv.sys

  0x9C759000 \SystemRoot\System32\Drivers\HTTP.sys

  0xA87C9000 \??\C:\cofi\catchme.sys

  0x9F221000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS

  0x9C47C000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xA45A6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0x9CBAF000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0x9C434000 \??\C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\ugtdypod.sys

  0x9C267000 \SystemRoot\system32\DRIVERS\NETw3x32.sys

  0x7C910000 \WINDOWS\system32\ntdll.dll
 

Processes (total 46):

       0 System Idle Process

       4 System

    1988 C:\WINDOWS\system32\smss.exe

     712 csrss.exe

     876 C:\WINDOWS\system32\winlogon.exe

     972 C:\WINDOWS\system32\services.exe

     984 C:\WINDOWS\system32\lsass.exe

    1176 C:\WINDOWS\system32\svchost.exe

    1280 svchost.exe

    1376 C:\WINDOWS\system32\svchost.exe

    1552 svchost.exe

    1584 svchost.exe

    1928 C:\WINDOWS\system32\spoolsv.exe

    2020 C:\Programme\Avira\AntiVir Desktop\sched.exe

     844 C:\WINDOWS\system32\svchost.exe

     708 C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe

    1456 C:\Programme\Avira\AntiVir Desktop\avguard.exe

    1192 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

    1708 C:\Programme\Launch Manager\WButton.exe

    1728 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

    1860 C:\WINDOWS\sm56hlpr.exe

    2012 C:\WINDOWS\RTHDCPL.EXE

    2028 C:\Programme\Launch Manager\LaunchAp.exe

     140 C:\WINDOWS\system32\hkcmd.exe

     144 C:\Programme\Launch Manager\HotkeyApp.exe

     180 C:\WINDOWS\system32\rundll32.exe

     356 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

     200 C:\Programme\Avira\AntiVir Desktop\avgnt.exe

     516 C:\Programme\iTunes\iTunesHelper.exe

     476 C:\Programme\Bonjour\mDNSResponder.exe

    1732 svchost.exe

    1944 C:\Programme\Avira\AntiVir Desktop\avshadow.exe

    1680 C:\Programme\Java\jre6\bin\jqs.exe

     836 C:\WINDOWS\system32\svchost.exe

    2772 C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

    2476 C:\Programme\Avira\AntiVir Desktop\avmailc.exe

    3400 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe

    3056 C:\Programme\iPod\bin\iPodService.exe

    3268 alg.exe

    3316 C:\WINDOWS\system32\svchost.exe

     340 C:\WINDOWS\explorer.exe

    3980 C:\WINDOWS\system32\ctfmon.exe

    2456 C:\Dokumente und Einstellungen\Fabian Küller\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe

     964 C:\Dokumente und Einstellungen\Fabian Küller\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe

    2348 C:\Dokumente und Einstellungen\Fabian Küller\Desktop\osam.exe

    2788 C:\Dokumente und Einstellungen\Fabian Küller\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
 

PhysicalDrive0 Model Number: FUJITSUMHV2060BH, Rev: 00000029
 

      Size  Device Name          MBR Status

  --------------------------------------------

     55 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
 
 

Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Zwei infizierte Dateien gefunden mit maleware

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 6608
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11
 

18.05.2011 13:17:24

mbam-log-2011-05-18 (13-17-24).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 248072

Laufzeit: 1 Stunde(n), 32 Minute(n), 50 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\Qoobox\quarantine\C\cleanup.exe.vir (Trojan.AVKiller) -> Quarantined and deleted successfully.

c:\system volume information\_restore{1a80b0dd-d8fe-425e-adb0-a6c330120b05}\RP515\A0110733.exe (Trojan.AVKiller) -> Quarantined and deleted successfully.

SInd nur Überreste. 1x in der Systemwiederherstellung, 1x im isolierten Q-Ordner von Combofix. Harmlos.

oh gut, antispyware läuft seit zwei Stunden :kaffee:
Log folgt

Code:

SUPERAntiSpyware Scann-Protokoll

hxxp://www.superantispyware.com
 

Generiert 05/18/2011 bei 03:38 PM
 

Version der Applikation : 4.52.1000
 

Version der Kern-Datenbank : 7080

Version der Spur-Datenbank : 4892
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 02:04:06
 

Gescannte Speicherelemente  : 516

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 7223

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 94464

Erfasste Datei-Elemente   : 0

SOnst keine Funde. Rechner wieder ok?

ja läuft bestens - lediglich das Desktop ist etwas überfüllt :daumenhoc

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hab ich jetzt alles gemacht.

Hab aber noch zwei Probleme
- vom Desktop einfach alles löschen bzw. über Software?
- Anmeldung hier im Forum...ich geb meine Daten ein und werde entsprechend begrüßt, bin dann jedoch nicht eingeloggt und kann nicht schreiben. Das gleiche Problem hab ich in einem anderen Forum in dem ich schreibe. Jetzt nach 15 Versuchen kann ich schreiben - weiß nicht wo der Fehler liegt :wtf: Könnte es daran liegen dass ich mit dem SurfStick online bin? Kommt mir so vor als ob seit dem das Problem besteht.

Danke