Prosac 10 Geschrieben 17. Dezember 2004 Melden Teilen Geschrieben 17. Dezember 2004 Hallo , ich habe seit 5 Tagen ein Problem an dem ich verzweifle. Vor einer Woche stürzte Photoshop mehrmals täglich ab , was es vorher nicht tat. Ich entschloß mich die Festplatte neu zu formatieren. Nach der Formatierung habe ich WindowsXP Home installiert, anschließend Norman Antivirenprog. habe dann eine Internetverbindung hergestellt , gehe mit T-DSL ins Netz. Anschließend habe ich sämtliche Updates von MS runtergeladen. Spybot S&D sowie Giant Spy und Stinger durchlaufen lassen. Problem : Der Rechner startet seit dem extrem langsam ( 3,5 - 5 Minuten ) Es waren mehre Malware Programme installiert, die man nicht los wird. Windows stockt beim arbeiten und bleibt teilweise hängen. Mir ist eine Datei aim95.exe aufgefallen die 99 % der Prozessorleistung beantsprucht.Durch löschen des Prozesses im Taskmngr. wurde die Geschwindigkeit des Rechners wieder schneller, aber kein Vergleich zu der Normalgeschwindigkeit. Festplatte ein weiteres mal formatiert. Diesmal ohne die Malware, Ablauf und Probleme aber sonst die gleichen. Der Browser ( Firefox ) kann Webseiten teilweise nur mit 5-6 mal refreshen oder garnicht die Seiten anzeigen oder fehlerhaft und unvollständig. Ich bin jede einzelne Sache einzeln durchgegangen nichts hat geholfen, jedesmal wenn ich dachte jetzt ist alles wieder gut, gings am nächsten morgen mit den gleichen Problemen wieder los. Ich verwende einen AMD 2000 mit 512 RAM , Nvidia Networkcontroller, Norman Virus Sandbox, und habe das T-Online Startcenter installiert ( aber auch ohne sind es die gleichen Probleme ) Auch das deinstallieren von Servicepack 2 brachte keine wirkliche Besserung. Die Leute von T-Online sages es wäre ein Virus, was ich selbst allerdings bezweifle, da sich die Probleme schon kurz nach der installiation von XP ohne im Netz gewesen zu sein, einstellen. Ich vermute unnütze Dienste ( obwohl ich die ebenfalls schon abgestellt habe ) ,Netzwerkprobleme mit dem Controller ? Ich weiß es nicht! Kann eventuell jemand einen Tip geben woran es liegen könnte ? Bin über jeden Hinweis dankbar. viele Grüße Susan Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. Dezember 2004 Melden Teilen Geschrieben 17. Dezember 2004 Was sagt das Ereignisprotokoll? Zitieren Link zu diesem Kommentar
Prosac 10 Geschrieben 17. Dezember 2004 Autor Melden Teilen Geschrieben 17. Dezember 2004 Hier mal die Logfiles : Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRAMME\nvc\BIN\NJEEVES.EXE C:\PROGRAMME\nvc\BIN\nvcoas.exe C:\PROGRAMME\Nvc\BIN\nipsvc.exe C:\WINDOWS\System32\aim95.exe C:\PROGRAMME\Nvc\BIN\ZLH.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\wuaurclt.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\PROGRAMME\Nvc\BIN\NYMSE.EXE C:\PROGRAMME\Nvc\BIN\cclaw.exe C:\PROGRAMME\Nvc\BIN\NIP.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Prosac\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie'>http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [*windows update] wuaurclt.exe O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe O4 - HKLM\..\RunServices: [*windows update] wuaurclt.exe O4 - HKLM\..\RunOnce: [AIM95 Startup] aim95.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MS Manager32 Startup] manager32.exe O4 - HKCU\..\Run: [*windows update] wuaurclt.exe O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe O4 - HKCU\..\RunOnce: [AIM95 Startup] aim95.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103143677796 O17 - HKLM\System\CCS\Services\Tcpip\..\{E1EF27A1-E196-4099-A08D-CEEDE6CE7865}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: Norman API-hooking helper - Unknown - C:\PROGRAMME\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown - C:\PROGRAMME\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown - C:\Programme\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\PROGRAMME\nvc\BIN\nvcoas.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Zitieren Link zu diesem Kommentar
Prosac 10 Geschrieben 17. Dezember 2004 Autor Melden Teilen Geschrieben 17. Dezember 2004 Bis auf 8 Einträge sind alle gut bei den 8 sagt die Auswertung : C:\WINDOWS\System32\aim95.exe Unbekannt Unbekannt Laufender Prozess. (aim95.exe) Dies ist ein unbekannter Prozess. C:\WINDOWS\System32\wuaurclt.exe Unbekannt Unbekannt Laufender Prozess. (wuaurclt.exe) Dies ist ein unbekannter Prozess. C:\WINDOWS\System32\RUNDLL32.EXE O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx Gut Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([8E718888-423F-11D2-876E-00A0C9082467] - Treffer: 8E718888-423F-11D2-876E-00A0C9082467) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen. Trefferquote: 99 % O4 - HKLM\..\Run: [*windows update] wuaurclt.exe Böse Böse Zum eingegebenen Programm *windows update haben wir folgendes Programm gefunden: Windows Update.exe. Trefferquote: 35 % (Resultate) Unbedingt fixen! O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe Böse Böse Zum eingegebenen Programm AIM95 Startup haben wir folgendes Programm gefunden: Configuration Loader. Trefferquote: 23 % (Resultate) Unbedingt fixen! O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe Böse Böse Zum eingegebenen Programm AIM95 Startup haben wir folgendes Programm gefunden: Configuration Loader. Trefferquote: 23 % (Resultate) Unbedingt fixen! O4 - HKLM\..\RunServices: [*windows update] wuaurclt.exe Böse Böse Zum eingegebenen Programm *windows update haben wir folgendes Programm gefunden: Windows Update.exe. Trefferquote: 35 % (Resultate) Unbedingt fixen! O4 - HKLM\..\RunOnce: [AIM95 Startup] aim95.exe Böse Böse Zum eingegebenen Programm AIM95 Startup haben wir folgendes Programm gefunden: Configuration Loader. Trefferquote: 23 % (Resultate) Unbedingt fixen! Gut Zum eingegebenen Programm MS Manager32 Startup haben wir folgendes Programm gefunden: Startup. Trefferquote: 24 % (Resultate) Nicht gefährlich aber unnötig. O4 - HKCU\..\Run: [*windows update] wuaurclt.exe Böse Böse Zum eingegebenen Programm *windows update haben wir folgendes Programm gefunden: Windows Update.exe. Trefferquote: 35 % (Resultate) Unbedingt fixen! O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe Böse Böse Zum eingegebenen Programm AIM95 Startup haben wir folgendes Programm gefunden: Configuration Loader. Trefferquote: 23 % (Resultate) Unbedingt fixen! O4 - HKCU\..\RunOnce: [AIM95 Startup] aim95.exe Böse Böse Zum eingegebenen Programm AIM95 Startup haben wir folgendes Programm gefunden: Configuration Loader. Trefferquote: 23 % (Resultate) Unbedingt fixen! Zitieren Link zu diesem Kommentar
Ulrich 10 Geschrieben 17. Dezember 2004 Melden Teilen Geschrieben 17. Dezember 2004 Hallo, der Eintrag für aim95.exe macht mir Kopfweh (AOL Instant Messenger 95). Sieh´ dir mal diesen Link an: http://www.rz.uni-karlsruhe.de/rz/sec/virus/SdBot.html Da steht was darüber (und was damit alles zusammenhängt). AOL installiert sich von der XP-CD? Vorweihnachtliche Grüße von Ulrich Zitieren Link zu diesem Kommentar
Prosac 10 Geschrieben 17. Dezember 2004 Autor Melden Teilen Geschrieben 17. Dezember 2004 Hallo Ulrich, yep, den Artikel hatte ich mir im Vorfeld durchgelesen, die aim95.exe startet sich auch jedesmal neu selbst wenn ich Sie in der Systemkonfiguration ausschalte, beim Neustart isse wieder da. In der Auswertung steht was von fixen, was ist damit gemeint ? Wie soll ich das fixen ? viele Grüße Susan P.S. , ich habe nichts aber auch garnichts von AOL , auch sonst kein Messenger, wo man die aim95.exe anscheinend zu brauch. Ich hatte nach der ersten Formatierung eine Menge Searchbars, Adult Ordner und Bargainmüll , der ist gottseidank wieder weg, nachdem ich die FP das zweitemal formatiert habe. Zitieren Link zu diesem Kommentar
Ulrich 10 Geschrieben 17. Dezember 2004 Melden Teilen Geschrieben 17. Dezember 2004 Hallo Susan, ich denke, wir sind uns einig, dass du einen Trojaner (evtl. mehrere) auf der Platte hast. Dieser schreibt sich immer wieder in die schon von dir erwähnten Dateien und treibt sein lustiges Unwesen (Systembelastung). Was ich nicht verstehe: wenn du die Platte schon formatiert hast, wie kommt dann der Mist wieder auf die Platte? Von welchem Medium aus installierst du? Du formatierst und installierst doch von der XP-HOME-CD? Woher kommen die anderen Programme? Kommt irgendetwas von einer Diskette oder alles ausschließlich von CD? Selbstgebrannte CDs solltest du einmal "entseuchen", also wenigstens überprüfen. Von kommerziellen CDs dürften keine Viren kommen. Kommst du ins Internet? Dann wäre auch ein ONLINE-Virenscanner vielleicht das Richtige. Dieser Link wir dir bestimmt weiterhelfen: http://www.bitdefender.de/bd/site/page.php erst mal Ulrich Zitieren Link zu diesem Kommentar
Prosac 10 Geschrieben 18. Dezember 2004 Autor Melden Teilen Geschrieben 18. Dezember 2004 Hallo Ulrich , also ich lade alle Programme von den CDs die mit dem Computer mitkammen. Das ist ein Siemens Nixdorf Computer wo XP Home als Recovery und Norman Sandbox alles auf 2 Cds mitgeliefert wurde. Gleiches bei der TDS l . Nun habe ich dein Tip befolgt und habe Bitdfefender suchen lassen , Online , und dort finden die 6 Viren , 4 Backdoor Worms, Drei konnte man löschen, die anderen 2 sind immer noch da. Jetzt ist die Performance vom Comp wieder wesentlich besser, aber noch nicht reibungslos. Die bin ich nun los : C:\WINDOWS\system32\.pif: infected with Backdoor.BotGet.FtpB.Gen C:\WINDOWS\system32\c.bat: infected with Backdoor.BotGet.FtpA.Gen C:\WINDOWS\system32\cmd.ftp: infected with Backdoor.BotGet.FtpB.Gen C:\WINDOWS\system32\o: infected with Backdoor.BotGet.FtpB.Gen Die habe ich probeweise mal aus C://Windows/ System gelöscht, kommen aber immer wieder. C:\WINDOWS\system32\wuaurclt.exe=>(FSG 1.33)=>(PECompact 2.38): suspect Exploit.DCOM-RPC.A C:\WINDOWS\system32\wuaurlt.exe=>(FSG 1.33)=>(PECompact 2.38): suspect Exploit.DCOM-RPC.A Die AIM95.exe ist ebenfalls immernoch da und läßt sich nur für einen Moment löschen, ich hatte mich nochmals vergewissert das ich nichts von AOL auf der Platte habe. Ich danke dir auf jeden Fall für deinen Tip, hat mich eine ganze Ecke weitergebracht. vg Susan Zitieren Link zu diesem Kommentar
Ulrich 10 Geschrieben 19. Dezember 2004 Melden Teilen Geschrieben 19. Dezember 2004 Hallo Susan, freut mich, wenn´s deinem Compi wieder besser geht. Den "Rest" bekommst du jetzt noch mit der Knoppix-CD von heise weg (Ausgabe 20/2004). Solltest du da nicht mehr rankommen, schenke ich dir eine zu Weihnachten. (c´t-Knoppicillin = Bootfähiges Mini-Knoppix [LINUX] mit Datenrettungs- und Netzwerkdiagnosefunktion sowie drei Virenscanner-Vollversionen, Kaspersky, F-Secure und Sophos) Grüße von Ulrich Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 19. Dezember 2004 Melden Teilen Geschrieben 19. Dezember 2004 @Prosac Wenn die Prozesse beendet sind, lassen sich die Sachen normal auch löschen. Hast du die scans im abgesicherten Modus laufen lassen? Alles was im abgesicherten Modus davon noch mitgeladen wird, von hand beenden und dann scannen. Das müßte eigentlich reichen. Grüße Cat Zitieren Link zu diesem Kommentar
Prosac 10 Geschrieben 19. Dezember 2004 Autor Melden Teilen Geschrieben 19. Dezember 2004 @ cat Die folgenden Prozesse liessen sich leider nicht beenden ganz im Gegenteil, irgenwie kamen immer mehr O4 - HKLM\..\Run: [*windows update] wuaurclt.exe O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe O4 - HKLM\..\RunServices: [*windows update] wuaurclt.exe O4 - HKLM\..\RunOnce: [AIM95 Startup] aim95.exe O4 - HKCU\..\Run: [MS Manager32 Startup] manager32.exe O4 - HKCU\..\Run: [*windows update] wuaurclt.exe O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe O4 - HKCU\..\RunOnce: [AIM95 Startup] aim95.exe mit der Killbox , konnte ich im agesicherten Modus C:\WINDOWS\System32\aim95.exe und C:\WINDOWS\System32\wuaurclt.exe löschen Das einzigste Programm welches diese Viren (?) gefunden hat war das von Ulrich vorgeschlagene Online Bitdefender. Da ließen sich aber nicht die AIM95 und die wuauclt löschen. Das ging mit Killbox super einfach. Ich bin froh das ich die los bin, danke allen nochmals für die Hilfe. vg Susan mit dem wahrscheinlich schnellsten Comp der Welt :-) Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 19. Dezember 2004 Melden Teilen Geschrieben 19. Dezember 2004 Off-Topic:da hat dein rechner getz umgeschaltet auf wahnwitzige geschwindigkeit :D :p :D das gefühl kenn ichist ja schön, dass getz alles wieder läuftlg Cat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.