Basket1

Hallo User,
vielleicht könnt Ihr mir ja ein wenig unter die Arme greifen. Mein Rechner ist seit ein par Tagen sehr langsam beim Seitenaufbau im Internet. Das stellt sich so dar das sich die Seite längere Zeit gar nicht aufbaut und dann von ein auf die andere Sek. sehr schnell. Ich hab erst gedacht das läge am DSL Speed aber der ist laut Test in Ordnung. Heute habe ich dann einen Brief von meinem Provider bekomme das von meinem Rechner aus Spammails verschickt werden. Das habe ich nie bemerkt. Wie kann ich das abstellen und wie kann jemand Mails von meinem Rechner aus verschicken. Ist das der Grund für den langsamen Seiteaufbau? Ausser dem langsamen Seitenaufbau läuft der PC völlig normal. Was kann ich hier tun? Wäre dankbar für Eure Hilfe.

Mobin

Mach mal einen HiJackThis scan: HijackThis - Die echte Anleitung

Und poste das Logfile hier rein.

Und was hast du für einen Antivirus?

Basket1

Ich hab AntiVir drauf und lasse auch Spybot durchlaufen. Wenn beides gelaufen ist und ich den Rechner neu gestartet habe gehen die ersten par Seiten sehr schnell oder einfach normal und dann ist das Problem wieder da. Den Log kann ich leider erst heute Abend einstellen da ich zur Zeit nicht zu Hause am Rechner bin.

Edit: Hier nun mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:58:46, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Virtual CD v7\System\VC7Tray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Herbert u. Andrea\Desktop\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [VC7Player] C:\Programme\HHVcdV7Sys\VC7Play.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lto Manager] "C:\Programme\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] D:\sascha 22\RegistryBooster 2\RegistryBooster.exe /S
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn...taller_gmn.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://F:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://F:\components\A9.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1136564017843
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://F:\components\wmvhdrating.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9326947-AD14-40F4-8F4C-1EABE6AB1172}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe

ReinMan

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

5.0\PhotoshopElementsFileAgent.exe (file missing)

Die drei fixxt du bitte. Du markierst sie und gehst auf "fixxed checked".

Zu deinem Problem würde ich dir raten deine Benutzerdaten zu ändern sprich Password und ggf ne neue E-Mail einrichten.

mfsto

Autsch da hats dich erwischt..
Wenn über deinen Pc Spammails verschickt werden heißt es , dass jemand Zugriff auf deinen Pc hat. Diesen hat er sich durch einen Backdoor Trojaner erlangt.
-->Kompromittierung
Die einizige Möglichkeit dieses Problem zu beheben ist dein Rechner zu formatieren.Falls du dies nicht tust , wird dir dein Provider den Internetzugang sperren , bis du das Problem behoben hast.
Die Warnung solltest du wirklich ernst nehmen , sonst ist der Zugang echt bald weg.

Jau da jemand anderes über das Internet Zugriff auf deinen Rechner hat.

@ReinMan

Eine neue Email Adresse hilft da nichts, da es alles über seinen Pc erfolgt

Das Problem ist nicht das Trägerprogramm wieder vom Rechner runterzubekommen, sondern der Schaden der schon angerichtet wurde...
Dadurch konnten Datein manipuliert worden sein, sprich deaktivieren von Antimalwareprogrammen und Softwarefirewalls, Netzwerkfreigaben etc etc...
Das zu finden ist fast unmöglich
Die Software zum weiteren Malware download, fernsteuern des Rechners usw. findet man nicht mehr.
Fest steht,dass du keinerlei Kontrolle mehr über deinen Pc hast und somit die Formatierung die einzige sichere Lösung ist.
Dein Pc kann jetzt als Server für Kinderpornographie oder zur Geldwäsche verwendet werden,Durchführung von DOS-Attacken und und...
Deshalb ist dein Pc wahrscheinlich auch so langsam , da wie schon erwähnt ein Dritter Zugriff hat , nämlich der Programmierer.

Lies dir den Thread durch:
http://www.trojaner-board.de/12154-a...sicherung.html


Für die Zukunft-->
1.)Beim Surfen im Netz genau schauen , was für Seiten du besuchts.
Es gibt Seiten , die manipuliert sind , wodurch automatisch sogenannte Dropper runtergeladen werden .Dieser lädt dann weitere Schädlinge aus dem Netz nach.
Also immer gut aufpassen.
2.) Wenn du Chat Programm wie MSN , ICQ benutzt--> Schon länger geht da der "MSN Virus" umher , d.h du kriegst von Leuten aus deiner Liste die damit infiziert sind automatisch ohne deren Kontrolle Links geschickt , die z.B wiefolgt aussehen: "Hot Pics..." +entsprechender Link
Niemals auf solche Nachrichten eingehen bzw . irgendwas downloaden, wo du nicht weißt , was sich dahinter verbirgt.
3.) Virus Programm bzw. Windows immer aktuell halten -->Updates!!
4.) Regelmäßig VirenScan machen +Programme wie Spybot drüberlaufen laufen lassen..





Mfg

DaPole

lol mfsto



Also wenn das so schlim wie du schreibst, würde ich auch windows neu raufmachen! Alsxo fiormatieren und windows neu ^^

mfsto

Warum hast du das super "Ironie On" jetzt wegeditiert?
Das muss ich mir von dir wirklich nicht gefallen lassen.
Ich opfere hier meine Zeit um Usern zu helfen und muss mir sowas anhören.
Da du dich anscheind auf dem Gebiet Malware gut auskennst ,welche fachspezifische Diagnose würdest du stellen?Der Alkohol wird hier wohl nicht die Lösung sein......
Wie sollen sonst Spammails von seinem Rechner geschickt werden?
Falls die über seine Email versendet werden , hat das wohl kaum was mit dem Provider zu tun.
Falls du die von mir geposteten Links ma angeklickt hast und dir vielleicht sogar ma den Inhalt durchgelesen hast , müsstest du eigentlich die Ursache finden ;( Ja genau ein Backdoor.
Du bist echt ma wieder der lebenden Beweis wieviel Kiddys hier rumgeistern.
Sorry musste sein...
Vielleicht reagiere ich zu sentimental , aber so ein Mist den du da noch gestern stehen hattest ,muss ich mir nicht gefallen lassen.
Diesen urkomischen(Ironie On ) Kommentar hättest du dir echt sparen können...


Mfg