Patrick13

Guten Tag.

Mein Freund hat folgende Problem:

1.
Desktop verschwindet in 10 Sekunden Takten!?
2.
Virus Programm meldet:
Troyaniches-Pferd befindet sich auf dem Arbeitsplatz
Virus kan aber nicht entfernt werden.
3.
Über Msn erhalten Verwante eigenartige Links, zusätzlich wird ein Englisches Kommentar dazu geschrieben.
Der vermeidliche Absender wehre mein Freund?

Der Rechner meines Freundes leuft unwarscheinlich langsam obwohl aktueler Software,
könnt ihr meinen Freund helfen???


Lieben Gruß Patrick.

Leonixx

Upps das sieht böse aus. Könnte der MSN Wurm oder ein Backdoor Trojaner sein. Hilfreich wäre zunächst mal ein Hijackthis Logfile. Dann sehen wir weiter.

Gruss Leonixx

julchri

Hallo,

Beim ersten Punkt könnte das an der Grafikkarte liegen.

Er soll mal einen Virenscan im abgesicherten Modus machen. Vorher Systemwiederherstellung deaktivieren, danach wieder aktivieren.

Ein logfile mit HijackThis machen und hier posten.
Danach mit Ccleaner aufräumen und defragmentieren.

P.S. Warum schreibt Dein Freund nicht selbst?

zockerleopold

eigentlich verlangsamt ein backdoor trojaner nicht das ganze system, die dinger sind eigentlich recht unaufällig

Naja da sizt bestimmt mal wieder so ein noob dahinter der sich mit opt**p** usw viren erstellt xDD

TIPower

Backdoor machen den PC langsamer in denen sie hacker crack und viren freien lauf geben und dadurch wird der PC langsamer nach ienen Backdoor hilft nurnoch neu aufsetzten.

Patrick13

Hallo ja mein Freund hat kein Inet imoment wegen dem Virus er wird aber mal eure Tipps anwenden und hier mal das Logfile von ihm:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:04, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
I:\Programme\Metin2_Germany\metin2.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C8CEEA2-4776-4ADD-AD1F-6265F9115A5A} - C:\WINDOWS\system32\qoMdCsPJ.dll
O2 - BHO: (no name) - {33161E98-0A6C-4d3c-BD62-3A7D56137F52} - (no file)
O2 - BHO: (no name) - {4E007A5F-299F-44FC-8B6B-F06B61867A2E} - C:\WINDOWS\system32\pmnlIaxw.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETZWERKDIENST')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Seite mit Google übersetzen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01...s/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1212423524046
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O20 - Winlogon Notify: pmnlIaxw - pmnlIaxw.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6823 bytes

Ostseesand

Hi,

da ist ein bankingtrojaner am werke.
bevor ihr irgendwas fixt, schaut euch folgende datei an auf dem system unter:
C:\Windows\System32
accs.txt
was steht in der accs.txt drin?

wurde die helper.xml erstellt? zeitgleich mit der accs.txt?

spielt dein freund PB?
wenn nicht wurde die C:\WINDOWS\system32\PnkBstrA.exe unerlaubt erstellt und das mit adminrechten.

FixedHDD

lies in den News nach. da steht alles drin zu den dubiosen MSN virussen.

schreib dir raus wo die infizierten dateien sind und bau die festplatte aus und lösche diese über einen anderen PC.
Ich hatte den heute auch gefangen. habe mit Antivir (internet kabel dabei abgesteckt lassen!) nen komplettcheck gemacht und dann die orte der infizierten dateien herausgeschrieben. Dann an einen anderen PC ran und die ddateien gelöscht.

man kann die nicht während des normalen windows betrieb löschen , auch nicht im abgesicherten modus. die schädlichen MSN-dlls verknüpfen sich nämlich auch mit wichtigen prozessen wie der winlogon prozess oder auch die explorer.exe.

Patrick13

Hallo danke erstmal für die Tollen Antowrten.
Ja das dachte ich mir das en Backdoor Programm is.So diese accs.txt gib et nit aber die helper.xml
Zum Schlus kopier ich euch mal in den Inhalt dieser Datei.
Hab nur die FRage was ist PB?????
Lg Patrick

Leonixx

Diese DLL bei Virustotal hochladen und auswerten. Dein Freund kann das auch mit seinem Rechner machen. In den abgesicherten Modus wechseln, dann auf www.virustotal.com und die Datei hochladen. Anschließend Ergebnis posten.

C:\WINDOWS\system32\qoMdCsPJ.dll

Gruss Leonixx