Troyaner im Arbeitsplatz

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Patrick13, 25.11.2008.

  1. #1 Patrick13, 25.11.2008
    Patrick13

    Patrick13 Benutzer

    Dabei seit:
    09.03.2008
    Beiträge:
    97
    Zustimmungen:
    0
    Guten Tag.

    Mein Freund hat folgende Problem:

    1.
    Desktop verschwindet in 10 Sekunden Takten!?
    2.
    Virus Programm meldet:
    Troyaniches-Pferd befindet sich auf dem Arbeitsplatz
    Virus kan aber nicht entfernt werden.
    3.
    Über Msn erhalten Verwante eigenartige Links, zusätzlich wird ein Englisches Kommentar dazu geschrieben.
    Der vermeidliche Absender wehre mein Freund?

    Der Rechner meines Freundes leuft unwarscheinlich langsam obwohl aktueler Software,
    könnt ihr meinen Freund helfen???


    Lieben Gruß Patrick.
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 25.11.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Upps das sieht böse aus. Könnte der MSN Wurm oder ein Backdoor Trojaner sein. Hilfreich wäre zunächst mal ein Hijackthis Logfile. Dann sehen wir weiter.

    Gruss Leonixx
     
  4. #3 julchri, 25.11.2008
    julchri

    julchri Super-Moderatorin

    Dabei seit:
    28.12.2005
    Beiträge:
    10.561
    Zustimmungen:
    0
    Ort:
    Bayern
    Hallo,

    Beim ersten Punkt könnte das an der Grafikkarte liegen.

    Er soll mal einen Virenscan im abgesicherten Modus machen. Vorher Systemwiederherstellung deaktivieren, danach wieder aktivieren.

    Ein logfile mit HijackThis machen und hier posten.
    Danach mit Ccleaner aufräumen und defragmentieren.

    P.S. Warum schreibt Dein Freund nicht selbst?
     
  5. #4 zockerleopold, 25.11.2008
    zockerleopold

    zockerleopold Erfahrener Benutzer

    Dabei seit:
    29.10.2008
    Beiträge:
    343
    Zustimmungen:
    0
    eigentlich verlangsamt ein backdoor trojaner nicht das ganze system, die dinger sind eigentlich recht unaufällig :)

    Naja da sizt bestimmt mal wieder so ein noob dahinter der sich mit opt**p** usw viren erstellt xDD
     
  6. #5 TIPower, 25.11.2008
    TIPower

    TIPower Erfahrener Benutzer

    Dabei seit:
    26.03.2008
    Beiträge:
    2.200
    Zustimmungen:
    0
    Backdoor machen den PC langsamer in denen sie hacker crack und viren freien lauf geben und dadurch wird der PC langsamer nach ienen Backdoor hilft nurnoch neu aufsetzten.
     
  7. #6 Patrick13, 25.11.2008
    Patrick13

    Patrick13 Benutzer

    Dabei seit:
    09.03.2008
    Beiträge:
    97
    Zustimmungen:
    0
    Hallo ja mein Freund hat kein Inet imoment wegen dem Virus er wird aber mal eure Tipps anwenden und hier mal das Logfile von ihm:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:47:04, on 25.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\CursorXP\CursorXP.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\explorer.exe
    C:\Programme\Hama\Common\RaUI.exe
    C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
    I:\Programme\Metin2_Germany\metin2.bin
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {0C8CEEA2-4776-4ADD-AD1F-6265F9115A5A} - C:\WINDOWS\system32\qoMdCsPJ.dll
    O2 - BHO: (no name) - {33161E98-0A6C-4d3c-BD62-3A7D56137F52} - (no file)
    O2 - BHO: (no name) - {4E007A5F-299F-44FC-8B6B-F06B61867A2E} - C:\WINDOWS\system32\pmnlIaxw.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
    O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
    O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
    O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETZWERKDIENST')
    O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
    O8 - Extra context menu item: Seite mit Google übersetzen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1212423524046
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O20 - Winlogon Notify: pmnlIaxw - pmnlIaxw.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    --
    End of file - 6823 bytes
     
  8. #7 Ostseesand, 25.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    da ist ein bankingtrojaner am werke.
    bevor ihr irgendwas fixt, schaut euch folgende datei an auf dem system unter:
    C:\Windows\System32
    accs.txt
    was steht in der accs.txt drin?

    wurde die helper.xml erstellt? zeitgleich mit der accs.txt?

    spielt dein freund PB?
    wenn nicht wurde die C:\WINDOWS\system32\PnkBstrA.exe unerlaubt erstellt und das mit adminrechten.
     
  9. #8 FixedHDD, 25.11.2008
    FixedHDD

    FixedHDD Hat alle lieb :D

    Dabei seit:
    17.07.2007
    Beiträge:
    5.852
    Zustimmungen:
    0
    lies in den News nach. da steht alles drin zu den dubiosen MSN virussen.

    schreib dir raus wo die infizierten dateien sind und bau die festplatte aus und lösche diese über einen anderen PC.
    Ich hatte den heute auch gefangen. habe mit Antivir (internet kabel dabei abgesteckt lassen!) nen komplettcheck gemacht und dann die orte der infizierten dateien herausgeschrieben. Dann an einen anderen PC ran und die ddateien gelöscht.

    man kann die nicht während des normalen windows betrieb löschen , auch nicht im abgesicherten modus. die schädlichen MSN-dlls verknüpfen sich nämlich auch mit wichtigen prozessen wie der winlogon prozess oder auch die explorer.exe.
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Patrick13, 26.11.2008
    Patrick13

    Patrick13 Benutzer

    Dabei seit:
    09.03.2008
    Beiträge:
    97
    Zustimmungen:
    0
    Hallo danke erstmal für die Tollen Antowrten.
    Ja das dachte ich mir das en Backdoor Programm is.So diese accs.txt gib et nit aber die helper.xml
    Zum Schlus kopier ich euch mal in den Inhalt dieser Datei.
    Hab nur die FRage was ist PB?????
    Lg Patrick
     
  12. #10 Leonixx, 26.11.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Diese DLL bei Virustotal hochladen und auswerten. Dein Freund kann das auch mit seinem Rechner machen. In den abgesicherten Modus wechseln, dann auf www.virustotal.com und die Datei hochladen. Anschließend Ergebnis posten.

    C:\WINDOWS\system32\qoMdCsPJ.dll

    Gruss Leonixx
     
Thema:

Troyaner im Arbeitsplatz

Die Seite wird geladen...

Troyaner im Arbeitsplatz - Ähnliche Themen

  1. Energieeffiziente, kompakter PC-Arbeitsplatz

    Energieeffiziente, kompakter PC-Arbeitsplatz: Hallo liebe Community! Ich suche eine kompakte und zugleich energiesparenden PC für folgende Raumsituation:...
  2. Separates Internet am Arbeitsplatz?

    Separates Internet am Arbeitsplatz?: Hi an alle Experten, Ich habe bei meiner Arbeit freien Zugang zum Internet, den ich auch aufgrund meiner Arbeit benötige. Allerdings ist uns...
  3. Externe Festplatte wird nicht mehr im Arbeitsplatz angezeigt

    Externe Festplatte wird nicht mehr im Arbeitsplatz angezeigt: Hallo, Ich hab ein Problem mit meiner WD Elements Play 2TB. Bis gestern konnte ich noch normal auf sie zugreifen und Daten draufspielen. Heute...
  4. Externe Festplatte wird im Arbeitsplatz nicht mehr erkannt

    Externe Festplatte wird im Arbeitsplatz nicht mehr erkannt: Hallo Zusammen Ich hoffe mir bzw meiner Externen kann hier geholfen werden:D Ich wollte gestern aus 5 Bereichen meiner Externen 1 machen.(Mit...
  5. Arbeitsplatz zeigt Fotos (jpeg von CD) nicht an. Warum?

    Arbeitsplatz zeigt Fotos (jpeg von CD) nicht an. Warum?: Ich arbeite mit Windows XP und möchte Fotos (jpeg) von einer CD öffnen. Mein DVD-Player ließt und zeigt die Dateien. Auf dem Arbeitsplatz meines...