Großes Problem - Weiß echt nicht mehr weiter. :-(

#1 Halli Hallo,

also, ich hab' folgendes Problem. Ich hab' seit kurzem "Format C:" hinter mir, da ich mir 'ne neue Windows - Version gekauft habe. Naja, ist ja auch egal.
Auf jeden Fall, ist nun folgendes:

Jedes mal, wenn ich den PC neustarte, ist er zum 1. ziemlich langsam, d.h. ich starte z.B. WinAmp Player, daraufhin, brauch mein PC ca. 30 - 50 Sekunden um den WinAmp - Player zu starten. Was vor dem Format C nicht so war.
Dann kommt hinzu, das ich jedes mal, wenn ich mich in's Internet einwähle, eine "Java.Exe" als Prozess laufen habe, obwohl ich nicht denke, das ich sie brauche, denn wenn ich sie unter "C:" dort ist sie nämlich dauernd lösche, passiert nichts. Jetzt kommt dazu, das meine Internet - Geschwindigkeit "trotz" ISDN sehr langsam gewurden ist. Ich meine damit, das selbst ein 56K Modem schneller ist.
Ich weiß leider nicht, woran es liegt, denn vor dem Format C hat auch alles geklappt & meine Internet - Geschwindigkeit war auch in Orndung.
Was noch viel schlimmer ist, viele Internet - Seiten muss ich mehrmals Aktualisieren um mit ihnen arbeiten zu können.

Zum Beispiel, auf "Google.de" muss ich ca. 3 - 5X Aktualisieren & die Suchfunktion nutzen zu können. Das ist auf vielen Internet - Seiten so. Dann wenn es dann mal klappt, kann es sein, das nach kurzer Zeit es so scheint, als wäre die Internet - Seite tot. Denn man kann wieder nicht mit ihr arbeiten. Es passiert auch oft, das egal, welche Seite ich aufrufe, sei' es "Web.De" oder "Google.De" er mir sagt "Server nicht gefunden"

Noch ein Problem: Ab & zu baut sich eine Internet - Seite auf "http://ginstall.corpsument.net/" - Ich hab' keine Ahnung was sie macht, aber ich denke, sie versucht etwas zu installieren, was ich von dem "ginstall" lese. Ich versuche immer, sofern ich es gerad' mitbekomme, abzubrechen.

> Hab' gerad' was gesehen ... in der "Java.Exe" ist die URL "http://ginstall.corpsument.net/" erhalten. Also im Quellcode von der "Java.Exe" =(

Ich brauch unbedingt Hilfe - Ich bin schon am verzweifeln ... noch einmal Format C wird'S auch nicht wirklich bringen ... da er ja "eigentlich" komplett sauber ist.

Vielen Dank, für eure Bemühungen.
MfG
Christian. Hier "HijackThis - Log"

Hier mein Log von "HijackThis" ... sieht komisch aus ... find' ich. Naja.

Logfile of HijackThis v1.98.0
Scan saved at 00:35:16, on 01.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\muamgrd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVWin\AVGNT.EXE
C:\WINDOWS\System32\pqfqve.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\svchost2.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\win32.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\WINDOWS\System32\winupdt.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis_Last.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t11729.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = *** CHRIS ***
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] pqfqve.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\adymz.exe
O4 - HKLM\..\Run: [Microsoft IT Update] win32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] pqfqve.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] win32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] pqfqve.exe
O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Microsoft IT Update] win32.exe
O4 - HKCU\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C136D90-2767-4B19-8A47-9D62284A3BCF}: NameServer = 212.6.108.140 212.6.108.141

#2 Hallo,

Zitat

noch einmal Format C wird'S auch nicht wirklich bringen ... da er ja "eigentlich" komplett sauber ist.

Von sauber kann hier leider keine Rede sein. Ich würde dir ein Neuaufsetzen deines Systems empfehlen, da dein System nicht mehr vertrauenswürdig ist.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://oschad.de/wiki/index.php/Kompromittierung

Du hast einen aktiven TrojanDownloader.Win32.Small.qi:
O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
Info: http://www.sophos.de/virusinfo/analyses/trojsmallqi.html

C:\java.exe => deutet auf W32/Mydoom.o@MM hin
Info: http://www.bsi.de/av/vb/mydoom-m.htm

Bitte überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis:
C:\WINDOWS\System32\muamgrd.exe
C:\WINDOWS\System32\pqfqve.exe
C:\WINDOWS\System32\win32.exe
C:\java.exe
C:\WINDOWS\System32\adymz.exe

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung diese Punkte abarbeiten:
1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. Deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Überprüfung der Dateien >

C:\WINDOWS\System32\muamgrd.exe
Ergebnis:
muamgrd.exe - packed with PECompact
muamgrd.exe Infiziert: Backdoor.Rbot.gen


C:\WINDOWS\System32\pqfqve.exe
Ergebnis:
pqfqve.exe - packed with Morphine
pqfqve.exe - packed with UPX
pqfqve.exe Infiziert: Backdoor.Rbot.gen


C:\WINDOWS\System32\win32.exe
Ergebnis:
win32.exe - packed with FSG
win32.exe Infiziert: Backdoor.Rbot.gen


C:\java.exe
Ergebnis:
java.exe Infiziert: TrojanDownloader.Win32.Small.qd

C:\WINDOWS\System32\adymz.exe
Ergebnis:
adymz.exe - packed with PE_Patch
adymz.exe - packed with UPX
adymz.exe Infiziert: Worm.Win32.Padobot.gen



Oh Oh Oh ... :-(