Virus macht System extrem langsam

#16 Mach doch bitte erneut ein HJT-Log.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#17 Ok ich habe erneut einen HJT gemacht und hier ist der Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:51:26, on 17.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Melanie Voigt\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: apihookdll.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
__________
Mfg catwoman83

#18 Ah ja.
O20 - AppInit_DLLs: apihookdll.dll = PWS.HOOKER.TROJAN

Bitte mache nochmal einen Scan mit eScanCheck.

Und IncrediMail solltest Du bei Gelegenheit mal gegen ein richtiges Mailprogramm austauschen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#19 eScanCheck wäre auch durchgelaufen.
Hier ist dann mal das Log:


------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sat Sep 17 18:34:58 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken.
2: Sat Sep 17 18:40:38 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Sat Sep 17 18:35:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\system32\LegitCheckControl.DLL". Action Taken: No Action Taken.
2: Sat Sep 17 18:35:27 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxsfs.dll". Action Taken: No Action Taken.
3: Sat Sep 17 18:35:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Photoshop Album\Kataloge\My Catalog.psa". Action Taken: No Action Taken.
4: Sat Sep 17 18:35:34 2005 => Entry "HKCR\.sdp" refers to invalid object "soffice.StarStorageDocument.5". Action Taken: No Action Taken.
5: Sat Sep 17 18:35:34 2005 => Entry "HKCR\CHROME\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
6: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned
7: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip is Not Scanned
8: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip is Not Scanned
9: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip is Not Scanned
10: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip is Not Scanned
11: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOverride.zip is Not Scanned
12: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterFirewallOverride.zip is Not Scanned
13: Sat Sep 17 18:37:40 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterFirewallOverride1.zip is Not Scanned

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Sep 17 18:58:01 2005 => Total Objects Scanned: 78550
Sat Sep 17 18:58:01 2005 => Total Virus(es) Found: 1
Sat Sep 17 18:58:01 2005 => Total Errors: 13
Sat Sep 17 18:58:01 2005 => Virus Database Date: 2005/09/17
Sat Sep 17 18:58:01 2005 => Virus Database Count: 149675
Sat Sep 17 18:59:11 2005 => Total Objects Scanned: 78550
Sat Sep 17 18:59:11 2005 => Total Virus(es) Found: 1
Sat Sep 17 18:59:11 2005 => Total Errors: 13

Und was für ein E-Mail Programm soll ich nehmen?
Ich danke schon mal im Voraus
__________
Mfg catwoman83

#20 Gehe in die Registry

Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

loeschen:

AppInit_DLLs = apihookdll.dll
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710


KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

reinkopieren

C:\WINDOWS\System32\apihookdll.dll

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes

PC neustarten

fixe mit dem HijackThis:--> falls es noch da ist

O20 - AppInit_DLLs: apihookdll.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp

deinstalliere den Firefox und lade ihn neu
Firefox
http://www.mozilla-europe.org/de/

#TuneUp2004 (30 Tage free)--> es gibt schon 2006
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

dann berichte

-----------------------------------------------------------------

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = apihookdll.dll
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

C:\WINDOWS\system32\APIHookDll.dll - PWS:Win32/Hooker.P -> Infected

__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo Catwoman,

hast DU den von mir genannten Eintrag im HJT gefixt? Wenn nicht, hole das noch nach. Suche die apihookdll.dll und lösche sie (seltsam, dass eScan das nicht gefunden hat).

Statt IncrediMail würde ich Thunderbird benutzen. Der ist sicher, nicht als Spyware zu betrachten und hat nichts überflüssiges (HTML-Mails werden von vielen als Sicherheitsrisikos angesehen. Ich selber würde niemals bewusst eine HTML-Mail verschicken und ich ärgere mich jedesmal, wenn ich eine solche erhalte).
http://thunderbird-mail.de
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#22 Da bin ich wieder

Ich habe die Datei apihookdll.dll gefixt und auch mit Killbox komplett gelöscht. CCleaner ist durchgelaufen, habe alle Tempdateien gelöscht.
Firefox ist jetzt installiert und mein neuer Standard. Incredimail habe ich auch deinstalliert und dafür Thunderbird installiert.
TuneUp habe ich bereits die Version 2006(Vollversion).
Meine Explorerseite springt immer noch rauf und runter.
Muss ich denn jetzt noch etwas machen?
Ich danke euch schon mal für eure Hilfe.
__________
Mfg catwoman83

#23 Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

loeschen:

AppInit_DLLs = apihookdll.dll
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

Du musst den kompletten Inhalt aus diesem Ordner loeschen:
C:\Dokumente und
Einstellungen\Username\Anwendungsdaten\Sun\Java\Deployment\cache

PC neustarten

scanne mit Kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hallo Sabina!

Die Dateien in der Registry habe ich gelöscht. Den Ordner den ich da löschen soll, den hab ich gar nicht.
Ich habe mit Kaspersky gescannt und hier ist die Auswertung. Kaspersky hat nichts verdächtiges gefunden.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 17, 2005 23:43:31
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 17/09/2005
Kaspersky Anti-Virus database records: 140739
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 52033
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 2529 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.
__________
Mfg catwoman83

#25

Zitat

Meine Explorerseite springt immer noch rauf und runter.

immer noch?
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Hallo Sabina

Ab und zu noch! Aber nicht mehr so häufig wie die ganze zeit!
__________
Mfg catwoman83

#27 ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

es bibt wohl auch die Moeglichkeit, das Java-Cache zu leeren.--> bitte ausfuehren
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hallo Sabina!

Wie soll ich den Java-Cache leeren? ClearProg ist durch gelaufen. Eben als ich diese Nachricht schrieb ist mir die Seite wieder abgehauen.
__________
Mfg catwoman83

#29 #Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

berichte, ob es mit diesem Browser ebenfalls Probleme gibt (stelle den Firefox als Standard ein)
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hallo Sabina
Firefox habe ich heute morgen schon runtergeladen und es gibt genau die selben Probleme, aber nicht ganz so häufig wie mit IE. Firefox ist jetzt mein Standard.
An was kann es denn jetzt noch liegen?
__________
Mfg catwoman83