Compi läuft sehr langsam!

#16

Zitat

C:\alc.exe
C:\WINNT\brqikmon.ini
C:\Winnt\Discover.reg
C:\WINNT\system32\wincon.exe

Kurzbeschreibung:
# Öffnet einen versteckten Proxy Server

Um mitzuteilen, dass dieses System infiziert ist, wird mittels UDP Port 10100 auf die folgenden Adressen verbunden:-------------

es sind 4 logs...du musst noch mal nachschauen (datfindbat)...poste bitte die zwei, die fehlen
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 liebe sabina

ich verzweifle fast. da ich so überhaupt nicht draukomme, was ich ich zu machen habe, bin ich nun fast am heulen. ich habs nochmals versucht, weiss aber nicht, ob es so richtig ist. bitte gib mir möglichst schnell bescheid! danke für deine geduld!

dein zitat verstehe ich gar nicht. sind das anweisungen? wenn ja, würdest du sie mir bitte genauer erklären? danke.

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 2C79-13F0

Verzeichnis von C:\WINNT\system32

04.02.2006 20:14 21'184 ffastlog.txt
02.02.2006 12:50 16'384 Perflib_Perfdata_2f8.dat
01.02.2006 23:37 118'152 FNTCACHE.DAT
01.02.2006 10:35 239'616 wincon.exe
27.01.2006 13:00 16'384 Perflib_Perfdata_49c.dat
04.01.2006 19:46 2'836'320 MRT.exe
12.12.2005 21:14 19'012 wmpscheme.xml
02.11.2005 23:15 16'384 Perflib_Perfdata_15c.dat
02.11.2005 22:16 16'384 Perflib_Perfdata_504.dat
22.10.2005 00:57 16'384 Perflib_Perfdata_f4.dat

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 2C79-13F0

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

04.02.2006 21:17 17'374 bbassistant.log
04.02.2006 20:05 344 bbaddon.log
2 Datei(en) 17'718 Bytes
0 Verzeichnis(se), 16'617'209'856 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 2C79-13F0

Verzeichnis von C:\WINNT

04.02.2006 20:06 1'865'906 WindowsUpdate.log
04.02.2006 20:06 32'480 SchedLgU.Txt
03.02.2006 22:47 355 brqikmon.ini
03.02.2006 21:34 622'245 setupapi.log
01.02.2006 23:34 26'604 KB835732.log
01.02.2006 23:34 1'410 imsins.log
01.02.2006 23:34 91'595 comsetup.log
01.02.2006 23:34 204'414 iis5.log
01.02.2006 23:34 72'178 ocgen.log
01.02.2006 23:34 4'927 ockodak.log
01.02.2006 15:40 6'604 KB893756.log
01.02.2006 15:40 6'604 KB905414.log
01.02.2006 15:40 6'608 KB904706.log
01.02.2006 15:40 6'604 KB905749.log
01.02.2006 15:40 6'605 KB901214.log
01.02.2006 15:40 6'652 KB908523.log
01.02.2006 15:39 6'632 KB902400.log
01.02.2006 15:34 6'602 KB901017.log
01.02.2006 15:33 6'611 KB899587.log
01.02.2006 15:33 6'796 KB900725.log
01.02.2006 15:31 6'625 KB896424.log
01.02.2006 15:30 6'659 KB912919.log
01.02.2006 15:30 6'601 KB899589.log
01.02.2006 14:58 6'610 KB896423.log
01.02.2006 12:38 2'202 OEWABLog.txt
31.01.2006 12:31 0 testfile
27.01.2006 00:09 5'753 ModemLog_Conexant-Askey HCF V90 56K PCI Modem.txt
26.01.2006 23:48 7'970 fsbwinst.log
26.01.2006 23:48 2'432 FSPRODRM.LOG
26.01.2006 23:48 436'595 fssgpex.LOG
26.01.2006 23:37 2'351 Q-Klez.log
26.01.2006 23:30 6'594 Active Setup Log.txt
26.01.2006 23:20 0 BJCFDins.log
17.01.2006 15:03 705 win.ini
17.01.2006 14:19 5'502 KB842773.log
17.01.2006 14:19 1'429 imsins.BAK
17.01.2006 14:19 143'068 setupact.log
15.01.2006 14:16 325 wmsetup.log
12.12.2005 21:13 288'880 WMSysPrx.prx

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 2C79-13F0

Verzeichnis von C:\

04.02.2006 21:49 0 sys.txt
04.02.2006 21:48 7'736 system.txt
04.02.2006 21:47 359 systemtemp.txt
04.02.2006 21:45 102'754 system32.txt
04.02.2006 20:08 180'224 alc.exe
04.02.2006 20:07 132'562'944 hiberfil.sys
04.02.2006 20:07 201'326'592 pagefile.sys
26.01.2006 23:22 166 ambit.log
05.09.2003 14:21 216'096 ntldr

#18 Nixe1

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O2 - BHO: - {b3f00b79-766a-4d70-9029-894346d43c56} - C:\WINNT\system32\cmhrxi.dll (file missing)
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\alc.exe

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\alc.exe
C:\WINNT\brqikmon.ini
C:\Winnt\Discover.reg
C:\WINNT\system32\wincon.exe

PC neustarten
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

scane laut Anweisung mit allen 4 Virenscannern
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 liebe sabina

ich weiss nicht, ob ich die virenscanner richtig hab durchlaufen lassen, denn das beschriebene programm liess sich bei mir nicht so einfach entzippen. ich habe aber meines erachtens mit den ersten dreien gescannt, allerdings musste ich bei McAfee nichts spezielles eingeben. der hat von selbst losgelegt. mein problem jetzt, ich kann keine reportdatei finden. es sind ja doch einige dateien in dem Av-CLS ordner. haben die eine bestimmt bezeichnung?

lieben gruss von einer sehr kranken nixe (mörderschnupfen mit schlimmer bindehautentzündung als nachwehen einer sehr starken grippe)

#20 Salü Nixe,

das machsch bis ez ja sehr guet. (Das machst Du bis jetzt ja sehr gut)

Anstelle von Tipps kann ich Dir folgendes Angebot machen:
Ich wohne in Winterthur und bin Mobil. Ausserdem bin ich scharf auf einen feinen Znacht. Ich könnte zu Dir kommen und Dir bei Deinem Problem hilfreich zur Seite stehen.

Gruss Andy
__________
Installiere Windows und das Unheil nimmt seinen Lauf. Nimm Linux und die Sonne geht auf.

#21 @ hi rollmops

danke für das kompliment. wie sind denn deine referenzen? bist du ein mittelloser it-crack, dass du für ein leckeres essen meinen compi kurierst? bist whrsch. in der eulachhalle heute, oder?

herzlichen sonntagsmorgengruss

die nixe

@all

heute morgen, bzw. eben gerade hat sich mal wieder ein weiteres problem eingestellt. McAfee hat einen wurm entdeckt. nur kann ich ihn nicht löschen/säubern. der text lautete folgendermassen:

C:WINNT\system32\ozms.exe
Virusname W32/Sdbot.worm.gen.I

Überprüfen Sei die Zugriffsrechte für das Speichermedium, auf dem sich die Datei befindet.

Wie krieg ich denn das teil wieder los?


übrigens hat eure hilfeaktion schon einiges gebracht. der compi mag noch nicht total clean sein, er läuft aber schon wieder um einiges schneller. Danke!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

#22

Zitat

@ hi rollmops

danke für das kompliment. wie sind denn deine referenzen? bist du ein mittelloser it-crack, dass du für ein leckeres essen meinen compi kurierst? bist whrsch. in der eulachhalle heute, oder?

Referenzen? Ich bin seit über 20 Jahren mit dem Compi per du. Baue alles selber auf und kenne mich dementsprechend aus. Ich erlebte noch die Compisteinzeit mit DOS 5. Das Windoofs Dilemma erlebe ich seit der Version 3.1 und bin heute begeisterter Linuxer.

Mittellos? Nee, ich koche nicht gerne.

Eulachhalle? Was geht denn heute dort ab?

Gruss Andy
__________
Installiere Windows und das Unheil nimmt seinen Lauf. Nimm Linux und die Sonne geht auf.

#23 ....
Der ist nicht clean (meine den PC- nicht Dich Rollmops ) und es besteht die Gefahr, dass weitere Malware gewissermaßen nachgeladen wird, während wenn der PC online bist.
Du solltest also die online-Zeiten mal nur so lang wie nötig halten.

Folgender Vorschlag zum entfernen:
Der PC wird im "abgesicherten Modus" gestartet. Das wird zum einen unter http://www.bsi.bund.de/av/texte/wiederher_95982000.htm erklärt oder kurz gesagt: Wenn beim Start v. Windows 2000 am Bildschirmrand der weiße Balken erscheint, hältst Du die Taste F8 gedrückt und wählst aus dem daraufhin folgenden Menü "Im abgesicherten Mouds starten".

Wenn das passiert ist, erstellst Du
- nochmals ein Hijackthis-Log
- lässt den Virenscanner nochmals das Laufwerk C: durchsuchen

Falls wieder ein Probem mit den Zugriffsrechten auftaucht, solltest Du zusehen, dass Du Dich mit einem anderen Benutzerkonto anmeldest.(Administrator)

Außerdem:
Doppelklick auf Arbeitsplatz => Systemsteuerung => Software
Nachsehen, ob ein Window-Sicherheitsupdate mit der NR KB823980 installiert ist. Wenn nicht: Hier herunterladen und sobald der Rechner (hoffentlich) sauber ist, installieren.

Soweit so gut.... oder Du nimmst mal das Angebot v. Rollmops an
__________
Durchsuchen --> Aussuchen --> Untersuchen

#24 joschi, du scherzkeks. wenn ich den compi im abgesicherten modus laufen lasse (hab das eben zum erstem mal gemacht, dann kann ich ja gar nicht ins netz und deinen anweisungen folgen. gibts da keinen anderen weg?

#25 Nein- zur Not Anweisungen aufschreiben/ausdrucken.
Mit einem W32/Sdbot.worm auf dem Rechner geht man am besten gar nicht oder eben nur kurzzeitig ins Netz.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#26 warum soviele Umstaende ???
wenn der Virenscanner C:WINNT\system32\ozms.exe gefunden hat...einfach auch mit der Killbox loeschen...und den PC neustarten
Bitte nicht verkomplizieren

wenn das erledigt ist...gehe wieder ins Net und ueberpruefe die Ports:
http://virus-protect.org/portauthority.html
schreibe mir, ob alles gruen ist, oder ob es auch rot gibt


Ich mag auch leckere schweizer Kueche, allerdings sitze ich in Lissabon und muss mich mit meiner Vorstellungskraft begnuegen

@rollmops (wenn moeglich hilf der Lady ... es ist nicht leicht, einen Backdoor dauerhaft vom System zu bekommen )
__________
MfG Sabina

rund um die PC-Sicherheit

#27 @all

ich habs dann nochmals versucht im abgesicherten modus. der virenscanner hat nix gefunden, obschon er ca. 1h gesucht hat.

habs aber geschafft (hoffentlich), das log, das ich im abg. modus gemacht habe, hier zu posten:

Logfile of HijackThis v1.99.1
Scan saved at 12:21:53, on 05.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe


... obwohl der kleine noch nicht schläft...

habs mit der killbox rausgemobbt. und nun?
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Programme\IZArc\IZArc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ARC1\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\IZArc\IZArc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ARC2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cablecom.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von cablecom hispeed internet
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [HotIDE] "C:\Programme\Acer\HotIDE\HotIDENT.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Workflow] D:\Installs\Workflow.exe
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\alc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Microsoft Office-Indexerstellung.lnk = C:\Programme\MSOffice\Office\FINDFAST.EXE
O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE
O4 - Global Startup: Magic Keyboard.lnk = C:\Programme\Magic Keyboard\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: cablecom assistant.lnk = C:\Programme\Cablecom Assistant\bin\matcli.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\CABLEC~1\SMARTB~1\SBHookSvc.exe
O23 - Service: WinCon (wincon net driver) (WinCon) - Unknown owner - C:\WINNT\system32\wincon.exe (file missing)

@ sabina

- hab das teil mit der killbox rausgemobbt.
- hab den oben angegebenen test gemacht und hatte versucht, hier das muster reinzukopieren, ging aber nicht. es ist nicht alles blau. es hat ein paar wenige rote einzelquadrate.

auch du hast was gut bei mir, falls du mal in der nähe bist. wohnst du denn in lissabon?

@ all

hab nun leider wieder das enorm mühsame problem, dass das system automatisch nach dem hochfahren wieder runtergefahren wird von:

C:\WINNT\System32\services.exe

es heisst dort, ich hätte keine administratorenrechte o.ä. und dann wird von 60 runtergezählt. vorhin ist mir das passiert, als ich hier eben den text posten wollte, und da kam dann plötzlich wieder das fenster.

übrigens, was auch fast immer auftaucht wenn windows hochgefahren wird, ein fenster, in dem steht:

webscanx.exe hat Fehler verursacht und wird geschlossen. das system müsse neu gestartet werden. es lässt sich aber durch anclicken wegbeamen.


@rollmops

denkst du denn, du könntest mit meinem problem fertig werden? und wie lange bräuchtest du dafür in etwa?

#28 Nixe1

Start-->Ausfuehren--> cmd reinschreiben

kopiere in das geoeffnete schwarze Fenster:

shutdown -i

nun faehrt der PC nicht mehr runter.

---------------------------------------------------------------------
1.
Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\alc.exe
O23 - Service: WinCon (wincon net driver) (WinCon) - Unknown owner - C:\WINNT\system32\wincon.exe (file missing)

PC neustarten

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

3.
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WinCon

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

4.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#29 liebe sabina

hab das schwarze fenster geöffnet und shutdown -i reinkopiert. mein blöder compi meint, ich hätte es entweder nicht korrekt geschrieben oder der befehl sei falsch. was nun?

1. die beiden dateien hab ich gefixt

2. nach dem doppelclick zum öffnen und dem ok. der nummer, gings nicht mehr weiter. ich müsse "extract all" drücken??? ging dann aber nicht weiter. jetzt steh ich voll auf dem schlauch. ich hoffe, du bist da und kannst mir bald helfen.

#30 Salü Nixe,

Zitat

@rollmops

denkst du denn, du könntest mit meinem problem fertig werden? und wie lange bräuchtest du dafür in etwa?

Wenn ich Glück habe, existieren auf Deinem System "Systemwiederherstellungspunkte", mit denen ich Deinen PC auf einen früheren Stand zurücksetzen kann. Oftmals aber sind auch diese bereits verseucht und daher unbrauchbar.

Da laufend neue Fehlermeldungen und Probleme auftauchen, kann ich nicht sagen, wie hart ich einen Znacht verdienen muss. Aber eine Desinfektion wird niemandem sehr einfach gelingen. Die Virenprogrammierer sind auch nicht auf den Kopf gefallen und denken sich laufend neue Gemeinheiten aus, um eine Desinfektion des Systems zu erschweren. Nicht selten wird man nicht drum herum kommen, die Daten zu sichern, sofern noch möglich und das System neu aufzusetzen. Alles schon an Kollegen-PC's erlebt.

Erschwerend kommt dazu, dass meistens die "eigenen Dateien" auf Laufwerk C:\..... beheimatet sind und bei der Formatierung des Laufwerkes gelöscht würden. Ein hausgemachtes, unüberlegtes Problem von MS. Eine Riesenplatte und nur eine einzige Partition.

Hast Du einen Brenner, um die Daten auf CD oder DVD zu sichern? Hast Du alle Installations-CD's, falls das System nicht mehr reparierbar ist und alles neu installiert werden muss?

Allein das nackte installieren von Windows kann gut und gerne über eine Stunde dauern. Danach sind noch die Updates und Programme dran. Je nach System kann dies schon mal nen halben Tag und mehr in Anspruch nehmen.

Das wirkliche Ausmass der Infektion kann man selten im Voraus eingrenzen. Wie bei Medikamenten muss man auch hier mit unterschiedlichen Nebenwirkungen rechnen.

Es liäbs Grüässli
Andy
__________
Installiere Windows und das Unheil nimmt seinen Lauf. Nimm Linux und die Sonne geht auf.