PC Langsam(extrem) Trojaner HiJackThis

#1 Hallo liebe Community,

Mein System is seit ingefähr einer Woche Extrem langsam geworden und ich meine echt extrem!
Heisst wenn ich auf ein Ordner gehe und dort Eigenschaften klick kommt dieses Fenster erst in 2-4 min/genauso
wie bei Filme aufmachen, Programme öffnen (TS, CS) - generell is alles langsamer geworden ...
Ich bitte deswegen um Hilfe, damit mein PC wieder flüssig läuft!
Es kamen heute auch noch wie fast immer Trojaner einzeigen-


HiJackThis Log-File

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:01, on 07.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\TuneUp\Darkstar\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Virtual CD\System\VC9Play.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Internet\icq\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\KeinNick\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\TuneUp\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
G:\Virtual CD\System\VC9Tray.exe
G:\Perfect World ENG\SandBoXie\SbieSvc.exe
G:\Virtual CD\System\vc9secs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\Alte Festplatte\D\teamspeack\Teamspeak 2 mit Pro\Teamspeak 2 Pro Trubi.exe
G:\Steam\Steam.exe
H:\Schutz gegen Viren,Trojanern etc\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - H:\Video's u. DVD's\VeohTV Player\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [VC9Player] G:\Virtual CD\System\VC9Play.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClockLauncher.exe
O4 - HKCU\..\Run: [LeechGet] "E:\Internet\LeechGet 2007\LeechGet.exe" -intray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\Internet\icq\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\KeinNick\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = F:\TuneUp\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\Internet\LeechGet 2007\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\Internet\LeechGet 2007\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://E:\Internet\LeechGet 2007\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: h**p://board.monstersgame.de
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} (MGLaunch_USAv1001 Class) - h**p://ares.netgame.com/download/mglaunch_USAv1002.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - h**p://www.instantaction.com/download/iaplayer.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Auto Logon Service (AutoLogon) - Unknown owner - G:\Marco\autologonsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Macro Scheduler Service (mschedsvc) - Unknown owner - G:\Marco\msschedsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - G:\Perfect World ENG\SandBoXie\SbieSvc.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - G:\Virtual CD\System\vc9secs.exe

--
End of file - 8646 bytes

Bitte um Hilfe

#2 Hallo Trubi

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html


>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u10 zum Desktop
http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jdk/6u10/jre-6u10-windows-i586-p-s.exe?e=1226072244976&h=c20817f2327c89206517d91d232d14da/&filename=jre-6u10-windows-i586-p-s.exe


Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u10-windows-i586-p-s.exe

__________

Gruss Swiss

#3 Habe erstmal MBAM durchlaufen lassen.
Hatte das ja schon drauf hier die Log Datei:

Code

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 2

07.11.2008 19:10:43
mbam-log-2008-11-07 (19-10-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47355
Laufzeit: 3 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das andere kommt noch Combofix hab ich auch schon öfters rueber laufen lassen ...(saug mir aber natürlich noch die aktuelle Version)



EDIT: Ich habe nun das Alte Combofix deinstalliert, und nun hat sich bei mir mein Windows Style verstrellt aufs Standart hatte nen anderes - nun scheint alles gut zu laufen aber keine ahnung warum .... Werde nochmal den anderen Style einstellen .... und gucken ob er wieder langsamer wird! Lade mir aber noch das aktuelle Combofix runter und lasses laufen

EDIT2: So ausprobiert.... Es liegt wirklich am Style .... ich weiss nicht ob mein PC wegen den Trojanern genrell schlechter geworden ist und der Windows Style meinem PC den rest gibt aber mit dem Windows Standart Style gehts....
Vllt. hilft ja nen Link von dem Style vllt. gab es ja mal Probleme mit..
Der isses hier:
http://www.winmatrix.com/forums/index.php?showtopic=10356

Aber verstehe ich nicht mein PC war immer schnell ... bis dahin wo die Viren und Trojanern kamen ... mal gucken wie lange mein pc noch so leistungsfähig is ... Combofix Log kommt ...

#4 Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240

MBAM erst Updaten und nochmals scannen
__________
MfG Argus

#5 Oh Hab ich gemacht !

Log File:

Code

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1373
Windows 5.1.2600 Service Pack 2

2008-11-07 21:38:50
mbam-log-2008-11-07 (21-38-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48661
Laufzeit: 1 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So hatte jetzt nun dann auch Combo laufen lassen ...
Jedoch hat er nun mein PC fast so zerhauen gehabt ... ich konnte mich als User nichtmal anmeldet - keine i-net verbidung, Keine Windows-Firewall, keine Netzwerkverbindung.

Ich hatte aber das Log bekommen - was dann auch gl wieder weg war (kA warum) ....
Jetzt will ich erstmal sehen ob mein PC überhaupt noch RICHTIG startet mit dem User + I-netverbidung...

Vielen Dank für die Hilfe hoffe ich bekomm noch mehr
Gruß,
Trubi

#6 Hattest du selber diese alte version von Combofix runter geladen?
Es ist ja nicht ohne gefahren wenn man selber CF benutzt ohne aufforderung dazu
Wie hast du denn die alte version entfernt?
__________
MfG Argus

#7 Ja wurde aufgefordert ^^
Ich weiss auch alles über Combofix wie man dieses Programm benutzt.
Die Alte Version habsch davor mit dem befehl in der ausführung Uninstallt.

#8 suche combofix.txt poste den inhalt

#9 Suchen? Virenfinder hast du gelesen was Combofix bei mir angerichtet hat ?
ich werd VLLT. nachher nochmal probieren

Zitat

So hatte jetzt nun dann auch Combo laufen lassen ...
Jedoch hat er nun mein PC fast so zerhauen gehabt ... ich konnte mich als User nichtmal anmeldet - keine i-net verbidung, Keine Windows-Firewall, keine Netzwerkverbindung.

Ich hatte aber das Log bekommen - was dann auch gl wieder weg war (kA warum) ....
Jetzt will ich erstmal sehen ob mein PC überhaupt noch RICHTIG startet mit dem User + I-netverbidung...

#10 Und funktioniert es Trubi?

#11 Hab ich noch nicht probiert Sry!!!
War jetzt eine Woche nicht da, war in meiner Berufsschule die 300 KM weit entfernt liegt.
Ich werde mich mal dieses WE oder vllt. später drum kümmern.
Bin auch gerade erst nach hause und dazu bin ich noch Krank ...
Ich hoffe Ihr habr verständniss das, dass jetzt vllt. bissl dauert.

Gruß,
Trubi