Ist das ein Virus/Trojaner?

D

D31~$0u1

0
Hallo.

Mein kumpel hat ein Problem mit seinem PC.
UNd zwar war er gestern im Internet und seit dem ist die Pc Leistung total unten (alles total langsam), die Programme hängen sich auf (Teamspeak z.b. gibt einen Ton fünfmal aus), jedesmal wenn er den Pc anschaltet bekommt er eine Fehlermeldung, dass irgendwass nicht in Ordnung sei (welche weiß er nicht) und zwischendurch kommt einfach eine Fehlermeldung (ist im anhang unter dem namen error.jpg).

Dann hat er noch das Problem dass sich seitdem zwei icons, die auch erst dann einfach aufgetaucht sind nicht löschen lassen... öffnet er diese Icons oder schaut er unter eigenschaften in den Pfad,. so führt das zu eienr "antiviren" Website.
Diese icons lassen sich nicht löschen, sobald sie im papierkorb sind erscheinen sie wieder neu.
Die alten liegen dann im Papierkorb. (Bild ist unter Icons.jpg angehangen)

Woran kann das liegen, oder kennt jemand das Porblem?
 
ich tippe auf spyware...

gehen taskmanager und co noch?

schau mal was im autostart rumhängt

start ->ausführen->cmd->msconfig ->systemstart

hau dort erstmal alles raus was de nich brauchst...

vielleicht hat es sich schon erledigt das problem!

wenn nich such dir adaware unter:

http://www.chip.de/downloads/Ad-aware-2007-v7.0.2_13000824.html

lass das mal durchlaufen....
 
hab mich mal über das tool "craagle" was ich vorher nich kannte schlau gemacht:

http://infopirat.com/anleitung-craagle

einfach lesen, dann weißt du woher das ganze kommt. und ja ich bin mir 100% sicher das es ein trojaner ist, hatte nen kumpel von mir auch. am besten scanst du alles mal mit dem spybot und lavasoft ad-aware (findet manche sachen die spybot nicht findet) und anschließend ein virenscan.....
und natürlich craagle löschen ;)


diese anleitung steht am ende der seite, aber kA ob mans wirklich so machen muss.... hab mir bis jez noch nix eingefangen

Starten Sie Ihren Rechner dazu neu im abgesicherten Modus, loggen Sie sich als Administrator ein. Nun lassen Sie Ihren hoffentlich aktuellen Virenscanner über die gesamte Festplatte laufen. Dazu bitte unter Arbeitsplatz / Extras / Ordneroptionen / Ansicht unter "geschützte Systemdataien ausblenden (empfohlen)" das Häkchen entfernen und bei "Versteckte Dateien und Ordner" "Alle Dateien und Ordner anzeigen" aktivieren.

Nun dürfen Sie jede gefundene Datei von Hand löschen. Viel Spass!
Zum Vergrößern anklicken....
 
Guckt Ihr nicht richtig hin?
Da steht (vollkommen korrekt für ein verseuchtes System):

...Nun dürfen Sie >> JEDE << (!!) gefundene Datei von Hand löschen...

...Ähmmm: Man könnte auch eine alternative Formulierung benutzen, die sich aber nicht so lustig anhört...

Bin ich wirklich der einzige, der das so interpretiert?
 
achsoooo ROFL :) jez versteh' ichs.

ich habs nur schnell überflogen weil ich eigentlich für ne klausur am lernen bin....hab den witz nicht direkt verstanden!!!! lol....


@harry:
und ich dachte erst du hattest mich direkt persönlich gemeint....(und mich damit lächerlich gemacht).

aber wollte doch nur dem armen jungen helfen *g*
 
Also hier ist jetzt die Logifle von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:30:16, on 11.07.2003
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
D:\HP Software Update\HPWuSchd2.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\Digital Imaging\bin\hpqtra08.exe
D:\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\msiexec.exe
I:\Wegen Andi\aaw2007v7.0.2.3.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe
C:\WINDOWS\system32\MSIEXEC.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] D:\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [24771158] rundll32.exe "C:\WINDOWS\system32\vfllkjff.dll",b
O4 - HKLM\..\Run: [BM274422c4] Rundll32.exe "C:\WINDOWS\system32\acrgbkum.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX? - D:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6763 bytes


Weiß jetzt lieder nicht was ich damit anfangen soll... könnt ihrm ir helfen?

Gruß, soul
 
Na ja, ist ja schon ein bissl alt, aber dann woll'n wir mal...

Ich staune ein bißchen, was da alles so am Laufen ist.
Eines kann man hier schon mit Sicherheit sagen: Auch wenn dieses System virenmäßig lupenrein ist, kann man ihm KEINEN Vorwurf daraus machen, langsam zu sein. Der Besitzer hat praktisch alles, was er installiert hat, ohne jede Zurechtstutzung auf sein System losgelassen. Alles, was irgendein Autostart-Modul mitgebracht hat, hat dieses installiert und am Laufen.

Es würde mich nicht überraschen, wenn an die 20-30 Hintergrund-Module jedesmal, wenn er sich ins Internet einwählt, versuchen, ihren jeweiligen Update-Server zu finden. Unabhängig davon natürlich auch jedes Programm, was zufälligerweise keinen Hintergrundprozeß dafür abgestellt hat.

Meine Empfehlung nach dem allerersten Blick: Aufräumen! Gründlich!

Beim Weitergucken sieht das meiste in Ordnung aus: Einige nicht ganz geläufige Module, die aber nur Besonderheiten der Hardware steuern. Vieles, was ich niemals dauernd im Hintergrund laufen lassen würde, was aber nicht gefährlich sein dürfte.

Was mir komisch bleibt, sind:

- die drei Installations-Prozesse ("MsiExec.exe"), die im normalen Betrieb mit Sicherheit nichts verloren hätten.
- das "aaw2007v7.0.2.3.exe", welches ich NUR als angeblichen Malware-Remover in Foren entdecke, ohne daß dieses Programm von _irgend_einem Hersteller stammen würde. Dies ist eine typische Vertriebsform - und zwar NICHT für "Malware-Remover", sondern für die OHNE den "Remover"-Anteil!
- "Microsoft Cache Control" - ohne von Microsoft zu stammen - "OhMeinGottWieKannManNur!":
http://forums.majorgeeks.com/showthread.php?p=1112147
- "steam.exe" sollte eigentlich zu "Half Life" gehören, oder? Und nur laufen, wenn das Spiel läuft, oder? Ist das vielleicht was gecracktes?

----

So, das sollte als Anhaltswert bereits genügen, um festzustellen: Es ist mit allerhöchster Wahrscheinlichkeit verseucht. Wenn Du jemals wieder SICHERHEIT haben willst, daß es sauber ist: Setze das System neu auf! Komplett!

Und bevor Der Kollege wieder ins Internet geht: Das mit den beiden Icons war das einzig GUTE, was hier zu sehen war! Er soll das System auf den Stand von ServicePack 2 bringen, und zwar VOR dem ersten Surfen! Und dann soll er dem Betriebssystem das Selbstupdate zulassen!

Dagegen darf er ohne weiteres verhindern, daß größenordnungsmäßig 60(!) nicht standardmäßig zwingend notwendige Prozesse am Laufen sind (Kopf schüttel)!

Insbesondere soll er lernen, KEINE Software, die nicht mindestens problemlos auf drei größeren Servern AUSSERHALB von "Geheimtips" in Foren zu finden ist, downzuloaden!

Und WENN er sich Software von größeren Servern downloaded, soll er sich angewöhnen, diese gegeneinander zu vergleichen und gegen Prüfsummen zu testen!

Und wenn er keine Prüfsummen findet, soll er AUCH die Finger davon lassen!

Ahmen!
 
Also... sooooooooooooooooooooo Lupenrein kann der Pc nicht sein.
Antivir meldet sich jede Minute hätte den Trojaner TR/Vundo.Gen gefunden.
Alls in C:\WINDOWS\system32\pmnkkkk.dll. und andere dateien... also nicht nur die pmnkkkk sondern auch andere im selben ordner.

Löschen kann man die nicht bzw nach nem neustart sind sie wieder da.

Steam läuft immer...
Gehört zu halflife und css und dod.... und steam kann man auch als chat proggi nutzen...
von daher.....
also is net gecrackt.

gruß soul
 
Tja also so wie es aussieht, hast du nur noch die Möglichkeit den PC neu aufzusetzen...
Hast du schon mal versucht, die Datei aus dem Abgesicherten Modus zu löschen? Vielleicht bringt das was...
Aber selbst wenn du diese Datei löschen kannst, wirst du kein wirklich sauberes und sicheres System haben, womit wir wieder beim neu aufsetzten wären!
 
Also... ich hab ihn neu aufgesetzt... bin leider nicht dazu gekommen die infizierte partition zu löschen... (die will das setup programm irgwie net löschen).
Muss nächste Woche nochmal hin und die Partition mit nem bootprogramm löschen.

Format C: ging auch net in der konsole (über die ander Partition).


Gruß, soul.


Und vielen Dank für eure Hilfe.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben