Rechner langsam virus Bitte um Hilfe

[matthias66]

  Hallo TMK und alle HelferInnen, seit 2 Tagen ist der Rechner arschlangsam, wie ein roboter oeffnen seiten etc. habe vor drei tagen xp neu installiert. danach fanden antivir etc. wieder trojaner. ich glaube, nicht alle konnten entfernt werden?
Ich poste mal das logfile:
Logfile of HijackThis v1.99.0
Scan saved at 19:50:18, on 04/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
D:\a2\a2guard.exe
C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
D:\Nueva carpeta\SpySub.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\SurfMusik 3.1\SurfMusik.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\RealOneMessageCenter.exe
D:\a2\a2start.exe
D:\a2\a2scan.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\ARCHIV~1\SECURE~1\sseagent.exe
C:\Documents and Settings\ruth\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Anonymizer 2005 Toolbar - {DB264E15-F83B-4603-BFC1-4EA7E3204686} - D:\AnonIEBar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-2fe89c996183} - c:\archivos de programa\steganos internet anonym 7\sia7iep.dll
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "D:\a2\a2guard.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Nueva carpeta\SpySub.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0377b1a8fca7d611d920/netzip/RdxIE601_de.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AD3D7D-B7E0-48CF-BF0B-5F0AB60F65E4}: NameServer = 62.14.63.145 62.14.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Fuer hilfe waere ich -wieder einmal- sehr dankbar. und, lasst uns die orte tauschen, ich schwitze hier bei ueber 35 grad seeeehn in die alte heimat. gruss +  schon jetzt. p.s. bis der alleine die smailiiies oeffnete, wartete ich 1 minute. gruss matthias

[TMK]

Aloha,

würde folgendes fixen:

C:\Archivos de programa\Archivos comunes\Real\Update_OB\RealOneMessageCenter.exe

O4 - Global Startup: DSLMON.lnk = ?

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

Falls du mit dem folgenden Eintrag nichts anfangen kannst, ggfs. auch diesen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AD3D7D-B7E0-48CF-BF0B-5F0AB60F65E4}: NameServer = 62.14.63.145 62.14.2.1

[matthias66]

hey tmk, dungeschän wie immer. du, : O4 - Global Startup: DSLMON.lnk = ?
ist glaube ich das modem meines providers? Aber, ich kann das ja mal loeschen. zur not installiere ich neu? muss mal schnell weg. melde mich nacher wieder. danke+gruss matthias

[TMK]

Der Eintrag ist überflüssig, ohne irgendeine Wirkung....ist eigentlich egal ob du den löschst oder nicht.

[matthias66]

  tmk, hab alles geloescht, wie du schriebst. der rechner funktioniert noch. aber, ist nur unwesentlich schneller. versteh ich nicht. wenn dir das etwas sagen sollte, ich habe 4MB an irgendwelchem Volumen? Ist das schnellste, was es hier auf dem markt gibt. Normal flutscht alles zackzack. Downloaden kann ich mit etwas mehr als 50kb, normal sind das 500 kb und mehr etc.

[TMK]

Was hat es denn mit dem "Anonymizer" aufsich, ist das Programm wichtig?

Norton AntiVirus und ZoneAlarm würde ich komplett vom System verbannen und stattdessen das SP2 für Windows XP installieren, ggfs. auch noch auf Firefox browsertechnisch umsteigen.

Eventuell mal noch mit SpyBot das System scannen:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

...das Hijackthis-Logfile ist soweit jedenfalls in Ordnung.

ich habe 4MB an irgendwelchem Volumen?

Weiß leider nicht was du damit meinst 

[matthias66]

  Hallo TMK, bitte entschuldige, dass ich mich erst jetzt melde. War unterwegs.
Also, komischerweise laeuft SP2 auf dem anderen Rechner gut. Auf diesem hier habe ich nur Probleme, weshalb ich wieder neu installierte dh. SP2 deinstallierte.
Ich habe auch vor einigen Tagen, bloed, vergass den Namen, eine andere fire-wall installiert. Danach ging garnichts mehr. Mit Mueh und Not im abgesicherten Modus konnte ich das deinstallieren. War im Forum empfohlen worden. So bin ich wieder zu Norton+zonealarm zurueckgekehrt.
Antivir teilt mir uebrigens immer mit, dass der Rechner noch infisziert ist. Ich finde aber keinen Hinweis auf den Namen des Virus bzw. Trojaner.
Ich las auch, dass ich womoeglich einen heftigentrojaner habe, der alles klaut/speichert, was ich tue? Wuerde mich mehr als nur aergern, weil ich gerade xp neu aufgespielt habe usw. So, erst mal einen Gruss matthias

[TMK]

Antivir teilt mir uebrigens immer mit, dass der Rechner noch infisziert ist. Ich finde aber keinen Hinweis auf den Namen des Virus bzw. Trojaner.

Was spuckt denn AntiVir genau aus?

...kannst ja eventuell einen Screenshot hier im Forum posten.

[matthias66]

hallo tmk, leider weiss ich noch immer nicht, wie ich einen screen-shot hibekomme. bei dieser gelegenheit: weisst du, ob es eine moeglichkeit gibt, den tatsaechlichen inhaber einer e-mail-adresse anhand der e-mail-adresse ausfindid zu machen? gruss matthias

[gschissenberger]

SCREENSHOT:
einfach auf "drucken" auf der tastatur drücken um den screen in die zwischenablage zu kopieren....
dann am einfachsten paint (sart/programme/zubehör/paint) öffnen und mit "strg+v" einfügen...

danach als .jpeg abspeichern (sonst is es zu gross!) und dann hier im forum bei den "erweiterten optionen" (unter dem text-eingabe-feld) auswählen


->fertig

[Thaman]

Also wenn du sagst, dass der andere mit dem Sp2 gut funktioniert und der nicht, hört sich das für mich wie ein Treiberproblem an. Sauge dir wenns geht mal aktuelle Treiber für deine  Geräte runter, und installier die mal !!


ZoneAlarm macht generell unter Sp2 Probleme, bitte dieses Progi unter SP2 vermeiden. Das ein Norton Scanner sich nicht gut mit einer Zone Alarm Firewall verträgt, ist mir neu, normal funtzt das gespann McAffee und Zone Alarm ned.


lg