Hallo Leute

ich hab da so ein problem. ich hab einen neuen Router bekommen Speedport W501V! Seitem ich den Router habe, hab ich verbindungsprobleme.
Mein Router zeigt an das ich ne Verbindung habe aber alle 2 Std muss ich mein PC neustarten damit mein internet explorer oder firefox funzt! Also kurz gesagt alle 2 std öffnen sich die Seiten nichtmehr obwohl ich eine bestehende Verbindung habe!

N kumpel hat mir gesgat es kann sein das du irgendeinen Trojaner aufm PC hast..
also hab ich adaware durchlaufen lassen da gibts etwas, was ich nicht löschen kann kann es vll. daran liegen?
der trojaner ist folgendes

HKEY_LOCAL_MACHINE:software\microsoft\windows nt\currentversion\winlogen"shell" ( explorer.exe dxnote32.exe )

kann des damit zusammenhängen? ich hab keine ahnung
vll. könntet ihr mir ja weiterhelfen..

danke im voraus..

grüßle DMX

mOIn auch

erstelle mal ein HijackThis Log
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG

Logfile of HijackThis v1.99.1
Scan saved at 13:57:06, on 04.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\dxnote32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\FRAPS\FRAPS.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Nemesis\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kwick.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
F2 - REG:system.ini: Shell=explorer.exe dxnote32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [dxnote32] C:\WINDOWS\system32\dxnote32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - c:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe

bittesehr

mOIn

es wird sich bei der Datei dxnote32.exe vermutlich um einen Backdoortrojaner handeln, um sicherzugehen lasse die Datei hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei,
auch wenn nichts gefunden wurde.

Sollte sich der Fund als Backdoor herausstellen, bleibt dir nur dieses.

MFG

Antivirus Version Update Result
AntiVir 7.2.0.37 11.06.2006 BDS/Delf.agf.28.B
Authentium 4.93.8 11.05.2006 Possibly a new variant of W32/Threat-Backdoor-Silly-based!Maximus
Avast 4.7.892.0 11.03.2006 Win32elf-AYZ
AVG 386 11.04.2006 BackDoor.Generic.MTA
BitDefender 7.2 11.06.2006 Backdoor.Delf.AGF
CAT-QuickHeal 8.00 11.06.2006 Backdoor.Delf.agf
ClamAV devel-20060426 11.06.2006 no virus found
DrWeb 4.33 11.06.2006 BackDoor.Turkojan.13
eTrust-InoculateIT 23.73.47 11.06.2006 no virus found
eTrust-Vet 30.3.3178 11.06.2006 Win32/Cakl!generic
Ewido 4.0 11.06.2006 Backdoor.Delf.agf
Fortinet 2.82.0.0 11.06.2006 W32/Delf.AGF!tr
F-Prot 3.16f 11.04.2006 Possibly a new variant of W32/Threat-Backdoor-Silly-based!Maximus
F-Prot4 4.2.1.29 11.04.2006 W32/Threat-Backdoor-Silly-based!Maximus
Ikarus 0.2.65.0 11.05.2006 no virus found
Kaspersky 4.0.2.24 11.06.2006 Backdoor.Win32.Delf.agf
McAfee 4888 11.03.2006 potentially unwanted program PWCrack-MPass
Microsoft 1.1609 11.06.2006 no virus found
NOD32v2 1.1854 11.06.2006 Win32/RiskWare.PassViewer
Norman 5.80.02 11.06.2006 W32/Delf.BLI
Panda 9.0.0.4 11.06.2006 Trj/VictimPasswords.A
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.06.2006 Backdoor.Win32.Delf.agf
VirusBuster 4.3.15:9 11.06.2006 no virus found

Aditional Information
File size: 333312 bytes
MD5: 910e9847504d59011512dff5d0e2f859
SHA1: 90f53c789d56c5402c2400d905f4a80d125b2eff
packers: UPX
packers: UPX
packers: UPX
packers: UPX
packers: UPX

also des kam raus..
wie löse ich das problem?

kann dies der grund sein wieso ich nach 2 std keine internet seiten mehr aufrufen kann, obwohl ich ne verbindung zum internet habe?
und meinen pc neustarten muss damit es wieder geht!

greetz

mOIn auch

Zitat:

kann dies der grund sein wieso ich nach 2 std keine internet seiten mehr aufrufen kann

sehr wahrscheinlich sogar

Zitat:

wie löse ich das problem?

indem du diese Anleitung ganz genau befolgst.
Dein System ist nicht mehr vertrauenswürdig, da bei dir ein Backdoortrojaner aktiv im System war/ist.
Lies dich hier mal ein bisschen ein.

MFG

also soll ich kurz gesagt meinen pc formatieren oder wie?

Zitat:

Zitat von DarkManX1985

also soll ich kurz gesagt meinen pc formatieren oder wie?

Kurz und knapp: Ja

ja kan nich meinen rechner irgendwie formatieren ohne das es zu datei verluste kommt? ich hab zu viele wichtige sachen aufm rechner und nur eine c festplatte.
kann ich die gleich auf 2 teilen oder gar 3 ?

aber keine Datenverluste!

mOIn

Zitat:

ja kan nich meinen rechner irgendwie formatieren ohne das es zu datei verluste kommt?

währe mir neu

Zitat:

kann ich die gleich auf 2 teilen oder gar 3

ja, das solltest du nach dem Formatieren auf jeden Fall machen

Zitat:

ich hab zu viele wichtige sachen aufm rechner

was hättest du bei einem Festplattentotalschaden gemacht?

Brenne deine 'wichtigen' Sachen und setze die Kiste wie in der Anleitung beschrieben neu auf.

MFG

ohje voll der stress und ich kotz voll ab..
na dann mach ich des am we mal..
aber danke für eure hilfe.. :-)