hey, ich habe seit kurzem ein kleines problem, und ich hoffe einer von euch "profis" kann mir damit mal helfen. ich bin leidenschaftlicher zocker, doch seit kurzem verliere ich in spielen öfter mal die verbindung oder sie wird sehr schlecht und es laggt. ich habe schon alle möglichen ursachen ausgeschlossen, es kann eigentlich nur an einem virus oder so liegen. am anfang dachte ich ja es liegt an dieses tracking cookies. ich habe dieses problem schon in mehreren anderen postings gesehen, die tips haben mir aber nicht weitergehoflen. die tracking cookies die mir ad-aware angezeigt hat habe ich zwar gelöscht, aber es läuft trotzdem noch nicht flüssig. hier is mein hjt-log:



Logfile of HijackThis v1.99.1
Scan saved at 18:16:50, on 4.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
e:\dsl\fritz\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\dsl\ICQLite\ICQLite.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Software\Alcohol\deamontools\DAEMON Tools\daemon.exe
E:\dsl\fritz\FwebProt.exe
e:\dsl\fritz\StCenter.EXE
E:\dsl\xfire\Xfire.exe
E:\Software\Spiele\Valve\Steam\steam.exe
e:\dsl\fritz\fritzdsl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\MrMan\Desktop\W3XCustomKick12001.exe
E:\Software\Spiele\Warcraft\WC3Banlist\WC3Banlist.exe
C:\WINDOWS\System32\sccsumdm.exe
E:\DSL\FIREFOX.EXE
E:\Software\Winrare\WinRAR.exe
C:\Dokumente und Einstellungen\MrMan\Desktop\Neuer Ordner (3)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/xtraz/warsheep_boards.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programme\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "E:\dsl\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Software\Alcohol\deamontools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [jpgdiag] C:\WINDOWS\system32\jpgconf.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\dsl\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Protect.lnk = E:\dsl\fritz\FwebProt.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\dsl\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\dsl\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\dsl\fritz\sarah.dll
O10 - Unknown file in Winsock LSP: e:\dsl\fritz\sarah.dll
O10 - Unknown file in Winsock LSP: e:\dsl\fritz\sarah.dll
O10 - Unknown file in Winsock LSP: e:\dsl\fritz\sarah.dll
O10 - Unknown file in Winsock LSP: e:\dsl\fritz\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7A13399-DBAB-44A2-A4FE-66A4753275E9}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: crypds16.dll e1.dll confjpg.dll jpgstat.dll
O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\SYSTEM32\jpgmgr32.dll
O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\system32\sccsumdm.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O21 - SSODL: blippers - {f2efa195-4785-4db1-9316-b48c64bb71da} - (no file)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - e:\dsl\fritz\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


ich hoffe ihr könnt daraus irgendwas erkennen, ich bin nämlich aus den erklärungen zur auswertung nich schlau geworden XD hoffentlich könnt ihr mir helfen

Hi,
Die Cookies sind harmlos und sicher nicht teil deines Problems...

Eine Ursache könnte When.U.Save sein, das bei dir aufm Rechner läuft.

Mehr Gedanken würde ich mir aber über diese Dateien machen:

Zitat:

O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\SYSTEM32\jpgmgr32.dll
O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\system32\sccsumdm.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)

Lass die 3 bitte mal bei virustotal auswerten, poste die Ergebnisse dann hier, mit den zusätzlichen Infos.

ok, vielen dank, hier habe ich die auswertung von virustotal von der ersten datei:
Complete scanning result of "jpgmgr32.dll", received in VirusTotal at 03.09.2007, 15:46:20 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.09.2007 Worm/Stration.BL.3
Authentium 4.93.8 03.08.2007 no virus found
Avast 4.7.936.0 03.09.2007 Win32:Warezov-BCX
AVG 7.5.0.447 03.08.2007 I-Worm/Stration.CGS
BitDefender 7.2 03.09.2007 Win32.Warezov.BF@mm
CAT-QuickHeal 9.00 03.08.2007 no virus found
ClamAV devel-20060426 03.09.2007 no virus found
DrWeb 4.33 03.09.2007 Win32.HLLM.Limar
eSafe 7.0.14.0 03.08.2007 Win32.Warezov.lj
eTrust-Vet 30.6.3467 03.09.2007 Win32/Stration!generic
Ewido 4.0 03.09.2007 Worm.Warezov.lj
FileAdvisor 1 03.09.2007 no virus found
Fortinet 2.85.0.0 03.09.2007 W32/Stration.LJ@mm
F-Prot 4.3.1.45 03.08.2007 no virus found
F-Secure 6.70.13030.0 03.09.2007 Email-Worm.Win32.Warezov.lj
Ikarus T3.1.1.3 03.09.2007 Email-Worm.Win32.Warezov.dq
Kaspersky 4.0.2.24 03.09.2007 Email-Worm.Win32.Warezov.lj
McAfee 4980 03.08.2007 no virus found
Microsoft 1.2204 03.09.2007 no virus found
NOD32v2 2105 03.09.2007 Win32/Stration.XS
Norman 5.80.02 03.09.2007 W32/Stration.ESB
Panda 9.0.0.4 03.09.2007 Malware Generic
Prevx1 V2 03.09.2007 no virus found
Sophos 4.15.0 03.09.2007 W32/Stratio-EE
Sunbelt 2.2.907.0 03.07.2007 no virus found
Symantec 10 03.09.2007 W32.Stration.DB@mm
TheHacker 6.1.6.073 03.09.2007 W32/Warezov.lj
UNA 1.83 03.07.2007 I-Worm.Warezov.bg
VBA32 3.11.2 03.08.2007 suspected of Embedded.MalwareScope.Worm.Warezov.1
VirusBuster 4.3.19:9 03.09.2007 Trojan.Agent.GHZ

Aditional Information
File size: 360448 bytes
MD5: 4a2f8cd30754fc2de60d6f696d1048cd
SHA1: c700d3287562412e2463e0ee4d07db5fc0af361e



und hier von der zweiten:

Complete scanning result of "sccsumdm.dll", received in VirusTotal at 03.09.2007, 15:52:59 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.09.2007 WORM/Stration.Gen
Authentium 4.93.8 03.08.2007 W32/Warezov.gen4
Avast 4.7.936.0 03.09.2007 Win32:Warezov-BDF
AVG 7.5.0.447 03.08.2007 I-Worm/Stration.CGI
BitDefender 7.2 03.09.2007 DeepScan:Generic.Stration.E84B37D2
CAT-QuickHeal 9.00 03.08.2007 no virus found
ClamAV devel-20060426 03.09.2007 no virus found
DrWeb 4.33 03.09.2007 Win32.HLLM.Limar
eSafe 7.0.14.0 03.08.2007 Win32.Warezov.lr
eTrust-Vet 30.6.3467 03.09.2007 Win32/Stration!generic
Ewido 4.0 03.09.2007 Worm.Warezov.lr
FileAdvisor 1 03.09.2007 no virus found
Fortinet 2.85.0.0 03.09.2007 W32/Stration.LR@mm
F-Prot 4.3.1.45 03.08.2007 W32/Warezov.gen4
F-Secure 6.70.13030.0 03.09.2007 Email-Worm.Win32.Warezov.lr
Ikarus T3.1.1.3 03.09.2007 Email-Worm.Win32.Warezov.lr
Kaspersky 4.0.2.24 03.09.2007 Email-Worm.Win32.Warezov.lr
McAfee 4980 03.08.2007 W32/Stration.gen@MM
Microsoft 1.2204 03.09.2007 no virus found
NOD32v2 2105 03.09.2007 Win32/Stration.XO
Norman 5.80.02 03.09.2007 no virus found
Panda 9.0.0.4 03.09.2007 W32/Spamta.TV.worm
Prevx1 V2 03.09.2007 no virus found
Sophos 4.15.0 03.09.2007 W32/Strati-Gen
Sunbelt 2.2.907.0 03.07.2007 Email-Worm.Win32.Warezov.lr
Symantec 10 03.09.2007 W32.Stration@mm
TheHacker 6.1.6.073 03.09.2007 W32/Warezov.lr
UNA 1.83 03.07.2007 no virus found
VBA32 3.11.2 03.08.2007 MalwareScope.Worm.Warezov.6
VirusBuster 4.3.19:9 03.09.2007 no virus found

Aditional Information
File size: 106496 bytes
MD5: 01c1675237b8ec370dd9e22e412755c1
SHA1: 0e2d63abe9a859ce198e474ed087c115619d657e





die dritte konnt ich ja nicht scannen lassen, da sie ja eben nicht da war. anscheinend sind diese dateien ja also viren oder würmer oder was auch immer, also soll ichdie jetzt einfach löschen und dann ist gut?

Hallo,
hier eine Analyse des Dings das jetzt bei dir wohnt....

W32/Strati-Gen - Wurm - Sophos Bedrohungsanalyse

Wie schätz ein "Zocker" seine Chance heil davonzukommen ein,wenn ich ihm folgendes Szenario aufbaue ?

Du spielst Russisches Roulette,du bist am Abzug,eine Kugel,...aber es ist eine Automatic mit der du nun schießen sollst....

So stellt sich die Situation auf deinem Compi da....
Irrlicht

hmm, danke für die schnelle hilfe, aber da ich sopho antivirus net habe hilft es mir nicht wirklich. ich würde gerne wissen, wie ich die datei (und auch die andere, da es sich ja anscheinend um 2 unterschiedliche viren handelt) enfernen kann. außerdem zeigt ja mein hijack log noch an, dass die datei wmvmgr32.dll fehlt, hat das was zu sagen?

und den vergleich mit dem russischen roulette hab ich auch nich kapiert, willst du sagen mein computer is so gut wie im eimer@irrlicht?

Ich glaube sowas in der Art wollte er sagen! Oder, Irrlicht?

vielen dank für diese wirklich hilfreiche antwort greenhorn, aber hat denn nicht mal jemand etwas wirklich nützliches? außerdem: wie bekomm ich denn dieses behinderte whenUsave runter, bei prozessen im task manager und so wird es nicht angezeigt, und auch der pfad der von hjt angegeben wird existiert bei mir überhaupt nicht

Hallo,
hast du meinen Link überhaupt gelesen ?

Was sagt dir das ?

Zitat:

Schaltet Antiviren-Anwendungen aus
Sendet sich an Adressen in Outlook-Adressbüchern
Fälscht die E-Mail-Adresse des Senders
Verwendet seine eigene E-Mail-Engine
Lädt Code aus dem Internet herunter

Okay ...mein "Russisch Roulette" Beispiel war vielleicht nicht für Jedermann verstehbar....
Der Witz dabei ist ,das eine "Automatic" keine Trommel hat an der man drehen kann.Im Gegensatz zum Trommelrevolver,der wenigstens noch die 1zu 6 Möglichkeit läßt,davonzukommen...
Bei einer "Automatic" gibt es kein Davonkommen...

Zitat:

willst du sagen mein computer is so gut wie im eimer

Du kannst "so gut wie" streichen !

Es heißt dann so :

Zitat:

mein computer is im eimer !!!!!

Deshalb : Neuaufsetzen nach unserer Anleitung in der FAQ-Sektion !

PS.
Dein zweiter Thread ist sowas von unnötig...
Irrlicht

ich hab deinen tollen witz schon verstanden, und trotzdem hat mir dein link halt net geholfen, weil ich nich wissen will was der worm macht (is mir ja letztendlich egal, er soll halt weg) sondern weil ich auch noch andere fragen hatte. ich dachte hier findet sich vllt mal wer der mir helfen kann und hab deshalb in dem bekämpfungsforum nachgefragt. egal.... und gibts es keinen anderen weg als windows neu draufzuhaun????

Also ich bin ja sehr neu auf dem Board und recht unerfahren mit HijackThis, aber recht erfahren mit PCs. Ich versuch mal, das, was ich verstanden habe, zusammenzufassen. Falls davon etwas fehlerhaft ist, werd mich sicher bald jemand darauf hinweisen.

Also: du, Huckelikuck, hast dir einen Wurm eingehandelt, der unter anderem "Code aus dem Internet herunterlädt". Dabei kann es sich um alles mögliche handeln, bspw auch scheinbare Systemdateien (korrekter Ordner, korrekter Name, korrekte Funktion), die jedoch noch kleine Ergänzungen hinzugefügt bekamen, die Schaden anrichten können (Keylogger, Spam-Versender, usw). Du hast keine Chance, diese Dateien zu finden. Ergo bleibt dir nur als Lösung, deine Festplatte neu zu formatieren und Windows frisch zu installieren. Darüber installieren oder reparieren zu wollen reicht nicht. Die Anleitung dazu hast du bereits verlinkt bekommen. Falls du nicht neu formatierst, lebst du mit der Unsicherheit, dass dein PC eventuell Dinge tut, die er nicht tun soll, sodass du bspw kein Online-Banking mehr machen kannst, keine Passwörter bei eBay usw eingeben kannst.... weil es könnte dir jederzeit ein Keylogger zuschauen.

So hab ich das verstanden. Für Ergänzungen und Korrekten sind Huckelikuck und ich sicherlich dankbar

wow, thx damon, das war endlich mal die antwort die ich mir erwünscht hab. eine einzige frage hätt ich allerdings noch: da ich ja mit online banking und dergleichen relativ wenig am hut habe und ich auch sonst keine top-secret dateien auf meinem computer gelagert habe, ist es mir eigentlich egal wer auf meinem computer rumschnüffelt. wenn es also eine lösung gäbe, die die schwankenden internetübertragungsraten korrigieren könnten, würde ich gerne darüber bescheid wissen, selbst wenn das eigentliche problem der viren weiter bestehn bleibt. danke schon mal im vorraus

Ganz einfach: Unternimm nichts. Demnächst bemerkt dein Provider, welchen Mist dein Rechner versendet und sorgt dafür, daß deine Übertragungsrate nie wieder schwanken kann, indem er sie auf 0 setzt. Und dann kannst Du in Zukunft wieder "Mensch ärger dich nicht" und Solitär zocken.