Nach Adware und Privacy_danger Entfernung rattert die Platte

Alff · 15.07.2007, 20:02

Hi,

heute ist es mir gelungen die zumindest visuellen Auswirkungen der Adware und privacy_danger programme zu eliminieren.
Geholfen hat letztendlich die Anleitung aus dem Forum ( mit HJT und die Bereinigung mit Smitfraudfix)
Danke dafür.

Seit meinem Virenbefall vor einigen Tagen stelle ich allerdings fest, dass die Platte ununterbrochen rattert. Was da passiert und welcher Prozess da ständig zugreift weiss ich nicht.

Sind da vom Virenbefall vielleicht doch noch Restprogramme aktiv ?

Für Hilfe wäre ich dankbar

Hier meine Logs

HiJackFree Logfile v3.0
Scan gespeichert um 20:48:42, am 15.07.2007
Betriebssystem: Windows XP Service Pack 2 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 7.0 Service Pack 2 (7.0.5730.11)

Aktive Prozesse:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA-Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\ClocX\ClocX.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\Programme\a-squared HiJackFree\a2hijackfree.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\tbu5\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe 6.0\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: URLDetector Class - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten4\IEButtonAmazonInterface.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe 6.0\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten4\IEButtonEbayInterface.dll
O2 - BHO: MSVPS System - {D3936AE2-494C-4D80-A4A3-702B63C30104} - C:\WINDOWS\qnxplugin.dll
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\Preispiraten4\IEButtonPPInterface.dll
O2 - BHO: - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~4\KTTOOL~1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu5\toolbaru.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~4\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe 6.0\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx2\PXConsole.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe 6.0\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - Regedit - Aktiv
O8 - Extra Kontextmenü Eintrag: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra Kontextmenü Eintrag: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra Kontextmenü Eintrag: amazon Suche - C:\Programme\Preispiraten\Preispiraten4\Searchamazon.htm
O8 - Extra Kontextmenü Eintrag: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten4\Searchamazon.htm
O8 - Extra Kontextmenü Eintrag: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten4\SearchEbaymein.htm
O8 - Extra Kontextmenü Eintrag: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten4\SearchEbaypower.htm
O8 - Extra Kontextmenü Eintrag: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten4\SearchEbay.htm
O8 - Extra Kontextmenü Eintrag: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten4\SearchEbay.htm
O8 - Extra Kontextmenü Eintrag: Google Suche - C:\Programme\Preispiraten\Preispiraten4\SearchGoogle.htm
O8 - Extra Kontextmenü Eintrag: Google Suche starten - C:\Programme\Preispiraten\Preispiraten4\SearchGoogle.htm
O8 - Extra Kontextmenü Eintrag: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra Kontextmenü Eintrag: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\bilder\p4.ico
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra "Tools" menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra "Tools" menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra "Tools" menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unbekannte Winsock LSP Datei: C:\WINDOWS\system32\spacklsp.dll
O10 - Unbekannte Winsock LSP Datei: C:\WINDOWS\system32\spacklsp.dll
O10 - Unbekannte Winsock LSP Datei: C:\WINDOWS\system32\spacklsp.dll
O10 - Unbekannte Winsock LSP Datei: C:\WINDOWS\system32\spacklsp.dll
O10 - Unbekannte Winsock LSP Datei: C:\WINDOWS\system32\spacklsp.dll
O10 - Unbekannte Winsock LSP Datei: C:\WINDOWS\system32\spacklsp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - ShellServiceObjectDelayLoad: PostBootReminder -
O21 - ShellServiceObjectDelayLoad: CDBurn -
O21 - ShellServiceObjectDelayLoad: WebCheck -
O21 - ShellServiceObjectDelayLoad: SysTray -
O21 - ShellServiceObjectDelayLoad: WPDShServiceObj -
O22 - SharedTaskScheduler: Browseui preloader - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - C:\WINDOWS\System32\browseui.dll
O23 - Dienst: Ad-Aware 2007 Service - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Dienst: Adobe LM Service - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Dienst: AdobeVersionCue - C:\Programme\Adobe 6.0\Adobe Version Cue\service\VersionCue.exe
O23 - Dienst: Warndienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Gatewaydienst auf Anwendungsebene - C:\WINDOWS\System32\alg.exe
O23 - Dienst: Anwendungsverwaltung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: ASP.NET State Service - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Dienst: Windows Audio - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Kaspersky Internet Security 7.0 - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Dienst: Belkin 54g Wireless USB Network Adapter - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Dienst: Intelligenter Hintergrundübertragungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Computerbrowser - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Indexdienst - C:\WINDOWS\System32\cisvc.exe
O23 - Dienst: Ablagemappe - C:\WINDOWS\system32\clipsrv.exe
O23 - Dienst: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Dienst: COM+-Systemanwendung - C:\WINDOWS\System32\dllhost.exe
O23 - Dienst: Kryptografiedienste - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: DCOM-Server-Prozessstart - C:\WINDOWS\system32\svchost
O23 - Dienst: AVM FRITZ!web Routing Service - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Dienst: DHCP-Client - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Verwaltungsdienst für die Verwaltung logischer Datenträger - C:\WINDOWS\System32\dmadmin.exe
O23 - Dienst: Verwaltung logischer Datenträger - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: DNS-Client - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Fehlerberichterstattungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Ereignisprotokoll - C:\WINDOWS\system32\services.exe
O23 - Dienst: COM+-Ereignissystem - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Kompatibilität für schnelle Benutzerumschaltung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Fax - C:\WINDOWS\system32\fxssvc.exe
O23 - Dienst: Google Updater Service - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Dienst: Hilfe und Support - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Eingabegerätezugang - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: HTTP-SSL - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: InstallDriver Table Manager - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Dienst: IMAPI-CD-Brenn-COM-Dienste - C:\WINDOWS\System32\imapi.exe
O23 - Dienst: Server - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Arbeitsstationsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: TCP/IP-NetBIOS-Hilfsprogramm - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: MEMSWEEP2 - C:\WINDOWS\system32\1EE.tmp
O23 - Dienst: Nachrichtendienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: NetMeeting-Remotedesktop-Freigabe - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Dienst: Distributed Transaction Coordinator - C:\WINDOWS\System32\msdtc.exe
O23 - Dienst: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Dienst: Netzwerk-DDE-Dienst - C:\WINDOWS\system32\netdde.exe
O23 - Dienst: Netzwerk-DDE-Serverdienst - C:\WINDOWS\system32\netdde.exe
O23 - Dienst: Anmeldedienst - C:\WINDOWS\System32\lsass.exe
O23 - Dienst: Netzwerkverbindungen - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: NLA (Network Location Awareness) - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: NT-LM-Sicherheitsdienst - C:\WINDOWS\System32\lsass.exe
O23 - Dienst: Wechselmedien - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: NVIDIA Display Driver Service - C:\WINDOWS\system32\nvsvc32.exe
O23 - Dienst: Office Source Engine - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
O23 - Dienst: Plug & Play - C:\WINDOWS\system32\services.exe
O23 - Dienst: Pml Driver HPZ12 - C:\WINDOWS\system32\HPZipm12.exe
O23 - Dienst: IPSEC-Dienste - C:\WINDOWS\System32\lsass.exe
O23 - Dienst: Prevx Agent - C:\Programme\Prevx2\PXAgent.exe
O23 - Dienst: Geschützter Speicher - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Remote Access Auto Connection Manager - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: RAS-Verbindungsverwaltung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Sitzungs-Manager für Remotedesktophilfe - C:\WINDOWS\system32\sessmgr.exe
O23 - Dienst: Routing und RAS - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: RPC-Locator - C:\WINDOWS\System32\locator.exe
O23 - Dienst: Remoteprozeduraufruf (RPC) - C:\WINDOWS\system32\svchost
O23 - Dienst: QoS-RSVP - C:\WINDOWS\System32\rsvp.exe
O23 - Dienst: Sicherheitskontenverwaltung - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Smartcard - C:\WINDOWS\System32\SCardSvr.exe
O23 - Dienst: Taskplaner - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Spyware Doctor Auxiliary Service - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Dienst: Spyware Doctor Service - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Dienst: Sekundäre Anmeldung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Systemereignisbenachrichtigung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Shellhardwareerkennung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Druckwarteschlange - C:\WINDOWS\system32\spoolsv.exe
O23 - Dienst: Systemwiederherstellungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: SSDP-Suchdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows-Bilderfassung (WIA) - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: MS Software Shadow Copy Provider - C:\WINDOWS\System32\dllhost.exe
O23 - Dienst: Leistungsdatenprotokolle und Warnungen - C:\WINDOWS\system32\smlogsvc.exe
O23 - Dienst: Telefonie - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Terminaldienste - C:\WINDOWS\System32\svchost
O23 - Dienst: Designs - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: T-Online DSL-Manager - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Dienst: Überwachung verteilter Verknüpfungen (Client) - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Universeller Plug & Play-Gerätehost - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Unterbrechungsfreie Stromversorgung - C:\WINDOWS\System32\ups.exe
O23 - Dienst: Volumeschattenkopie - C:\WINDOWS\System32\vssvc.exe
O23 - Dienst: Windows-Zeitgeber - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Webclient - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows-Verwaltungsinstrumentation - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Dienst für Seriennummern der tragbaren Medien - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: WMI-Leistungsadapter - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Dienst: Windows Media Player-Netzwerkfreigabedienst - C:\Programme\Windows Media Player\WMPNetwk.exe
O23 - Dienst: Sicherheitscenter - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Automatische Updates - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows Driver Foundation - User-mode Driver Framework - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Konfigurationsfreie drahtlose Verbindung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: xControlCOM - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
O23 - Dienst: Netzwerkversorgungsdienst - C:\WINDOWS\System32\svchost.exe

Der Log von Smitfraudfix vor der Bereinigung

SmitFraudFix v2.204

Scan done at 17:38:27,24, 15.07.2007
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA-Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\ClocX\ClocX.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Prevx2\PXConsole.exe
C:\Programme\Prevx2\PXAgent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\.protected FOUND !
C:\WINDOWS\qnxplugin.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Enrico Alff

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Enrico Alff\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ENRICO~1\STARTM~1\PROGRA~1\AUTOST~1\.protected FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\.protected FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ENRICO~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\NewMediaCodec\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Belkin 54Mbps Wireless USB Network Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A9B8B4AF-6F0B-4496-BC78-B0D30711FFDB}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A9B8B4AF-6F0B-4496-BC78-B0D30711FFDB}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Und der Log nach der Bereinigung mit Smitfraudefix

SmitFraudFix v2.204

Scan done at 18:16:03,65, 15.07.2007
Run from C:\Programme\Network Associates\DAT Files\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\.protected Deleted
C:\WINDOWS\qnxplugin.dll Deleted
C:\DOKUME~1\ENRICO~1\STARTM~1\PROGRA~1\AUTOST~1\.protected Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\.protected Deleted
C:\Programme\NewMediaCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A9B8B4AF-6F0B-4496-BC78-B0D30711FFDB}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A9B8B4AF-6F0B-4496-BC78-B0D30711FFDB}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Kaspersky Internet Security sagt: alles OK
Prevx2.0 sagt auch alles i.O

Für Hilfe wäre ich dankbar

MfG Alff

Alff · 16.07.2007, 11:48

Hi,

hier noch eine Zusatzinfo, die mich darin bestärkt, dass etwas nicht stimmt.
Wenn ich den PC offline hochfahre, ist nach kurzer Zeit Ruhe.
Sobald ich das Netzwerk öffne ( Internet) geht es los.
Die Platte arbeitet ununterbrochen.
Das System wird langsam.

Kann das mit Kaspersky zusammenhängen ?

Dankbar für Anregungen und Hilfe

MfG
Alff

irrlicht · 16.07.2007, 17:45

Hallo,

da sowas tausend Ursachen haben könnte,würde ich den einfachen Weg erstmal vorschlagen....

start> alle Programme > Zubehör > systemprogramme > Datenträgerbereinigung
und wenn das geschehen ist , > Defragmentierung

Ratternde Platten sind per se nix schlechtes...immerhin weißt du das gearbeitet wird...

Könnte allerdings auch ein erstes Zeichen einer baldigen Verabschiedung in die ewigen Festplattengründe sein..

Wie hältst du`s mit der Datensicherung ,wäre jetzt eine Frage die du dir stellen solltest...

Irrlicht,
der spaßeshalber nicht mehr antwortet " Das sind Schaben die bei 7200 U/min von der Platte fliegen und gegen das Gehäuse klatschen"
Die besorgte Frau Mama ließ einen Ungezieferspezialisten kommen...

Alff · 16.07.2007, 18:14

Hi,

Mein problem ist, dass nach Entfernung aller Schadsoftware mein System zumindest visuell wieder ok ist.

Sobald ich allerdings über WLA/DSL online gehe rattert meine Platte unentwegt vor sich hin ( über Stunden) und das System wird langsam.

Ich vermute irgendwelche Prozesse ( unsichtbar) die aktiv sind und irgendetwas tun. Vermutlich doch noch Restprogramme der Viren/Würmer

Sobald ich die Internetverbindung kappe ist sofort Ruhe.

Das spricht zumindest gegen die Vermutung, dass meine Platte bald den Geist aufgibt.

Wie gesagt, wenn ich offline bin ist alles OK,

Platte habe ich vor ca. 2 Wochen defragmentiert.

Danke

ordell1234 · 16.07.2007, 21:33

Hallo Alff

Zitat:

Zitat von Alff

Kann das mit Kaspersky zusammenhängen ?

Unwahrscheinlich. Der Grund deiner Probleme dürfte dieser Eintrag sein

Zitat:

O4 - HKLM\..\Run: [smgr] mgrs.exe

Das Teil gehört zur SD-Bot Familie und erlaubt Fernzugriff auf deinen Rechner.

Werte die Datei bei virustotal.com aus. Leider fehlt die Pfadangabe. Nimm diese Einstellungen vor und durchsuche deinen Rechner nach mgrs.exe. (probiers notfalls auch im abgesicherten Modus)

Treten Probleme beim Hochladen auf, nutze die Killbox, delete on reboot, gib den Pfad der mgrs.exe in das Fenster ein und klicke auf das weiße Kreuz vor rotem Hintergrund. Nach dem Neustart sollte sich die Datei im Ordner C:\Killbox befinden. Starte einen erneuten Versuch, die Datei hochzuladen. Poste die Ergebnisse der Auswertung inkl. Dateigröße.

Bestätigt sich der Verdacht, bleibt dir als einzig sichere Möglichkeit das Neuaufsetzen. Nimm deine Kiste sofort vom Netz und ändere sämtliche Passwörter + Zugangsdaten (sofern möglich) nach dem Neuaufsetzen.

Gruß

Alff · 17.07.2007, 10:19

Hi Ordell1234,
danke zunächst mal.
Habe ich soweit getan.
Die Datei mgrs.exe kann ich nirgends finden. Ich glaube sie wurde bereits gelöscht durch Spyware Doctor oder Smitfraude. Ich habe in den letzten Tagen ja viel versucht.

Meine Vermutung:
mit den Prozessen svhost.exe und WLanCfgG.exe stimmt was nicht.
Wenn ich am Netz bin und die Platte pausenlos arbeitet, dann belegen diese beiden Prozesse ca. 15% Leistung je.
Gehe ich vom Netz sind beide bei 0 %

Irgendwo habe ich gelesen, dass WLanCfgG.exe u.U. ein Trojaner sein kann.

Danke für weitere Hilfe.

Hier mein aktueller HJT
da steht auch nichts mehr von mgrs.exe

HiJackFree Logfile v3.0

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

ordell1234 · 17.07.2007, 14:12

Zitat:

Zitat von Alff

Irgendwo habe ich gelesen, dass WLanCfgG.exe u.U. ein Trojaner sein kann.

Prinzipiell kann jede ausführbare Datei (und die Liste der ausführbaren Dateien ist lang) ein Trojaner bzw. infiziert sein. Anhaltspunkte liefern Name, Pfad, Größe und idealerweise eine Prüfsumme der Datei. Auf den ersten Blick, der meist genügen muss, sieht

Zitat:

C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe

ok aus. Bist du unsicher, lade die Datei bei virustotal hoch.

"svhost"? Wo, wer, was?

"svchost" gehört zu XP und fasst mehrere Dienst-dlls zusammen. Google verrät dir mehr

.

"msgr.exe" - Links was sie anstellt:
- sophos
- PC Mag
- CastleCops

Links, warum eine "Bereinigung" sinnlos ist
- oschad
- Malte Wetz
- microsoft

Tu dir und anderen einen Gefallen und mach die Kiste platt, Gruß

Alff · 19.07.2007, 10:32

Hi,

danke für die Unterstützung.
Das System wurde immer instabiler.
Habe es also platt gemacht.
In der letzten Woche habe ich sehr viel über Viren erfahren und dazu gelernt.
Die letzten beiden Tage beim Wiederaufsetzen waren auch spannend.

Euch weiterhin gute Jagd !

Alff

Der Beitrag kann geschlossen werden.

Nach Adware und Privacy_danger Entfernung rattert die Platte

Log-Analyse und Auswertung: Nach Adware und Privacy_danger Entfernung rattert die Platte