Liebe Leute,

seit einigen Tagen öffnen sich Websiten immer langsamer, ich habe also die gängigen Programme über den Rechner laufen lassen - und bin damit nicht weiter gekommen.
Ich poste hier mein HJT-Log und die Infektionsmeldungen von eScan. Kann mir bitte jemand sagen, wie ich insbesondere diese Datei: O2 - BHO: (no name) - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - (no file) fixen kann. Im Anschluss das Logfile von HijackThis und die Auswertung von eScan - da werden neun Viren gefunden, die ich aber mit keinem Programm finde.
Wäre sehr nett, wenn mal jemand draufschaun könnte.
Vielen Dank!

Johannes

Logfile of HijackThis v1.99.1
Scan saved at 21:48, on 2007-07-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\xampp\mysql\bin\winmysqladmin.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\WINZIP\winzip32.exe
D:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185528468529
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
D:\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sais Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sais Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sais Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sais Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sais Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sais Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\REinstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Favoriten\going places
Offending Folder found: C:\Dokumente und Einstellungen\Favoriten\going places
Offending Folder found: C:\Dokumente und Einstellungen\Favoriten\going places
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\istsvc !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sais !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\going places !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\istsvc !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sais !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\going places !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\istsvc !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sais !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\going places !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\istsvc !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sais !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\going places !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\istsvc !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sais !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\going places !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\istsvc !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sais !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\going places !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28341
Gescannte Dateien: 28341
Gescannte Dateien: 28341
Gescannte Dateien: 225
Gescannte Dateien: 225
Gescannte Dateien: 225
Gescannte Dateien: 28377
Gescannte Dateien: 225
Gescannte Dateien: 28377
Gescannte Dateien: 28494
Gefundene Viren: 9
Gefundene Viren: 9
Gefundene Viren: 9
Gefundene Viren: 0
Gefundene Viren: 0
Gefundene Viren: 0
Gefundene Viren: 9
Gefundene Viren: 0
Gefundene Viren: 9
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 170
Anzahl Fehler: 170
Anzahl Fehler: 170
Anzahl Fehler: 0
Anzahl Fehler: 0
Anzahl Fehler: 0
Anzahl Fehler: 169
Anzahl Fehler: 0
Anzahl Fehler: 169
Anzahl Fehler: 169
Dauer des Scans bisher: 00:06:05
Dauer des Scans bisher: 00:06:05
Dauer des Scans bisher: 00:06:05
Dauer des Scans bisher: 00:00:11
Dauer des Scans bisher: 00:00:11
Dauer des Scans bisher: 00:00:11
Dauer des Scans bisher: 00:04:29
Dauer des Scans bisher: 00:00:11
Dauer des Scans bisher: 00:04:29
Dauer des Scans bisher: 00:04:51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 21:27:56.26
Batchende: 21:28:04.91

Hallo Johannes,

Zitat:

wie ich insbesondere diese Datei: O2 - BHO: (no name) - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - (no file) fixen kann.

Funktioniert das über den Fix-Button von HijackThis nicht?
Dein eScan-Log ist etwas überfüllt, wahrscheinlich hattest du schon mehrere Durchgänge mit eScan gehabt und der zeigt auch die Einträge der anderen Scan-Sessions an.
Bei den Infektionsmeldungen hab ich den Eindruck dass eScan dort zu rel. vielen Fehlalarmen neigt, insbesondere bei denen wo keine konkrete Pfadangabe gemacht wurde. Und wenn helfen die so auch nicht weiter.
Poste bitte mal ein Logfile von Silentrunners, eins von tcpview wäre auch nicht schlecht. Wenn tcpview läuft, dann beende alle Programme vorher.

Im HJT-Logfile seh ich übrigens nichts auffälliges bis auf den schon von dir erwähnten Eintrag.

Hallo Arne.

die Datei O2 - BHO: (no name) - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - (no file) lässt sich durch HijackThis nicht fixen, bzw. taucht sie sofort wieder auf.
Die Datei C:\WINDOWS\system32\gdiplus.dll, für die eScan eine Virenmeldung abgibt, habe ich über Virus total ausgewertet, mit diesem Ergebnis: "FileAdvisor 1 2007.07.29 No threat detected, but known vulnerabilities exist."
Im Anschluss die Auswertung von Silent Runners.
Und vielen Dank für die Hilfe!

Gruß,
Johannes

"Silent Runners.vbs", revision R51, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"updateMgr" = ""C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1" ["Adobe Systems Incorporated"]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"PaperPort PTD" = "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" ["ScanSoft, Inc."]
"RAM_DEFRAG" = "(empty string)" [file not found]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"RegistryMechanic" = "(empty string)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Doc Object and Control Helper Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvs.dll" [MS]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
{C451C08A-EC37-45DF-AAAD-18B51AB5E837}\(Default) = (no title provided)
-> {HKLM...CLSID} = "PDFCreator Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
-> {HKLM...CLSID} = "InstantWrite Shellextension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\iwshex.dll" ["Pinnacle Systems, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CD Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\*.*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "*" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\*.*\Startmenü\Programme\Autostart
"WinMySQLadmin" -> shortcut to: "C:\Programme\xampp\mysql\bin\winmysqladmin.exe" ["MySQL AB"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"HPpromotions journeysoftware" -> launches: "C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe /N "journeysoftware" -r" ["hp"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 19


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}"
-> {HKLM...CLSID} = "PDFCreator Toolbar"
\InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" = "PDFCreator Toolbar"
-> {HKLM...CLSID} = "PDFCreator Toolbar"
\InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apache2, Apache2, ""C:\Programme\xampp\apache\bin\apache.exe" -k runservice" ["Apache Software Foundation"]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
mysql, mysql, "C:\Programme\xampp\mysql\bin\mysqld-nt.exe --defaults-file=C:\Programme\xampp\mysql\bin\my.cnf mysql" [null data]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]
PCL Language Monitor\Driver = "hpz3l3xu.dll" ["Hewlett-Packard Company"]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


---------- (launch time: 2007-07-29 12:18:11)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 86 seconds, including 18 seconds for message boxes)

Hi,
virustotal besteht nicht nur aus 1 Antivirenscanner, sondern aus über 20! Lade die Datei bitte nochmal hoch und warte bis die Datei von allen Scannern ausgerwertet wurde (Der Letzte dürfte Webhancer sein mE), es ist leicht zu erkennen, wann die Auswertung fertig ist: Dann steht unter dem Dateinamen "current status: finished".
Dann alles abkopieren und hier posten.

lg myrtile

Hallo myrtile,

hier die gesamte Auswertung, es gab sonst kein Ergebnis, deshalb habe ich nur den Auszug gepostet.
Dennoch Dank und Gruß,
Johannes


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.29 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.29 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.29 -
DrWeb 4.33 2007.07.29 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.29 -
FileAdvisor 1 2007.07.29 No threat detected, but known vulnerabilities exist
Fortinet 2.91.0.0 2007.07.29 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.29 -
Kaspersky 4.0.2.24 2007.07.29 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.29 -
NOD32v2 2427 2007.07.28 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Rising 19.33.62.00 2007.07.29 -
Prevx1 V2 2007.07.29 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.29 -
TheHacker 6.1.7.156 2007.07.29 -
VBA32 3.12.2.1 2007.07.29 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.29 -
weitere Informationen
File size: 1700352 bytes
MD5: d0aaae16ba162dd89d646887f1539855
SHA1: 0a222f319b7712b861ef6adf0c38cc2c5a2790fa
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=d0aaae16ba162dd89d646887f1539855

mein internet läuft auch seit kurzem langsam, vllt. liegts auch am provider?

ich hab eine 2000 leitung von arcor und wohne in schleswig holstein.

Hallo,

für die Dateien swreg.exe und swsc.exe, die von eScan als befallen ausgegeben werden, bekomme von Virus total die nachfolgenden Ergebnisse.
Was ist jetzt zu tun, bzw. wie gehe ich vor, ich will den Kram da ja weghaben…

Johannes


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 could be a corrupted executable file
Avast 4.7.997.0 2007.07.29 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.29 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.29 -
DrWeb 4.33 2007.07.29 -
eSafe 7.0.15.0 2007.07.24 suspicious Trojan/Worm
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.29 -
FileAdvisor 1 2007.07.29 -
Fortinet 2.91.0.0 2007.07.29 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.29 -
Kaspersky 4.0.2.24 2007.07.29 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.29 -
NOD32v2 2427 2007.07.28 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Rising 19.33.62.00 2007.07.29 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.29 -
TheHacker 6.1.7.156 2007.07.29 -
VBA32 3.12.2.1 2007.07.29 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.29 -
weitere Informationen
File size: 279552 bytes
MD5: 5dbee2a187ff4ba477c1c8b08682a585
SHA1: 5697e3c37b81f5e97da0b38227b408ee6a4112a5
packers: UPX
packers: UPX
packers: UPX





Datei swsc.exe empfangen 2007.07.29 13:13:03 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 could be a corrupted executable file
Avast 4.7.997.0 2007.07.29 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.29 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.29 -
DrWeb 4.33 2007.07.29 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.29 -
FileAdvisor 1 2007.07.29 -
Fortinet 2.91.0.0 2007.07.29 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.29 -
Kaspersky 4.0.2.24 2007.07.29 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.29 -
NOD32v2 2427 2007.07.28 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Rising 19.33.62.00 2007.07.29 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.29 -
TheHacker 6.1.7.156 2007.07.29 -
VBA32 3.12.2.1 2007.07.29 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.29 Virus.Win32.FileInfector.gen!90 (suspicious)
weitere Informationen
File size: 370688 bytes
MD5: af52196cf5593c13f8c2f00a55fe132b
SHA1: 8b6628f141f4cb889121d7c903c8f97b8a85fbae

Hallo Juniorchef,
also an der Internetverbindung, ob nun Arcor oder Hansenet, bzw. Alice wie bei mir, liegt es sicher nicht, da gibt es zwar schon mal Schwankungen, aber nicht über einen längeren Zeitraum. Wenn Du Probleme hast, dann lass mal eScan drüberlaufen und eine mach eine Auswertung mit Hijackthis. Dann weißt Du mehr.
Gruß,
Johannes

@Johannes:
Ich vermute dein langsame Internetverbindung hat eine andere Ursache als Schädlinge. Auch im Silentrunners-Log seh ich nichts Auffälliges. Die Dateien die du ausgewertet hast, dürften sauber sein, dass da ein paar Virenscanner angesprungen sind, schätze ich als Fehlalarme ein, aber ich bin mir da nicht sicher.

Datei gdiplus.dll mit md5 = d0aaae16ba162dd89d646887f1539855
ist eine Windows-Systemdatei.

Die anderen beiden Dateien (swsc.exe, swreg.exe) bereiten mir Schwierigkeiten, die einzustufen. Google spuckt da keine wirklichen hilfreichen Links zu aus. Ich würde die an deiner Stelle mal ausschneiden und in ein anderes Verzeichnis packen zur Sicherheit, beobachte dann mal wie das System sich verhält.

Ist deine Internetverbindung allgemein zu langsam? Oder nur bei bestimmten Seiten? Das Problem kann nämlich wie auch schon erwähnt bei deinem Provider oder aber auch am Server liegen, der die (langsame) Seite hostet. Mach doch mal ein Speedcheck deiner Verbindung => DSL Speed-Test: Upload und Download Geschwindigkeit bei DSL testen

Hallo Arne,
vielen Dank für Deine schnelle Reaktion und ja, vielleicht liegst Du richtig und es gibt eine andere Ursache, aber an der Internetverbindung liegt es sicher nicht, weil sich das Problem besonders bemerkbar macht, wenn ich mit dem Internet Explorer ins Netz gehe, Firefox und Opera laufen besser, aber auch nicht mehr so gut wie noch vor ca. zwei Wochen. Da ich nichts größeres installiert habe und die CPU immer wieder voll ausgelastet ist, besonders beim IE, habe ich auf einen Befall getippt. Mal schaun, was sich noch ergibt.
Vielen Dank für Deine Hilfe!

Gruß,
Johannes

Eine Idee hätte ich noch. Das würde eine langsame Verbindung und rel. hohe CPU-Auslastung erkären.
Und zwar wäre es möglich, dass die letzte Zeit bei dir der Dienst "Automatische Updates" von Windows wieder neue Patches gefunden hat. Dann sind svchost.exe und wuauclt.exe fleißig am Werkeln, belegen viel Speicher und lasten das System schon recht gut aus. Und die Patches ziehen sie sich auch noch...

Mach doch mal ein manuelles Windows-Update. Geh mit mit IE auf die Windows-Update-Seite und lass dir jeden wichtigen angebotenen Patch einspielen.

Nochmal als Hinweis (Danke an myrtille!), die Dateien swreg.exe und swsc.exe stammen wohl vom Smitfraudfix, dem Tool das Smitfraud/Zlob entfernt...

Hallo Arne,
vielen Dank nochmal für die Tipps. Deine letzte Vermutung mit den Windows Updates habe ich vor einigen Tagen schon durchgespielt und alle Updates gemacht. Die Automatischen Updates von Windows hatte ich deaktiviert, weil ich davon sowieso schon genervt war, ebenso wie die Windows Firewall - die Updates habe ich mir aber ziemlich regelmäßig gezogen. Ich warte jetzt mal ab, vielleicht fällt mir ja selbst noch was ein.
Gruß,
Johannes

Ok, wenn du dir die Updates manuell alle einspielst ist das i.O. - allerdings erfordert die Windows-Updateseite einen gestarteten "Automatische Updates" Dienst.
Windows-Firewall deaktivieren macht nur Sinn, wenn du hinter einem Router hängst. Wenn nicht solltest du vorher unnötige Netzwerkdienste, wie sie Windows standardmäßig gestartet hast, beenden. Hilfreich kann dabei das Script von ntsvcfg sein. Lies dir aber alles dort genau durch, falls du dich dafür entscheiden solltest!

Vllt. könntest du nochmal mit Knoppix ausprobieren, ob dort die Internetverbindung ebenfalls so langsam ist. Wenn ja, ist das eher ein Zeichen dafür, dass das Problem nicht bei Windows liegt.

Das Updaten hat gut geklappt, ich bin vom Windows Sicherheitscenter auf die Website, habe die Meldung bekommen, dass sich irgendwas am Windows-Updater (oder so ähnlich) geändert hat, dann wurden sämtliche Updates hochgeladen und installiert. Und ja: ich bin natürlich im Router-Betrieb online, sonst hätte ich die Firewall nicht deaktiviert. Die Firewall hat sich übrigens vor einigen Wochen einfach selbst wieder aktiviert - ich habe keine Ahnung wie und warum. Darufhin habe ich sie wieder deaktiviert. Es könnte jedenfalls gut sein, dass mein Problem damit zusammenhängt. Seltsam ist dass der Rechner immer wieder ganz gut läuft, dann habe ich zwar immer noch das Problem, dass größere Websites relativ langsam geladen werden, aber das würde mir vermutlich gar nicht so sehr auffallen. Es ist aber eben so, dass der Rechner immer wieder extrem langsam wird, zuerst macht sich das im IE bemerkbar, dann auch, wenn ich den Ordner Arbeitsplatz öffnen will oder andere Programme lade. Ich werde jetzt nach und nach ausprobieren, woran es liegt - und poste Dir dann das Ergebnis (falls sich eines ergibt). Ansonsten freue ich mich über jeden weiteren Tipp.
Johannes