hilfe - cpu auslastung bei 100% und kein internet mehr :(

diaz · 23.09.2007, 17:37

hallo, seit 2 tagen geht mein internet nicht mehr egal welcher browser benutzt wird - die internetverbindung muß in ordnung sein da über den router andere rechner einwandfrei funktionieren. icq läuft nur sporadisch hier und da mal auf sparflamme - hilfe hilfe - und danke im vorraus.

Logfile of HijackThis v1.99.1
Scan saved at 17:31:59, on 23.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\svchostl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Diablo II\Game.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {075BCF6A-436D-4BF8-9FFA-F1CFC69DC21F} - C:\WINDOWS\system32\pnrpnspd.dll
O2 - BHO: MSVPS System - {60D3EC53-56A8-46A8-9D01-1AB64410665C} - C:\WINDOWS\nsduo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Microsoft Update] svchostl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] svchostl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

BataAlexander · 23.09.2007, 17:57

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Scanne die Datei

C:\WINDOWS\system32\pnrpnspd.dll

online bei VirusTotal - Free Online Virus and Malware Scan und poste das Ergebnis hier.

diaz · 23.09.2007, 20:15

ok hier der link zu der dateianalyse

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

und hier die rapport.txt-geschichte

allerdings habe ich die internetlinks rausgenommen weil die liste sonst 200 meter lang wäre - oder bracuhst du die auch?

SmitFraudFix v2.226

Scan done at 20:26:31,24, 23.09.2007
Run from C:\Dokumente und Einstellungen\tlmagiera\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 DriveCleaner - Home ## added by CiD
127.0.0.1 ErrorProtector - Fix damaged documents, video, music, images. Registry optimization ## added by CiD
127.0.0.1 ErrorSafe - Fix computer problem. Fix slow computer, corrupt file and hard drive errors. ## added by CiD
127.0.0.1 SystemDoctor - Fix damaged documents, video, music, images. Registry optimization ## added by CiD
127.0.0.1 w*w.utils.winfixer.com ## added by CiD
127.0.0.1 WinAntiVirus Pro 2005 - powerful antivirus protection against all viruses ## added by CiD
127.0.0.1 WinAntiVirus Pro 2005 - powerful antivirus protection against all viruses ## added by CiD
127.0.0.1 WinAntiSpam - ## added by CiD
127.0.0.1 WinAntiSpyware - spyware protection. Remove spyware, adware and trojans. ## added by CiD
127.0.0.1 WinAntiSpyware - spyware protection. Remove spyware, adware and trojans. ## added by CiD
127.0.0.1 WinAntiVirus Pro 2007 - Antivirus protection against all viruses, hackers, spyware ## added by CiD
127.0.0.1 WinAntiVirus Pro 2007 - Antivirus protection against all viruses, hackers, spyware ## added by CiD
127.0.0.1 WinDriveCleaner - ## added by CiD
127.0.0.1 w*w.windrivesafe.com ## added by CiD
127.0.0.1 w*w.winfixer.com ## added by CiD
127.0.0.1 toner druckertinte web hosting computer at winfixer2006.com ## added by CiD
127.0.0.1 WinSoftware ## added by CiD
127.0.0.1 babe.the-killer.bz
127.0.0.1 w*w.babe.the-killer.bz
127.0.0.1 babe.k-lined.com
127.0.0.1 ROAR.com
127.0.0.1 did.i-used.cc
127.0.0.1 w*w.did.i-used.cc
127.0.0.1 coolw*wsearch.com

......

127.0.0.1 dvdtocdsite.com
127.0.0.1 w*w.dvdtocdsite.com
127.0.0.1 edietprogram.com
127.0.0.1 EDietProgram.com
127.0.0.1 extremepaidsurveys.com
127.0.0.1 Extremepaidsurveys.com
127.0.0.1 hotmp3music.com
127.0.0.1 HotMP3music.com
127.0.0.1 registrycleanersite.com
127.0.0.1 w*w.registrycleanersite.com
127.0.0.1 sharedgamesite.com
127.0.0.1 w*w.sharedgamesite.com
127.0.0.1 sharedmoviesite.com
127.0.0.1 w*w.sharedmoviesite.com
127.0.0.1 sharedtvsite.com
127.0.0.1 w*w.sharedtvsite.com
127.0.0.1 spywareremoversite.com
127.0.0.1 w*w.spywareremoversite.com
127.0.0.1 helpyourpcnow.com
127.0.0.1 w*w.helpyourpcnow.com
127.0.0.1 gomyron.com
127.0.0.1 w*w.gomyron.com

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{12DF49DF-9DDF-4BA5-A191-2B30D388EE55}: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12DF49DF-9DDF-4BA5-A191-2B30D388EE55}: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS3\Services\Tcpip\..\{12DF49DF-9DDF-4BA5-A191-2B30D388EE55}: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=194.25.2.129

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Aktive Links gelöscht, Shadow

Trojanerade · 23.09.2007, 20:27

Du voll mit Falscher Antivirus Software und Spyware infiziert

Bata wird dir sicherlich bei der Bereinigng helfen

BataAlexander · 23.09.2007, 20:59

Ich poste jetzt erstmal das VT Ergebnis, das ist sonst in 30min weg

Code:

ATTFilter

Datei pnrpnspd.dll empfangen 2007.09.23 20:46:24 (CET)
Status:  Beendet 
Ergebnis: 21/32 (65.63%) 
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.9.22.0	2007.09.21	Win-AppCare/Stud.9728
AntiVir	7.6.0.15	2007.09.21	ADSPY/Stud.D
Authentium	4.93.8	2007.09.23	-
Avast	4.7.1043.0	2007.09.22	Win32:Trojano-3384
AVG	7.5.0.485	2007.09.23	Adware Generic.WNV
BitDefender	7.2	2007.09.23	Adware.Stud.I
CAT-QuickHeal	9.00	2007.09.21	AdWare.Stud.d (Not a Virus)
ClamAV	0.91.2	2007.09.23	Adware.BHO-15
DrWeb	4.33	2007.09.23	-
eSafe	7.0.15.0	2007.09.23	-
eTrust-Vet	31.2.5154	2007.09.21	-
Ewido	4.0	2007.09.20	Adware.Stud
FileAdvisor	1	2007.09.23	-
Fortinet	3.11.0.0	2007.09.23	-
F-Prot	4.3.2.48	2007.09.23	W32/Adware.IJT
F-Secure	6.70.13030.0	2007.09.21	-
Ikarus	T3.1.1.12	2007.09.23	not-a-virus:AdWare.Win32.Stud.d
Kaspersky	4.0.2.24	2007.09.23	not-a-virus:AdWare.Win32.Stud.d
McAfee	5125	2007.09.21	-
Microsoft	1.2803	2007.09.23	Trojan:Win32/Webprefix
NOD32v2	2545	2007.09.23	Win32/Adware.BHO.AA
Norman	5.80.02	2007.09.21	W32/Stud.Y
Panda	9.0.0.4	2007.09.23	-
Prevx1	V2	2007.09.23	-
Rising	19.41.62.00	2007.09.23	Adware.Win32.Stud.d
Sophos	4.21.0	2007.09.23	MapKon
Sunbelt	2.2.907.0	2007.09.22	-
Symantec	10	2007.09.23	Adware.Webprefix
TheHacker	6.2.5.066	2007.09.22	Adware/Stud.d
VBA32	3.12.2.4	2007.09.23	AdWare.Win32.Stud.d
VirusBuster	4.3.26:9	2007.09.23	Adware.BHO.EC
Webwasher-Gateway	6.0.1	2007.09.21	Ad-Spyware.Stud.D
weitere Informationen
File size: 32248 bytes
MD5: 4e70a70ff60db37ad096b963d37f0d3c
SHA1: c6779e773594a90927f39f1187ef050c9dcbca31
packers: UPX
packers: UPX
packers: UPX
packers: UPX

ATF Cleaner

Lade dir den ATF Cleaner herunter und führe ihn per Doppelklick aus.
Wähle dann alle Kästchen an um temporäre Ordner, Cache, Cookies und den Verlauf zu leeren und klicke auf "Empty selected".

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

SmitfraudFix nochmal laufen lassen

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

diaz · 23.09.2007, 21:51

hier schonmal das erste?

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\

23.09.2007 21:17 704.643.072 pagefile.sys
23.09.2007 20:27 185.541 rapport.txt
11.06.2007 20:02 0 dump_dvd.vob
02.04.2007 17:50 184 Setup.log
04.11.2006 15:06 211 boot.ini
04.11.2006 13:46 0 MSDOS.SYS
04.11.2006 13:46 0 AUTOEXEC.BAT
04.11.2006 13:46 0 CONFIG.SYS
04.11.2006 13:46 0 IO.SYS
28.02.2006 14:00 4.952 bootfont.bin
28.02.2006 14:00 251.184 ntldr
28.02.2006 14:00 47.564 NTDETECT.COM
12 Datei(en) 705.132.708 Bytes
0 Verzeichnis(se), 9.134.632.960 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\WINDOWS\system32

23.09.2007 21:18 13.686 wpa.dbl
23.09.2007 20:27 0 tmp.txt
23.09.2007 20:27 3.264 tmp.reg
23.09.2007 12:42 21.840 SIntfNT.dll
23.09.2007 12:42 17.212 SIntf32.dll
23.09.2007 12:42 12.067 SIntf16.dll
11.09.2007 18:01 33.785 Wnccdctl.dll
09.09.2007 18:24 33 wunilog.ini
06.09.2007 04:50 17.474.680 MRT.exe
06.09.2007 00:22 289.144 VCCLSID.exe
05.09.2007 17:01 5.214 jupdate-1.6.0_02-b06.log
29.08.2007 14:05 249.852 TZLog.log

2085 Datei(en) 440.250.490 Bytes
0 Verzeichnis(se), 9.134.505.984 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\WINDOWS\Prefetch

22.09.2007 12:42 552.026 layout.ini
1 Datei(en) 552.026 Bytes
0 Verzeichnis(se), 9.134.530.560 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\WINDOWS

23.09.2007 21:36 1.425.711 WindowsUpdate.log
23.09.2007 21:18 159 wiadebug.log
23.09.2007 21:17 50 wiaservc.log
23.09.2007 21:17 0 0.log
23.09.2007 21:17 2.048 bootstat.dat
23.09.2007 21:03 170.340 ntbtlog.txt
23.09.2007 20:27 360 setupact.log
23.09.2007 20:22 32.586 SchedLgU.Txt
23.09.2007 11:38 116 NeroDigital.ini
21.09.2007 13:25 137 dat.txt
20.09.2007 14:47 18.250 rs.txt
14.09.2007 12:22 1.125 winamp.ini
11.09.2007 16:27 16.119 wmsetup.log
10.09.2007 15:10 32.259 DIIUnin.dat
10.09.2007 14:50 2.829 DIIUnin.pif
10.09.2007 14:50 102.400 DIIUnin.exe
09.09.2007 18:24 73.375 setupapi.log
30.08.2007 03:01 14.849 iis6.log
30.08.2007 03:01 30.878 comsetup.log
30.08.2007 03:01 18.954 ntdtcsetup.log
30.08.2007 03:01 5.257 ocmsn.log
30.08.2007 03:01 36.950 tsoc.log
30.08.2007 03:01 1.374 imsins.log
30.08.2007 03:01 7.688 KB939683.log
30.08.2007 03:01 46.553 ocgen.log
30.08.2007 03:01 4.805 msgsocm.log
30.08.2007 03:01 93.354 FaxSetup.log
29.08.2007 14:05 1.374 imsins.BAK
29.08.2007 14:05 21.607 KB933360.log
27.08.2007 10:20 151 PhotoSnapViewer.INI

156 Datei(en) 13.748.083 Bytes
0 Verzeichnis(se), 9.134.514.176 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\WINDOWS\tasks

23.09.2007 21:17 6 SA.DAT
23.09.2007 11:29 276 AppleSoftwareUpdate.job
14.09.2007 17:19 404 1-Klick-Wartung.job
28.02.2006 14:00 65 desktop.ini
4 Datei(en) 751 Bytes
0 Verzeichnis(se), 9.134.522.368 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCE7-6103

Verzeichnis von C:\DOKUME~1\TLMAGI~1\LOKALE~1\Temp

23.09.2007 22:46 112.224 filelist.txt
23.09.2007 22:43 16.384 ~DFD9E9.tmp
23.09.2007 21:18 512 ~DF913.tmp
23.09.2007 21:18 16.384 ~DF8F1.tmp
23.09.2007 21:18 512 ~DF8D7.tmp
23.09.2007 21:18 16.384 ~DF8BA.tmp
23.09.2007 21:18 512 ~DF89C.tmp
23.09.2007 21:18 16.384 ~DF888.tmp
23.09.2007 21:18 512 ~DF83C.tmp
23.09.2007 21:18 16.384 ~DF829.tmp
23.09.2007 21:18 16.384 ~DFC049.tmp
23.09.2007 21:18 512 ~DFAF73.tmp
23.09.2007 21:18 16.384 ~DFAF60.tmp
13 Datei(en) 229.472 Bytes
0 Verzeichnis(se), 9.134.522.368 Bytes frei

diaz · 23.09.2007, 22:12

und hier das andere

SmitFraudFix v2.226

Scan done at 22:58:01,14, 23.09.2007
Run from C:\Dokumente und Einstellungen\tlmagiera\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 DriveCleaner - Home ## added by CiD
127.0.0.1 ErrorProtector - Fix damaged documents, video, music, images. Registry optimization ## added by CiD
127.0.0.1 ErrorSafe - Fix computer problem. Fix slow computer, corrupt file and hard drive errors. ## added by CiD
127.0.0.1 SystemDoctor - Fix damaged documents, video, music, images. Registry optimization ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 WinAntiVirus Pro 2005 - powerful antivirus protection against all viruses ## added by CiD
127.0.0.1 WinAntiVirus Pro 2005 - powerful antivirus protection against all viruses ## added by CiD
127.0.0.1 WinAntiSpam - ## added by CiD
127.0.0.1 WinAntiSpyware - spyware protection. Remove spyware, adware and trojans. ## added by CiD
127.0.0.1 WinAntiSpyware - spyware protection. Remove spyware, adware and trojans. ## added by CiD
127.0.0.1 WinAntiVirus Pro 2007 - Antivirus protection against all viruses, hackers, spyware ## added by CiD
127.0.0.1 WinAntiVirus Pro 2007 - Antivirus protection against all viruses, hackers, spyware ## added by CiD
127.0.0.1 WinDriveCleaner - ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 toner druckertinte web hosting computer at winfixer2006.com ## added by CiD
127.0.0.1 WinSoftware ## added by CiD
127.0.0.1 babe.the-killer.bz
127.0.0.1 www.babe.the-killer.bz
127.0.0.1 babe.k-lined.com
127.0.0.1 ROAR.com
127.0.0.1 did.i-used.cc
127.0.0.1 www.did.i-used.cc
127.0.0.1 coolwwwsearch.com
127.0.0.1 Welcome to coolwwwsearch.com
127.0.0.1 coolwebsearch.com

..........................

127.0.0.1 www.sharedgamesite.com
127.0.0.1 sharedmoviesite.com
127.0.0.1 www.sharedmoviesite.com
127.0.0.1 sharedtvsite.com
127.0.0.1 www.sharedtvsite.com
127.0.0.1 spywareremoversite.com
127.0.0.1 www.spywareremoversite.com
127.0.0.1 helpyourpcnow.com
127.0.0.1 www.helpyourpcnow.com
127.0.0.1 gomyron.com
127.0.0.1 www.gomyron.com

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{12DF49DF-9DDF-4BA5-A191-2B30D388EE55}: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12DF49DF-9DDF-4BA5-A191-2B30D388EE55}: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS3\Services\Tcpip\..\{12DF49DF-9DDF-4BA5-A191-2B30D388EE55}: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=194.25.2.129
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=194.25.2.129

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

BataAlexander · 23.09.2007, 22:16

Kannst Du im Smitfraudfix bitte die aktiven Links schnell löschen.
Dem Shadow seine Finger müssen ja glühen.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

diaz · 23.09.2007, 22:24

oh sorry das habe ich nicht bedacht.

ist dieses combofxzeug echt das richtige mein antivir sagt dem kann man nicht trauen?

BataAlexander · 23.09.2007, 22:27

Combofix noch nicht ausführen!! Ich bin blind

Die Datei

C:\WINDOWS\system32\svchostl.exe

online bei VirusTotal - Free Online Virus and Malware Scan scannen lassen und das Ergebnis hier posten, mit den MD5 SHA.

diaz · 23.09.2007, 22:29

ok ist noch nicht ausgeführt

BataAlexander · 23.09.2007, 22:35

Lies meinen letzten Post nochmal

diaz · 23.09.2007, 22:48

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.22.0 2007.09.21 -
AntiVir 7.6.0.15 2007.09.23 -
Authentium 4.93.8 2007.09.23 -
Avast 4.7.1043.0 2007.09.22 -
AVG 7.5.0.485 2007.09.23 -
BitDefender 7.2 2007.09.23 -
CAT-QuickHeal 9.00 2007.09.21 -
ClamAV 0.91.2 2007.09.23 -
DrWeb 4.33 2007.09.23 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5154 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.23 -
Fortinet 3.11.0.0 2007.09.23 -
F-Prot 4.3.2.48 2007.09.23 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.23 -
Kaspersky 4.0.2.24 2007.09.23 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.23 -
NOD32v2 2545 2007.09.23 -
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.23 -
Prevx1 V2 2007.09.23 -
Rising 19.41.62.00 2007.09.23 -
Sophos 4.21.0 2007.09.23 -
Sunbelt 2.2.907.0 2007.09.22 -
Symantec 10 2007.09.23 -
TheHacker 6.2.5.066 2007.09.22 -
VBA32 3.12.2.4 2007.09.23 -
VirusBuster 4.3.26:9 2007.09.23 -
Webwasher-Gateway 6.0.1 2007.09.23 -
weitere Informationen
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

BataAlexander · 23.09.2007, 22:57

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {075BCF6A-436D-4BF8-9FFA-F1CFC69DC21F} - C:\WINDOWS\system32\pnrpnspd.dll
O2 - BHO: MSVPS System - {60D3EC53-56A8-46A8-9D01-1AB64410665C} - C:\WINDOWS\nsduo.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Update] svchostl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] svchostl.exe

dann Klicke Fix Checked. Schließe HiJackThis.

Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\pnrpnspd.dll
C:\WINDOWS\nsduo.dll
C:\WINDOWS\system32\svchostl.exe

Dann starte den Rechner im normalen Modus neu.

Führe nun Combofix aus! Poste dessen Log.

Poste auch ein neues HJT und berichte.

diaz · 23.09.2007, 23:29

soweit bin ich:

O2 - BHO: MSVPS System - {60D3EC53-56A8-46A8-9D01-1AB64410665C} - C:\WINDOWS\nsduo.dll (file missing)

die gab es nicht

und bei der geschichte

C:\WINDOWS\system32\svchostl.exe
gab es nur eine datei svchost.exe OHNE "l"

ich habe die dann da gelassen.
so und jetzt folgen die log-teile

23.09.2007, 22:35	#12
BataAlexander > MalwareDB	hilfe - cpu auslastung bei 100% und kein internet mehr :( Lies meinen letzten Post nochmal __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

hilfe - cpu auslastung bei 100% und kein internet mehr :(

Log-Analyse und Auswertung: hilfe - cpu auslastung bei 100% und kein internet mehr :(