Hi,

Ich gehe mal davon aus, dass die Umleitung
über die Universität von Paderborn dein Wille
ist, sind in deinem Logfile doch einige verdächtige
Einträge wieder zufinden. Mach bitte folgendes:

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\mfc7032.dll
C:\WINDOWS\system32\Suchspur.dll

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Poste bitte die Ergebnisse und lösche/fixe vorerst nichts.
hast du eigentlich nachgeschaut, welche Prozesse die
komplette CPU-Leistung an sich reißen.

mfg Cleriker

Zitat:

Zitat von Cleriker

Hi,

Ich gehe mal davon aus, dass die Umleitung
über die Universität von Paderborn dein Wille
ist, sind in deinem Logfile doch einige verdächtige
Einträge wieder zufinden. Mach bitte folgendes:

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Poste bitte die Ergebnisse und lösche/fixe vorerst nichts.
hast du eigentlich nachgeschaut, welche Prozesse die
komplette CPU-Leistung an sich reißen.

mfg Cleriker

Hallo Cleriker, Dank für Deine Antwort und ehrlich gesagt keine Ahnung wo Du das mit der Paderborner Uni her hast, aber wie geht das denn? Wie kann das sein und wie kann ich das ändern?

Die Prozesse wechseln, ich kann keine genaue Anwendung oder Prozess definieren, die die CPU auslasten.

Für Deine Hilfe schon mal Danke, werde mich dann gleich hier nach mal an eScan machen.

Gruß
Frank

Hier das Ergebnis von Virus Total für die mfc7032.dll:

Datei mfc7032.dll empfangen 2007.10.22 22:37:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 25/32 (78.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 7.
Geschätzte Startzeit is zwischen 65 und 93 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.23.0 2007.10.22 Win-Trojan/KorGameHack.9728
AntiVir 7.6.0.27 2007.10.22 ADSPY/Stud.A.1
Authentium 4.93.8 2007.10.22 -
Avast 4.7.1051.0 2007.10.22 Win32:Trojano-3384
AVG 7.5.0.488 2007.10.22 Adware Generic.LRH
BitDefender 7.2 2007.10.22 Trojan.Downloader.6588.E
CAT-QuickHeal 9.00 2007.10.22 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.10.22 Adware.BHO-13
DrWeb 4.44.0.09170 2007.10.22 Trojan.DownLoader.6588
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5230 2007.10.22 -
Ewido 4.0 2007.10.21 Downloader.Small.cgu
FileAdvisor 1 2007.10.22 -
Fortinet 3.11.0.0 2007.10.19 W32/Small.CGU!tr
F-Prot 4.3.2.48 2007.10.22 W32/Adware.PL
F-Secure 6.70.13030.0 2007.10.22 -
Ikarus T3.1.1.12 2007.10.22 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.10.22 not-a-virus:AdWare.Win32.Stud.a
McAfee 5146 2007.10.22 potentially unwanted program Adware-KeenValue
Microsoft 1.2908 2007.10.22 Trojan:Win32/Webprefix
NOD32v2 2607 2007.10.22 Win32/Adware.BHO.AA
Norman 5.80.02 2007.10.22 W32/Stud.B
Panda 9.0.0.4 2007.10.22 Adware/KeenValue
Prevx1 V2 2007.10.22 -
Rising 19.46.02.00 2007.10.22 Trojan.PSW.KorGame.i
Sophos 4.22.0 2007.10.22 MapKon
Sunbelt 2.2.907.0 2007.10.20 -
Symantec 10 2007.10.22 Adware.Webprefix
TheHacker 6.2.9.104 2007.10.22 Adware/Stud.a
VBA32 3.12.2.4 2007.10.22 AdWare.Win32.Stud.a
VirusBuster 4.3.26:9 2007.10.22 Adware.Stud.Gen
Webwasher-Gateway 6.6.1 2007.10.22 Ad-Spyware.Stud.A.1
weitere Informationen
File size: 14291 bytes
MD5: e6388d3eab4410251239537ea61dbb25
SHA1: 9456fd3851a3219e39731c8dd0444148b15a759f
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Hier das Ergebnis mit der Datei Suchspur.dll:

Datei Suchspur.dll empfangen 2007.10.22 22:40:09 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 22/32 (68.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.23.0 2007.10.22 -
AntiVir 7.6.0.27 2007.10.22 ADSPY/Stud.C
Authentium 4.93.8 2007.10.22 -
Avast 4.7.1051.0 2007.10.22 Win32:Agent-BZQ
AVG 7.5.0.488 2007.10.22 Adware Generic.ORF
BitDefender 7.2 2007.10.22 Adware.Stud.H
CAT-QuickHeal 9.00 2007.10.22 AdWare.Stud.c (Not a Virus)
ClamAV 0.91.2 2007.10.22 Adware.Stud-1
DrWeb 4.44.0.09170 2007.10.22 -
eSafe 7.0.15.0 2007.10.22 Spyware.Webprefix
eTrust-Vet 31.2.5230 2007.10.22 -
Ewido 4.0 2007.10.22 Adware.Stud
FileAdvisor 1 2007.10.22 -
Fortinet 3.11.0.0 2007.10.19 Adware/Stud
F-Prot 4.3.2.48 2007.10.22 W32/Adware.LXS
F-Secure 6.70.13030.0 2007.10.22 -
Ikarus T3.1.1.12 2007.10.22 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.10.22 not-a-virus:AdWare.Win32.Stud.c
McAfee 5146 2007.10.22 potentially unwanted program Adware-BHO
Microsoft 1.2908 2007.10.22 -
NOD32v2 2607 2007.10.22 Win32/Adware.Stud
Norman 5.80.02 2007.10.22 W32/Stud.N
Panda 9.0.0.4 2007.10.22 Adware/SearchBar
Prevx1 V2 2007.10.22 -
Rising 19.46.02.00 2007.10.22 -
Sophos 4.22.0 2007.10.22 MapKon
Sunbelt 2.2.907.0 2007.10.20 -
Symantec 10 2007.10.22 Adware.Webprefix
TheHacker 6.2.9.104 2007.10.22 Adware/Stud.c
VBA32 3.12.2.4 2007.10.22 AdWare.Win32.Stud.c
VirusBuster 4.3.26:9 2007.10.22 Adware.Stud.D.Gen
Webwasher-Gateway 6.6.1 2007.10.22 Ad-Spyware.Stud.C
weitere Informationen
File size: 48640 bytes
MD5: d397354a955418bd81fc36389562a5dc
SHA1: 1107466676f059ff0400dfb7105a12c6029b42ea
packers: UPX
packers: UPX
packers: UPX

eScan kann leider nicht ausgeführt werden, da sich der Rechner nicht mehr im abgesicherten Modus starten lässt (Abgesicherter Modus ist in den Ecken zu sehen, dann jedoch Neustart)

Ordne im Taskmanager die Prozesse nach ihrer Größe und schau, ob einer besonders schnell anwächst. Dann wärs wahrscheinlich das WMP-Problem.

Hallo dutchman,

der Leerlaufprozess ist mit 98 der höchste Werte, dann folgen taskmgr.exe, SERVICE~1.exe, System, csrss.exe und explorer.exe sowie firefox.exe immer im Wechsel mit 2%. Wie kann ich denn den eScan ohne abgesicherten Modus fahren?

Jetzt taucht zu allem Überfluss auch noch das Phänomen auf, das das System plötzlich sauber zu laufen scheint.

Gruß
Frank

Die beiden Auswertungen weisen beide
auf unwerwünschte Tools für Pop-Ups
hin.

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\system32\mfc7032.dll
C:\WINDOWS\system32\Suchspur.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Deine Umleitung zur Uni Paderborn kommt hier her:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{972950A4-3622-461F-9940-76C651CA2A52}: NameServer = 131.234.137.23,192.168.1.1

Hier der Adressauszug:

Zitat:

person: Gudrun Oevel
address: Universitaet Paderborn
address: ZIT
address: Warburger Strasse 100
address: 33098 Paderborn
phone: +49 5251 60 2397
fax-no: +49 5251 60 4206
e-mail: gudrun@uni-paderborn.de

Kannst ja mal anrufen und nachfragen

Desweiteren kannst du den escan auch wenn nötig
im Normalmodus machen. Aber vielleicht startet dein
Rechner nur neu, weil du die Warnung beim Booten
mit "nein" im abgesicherten Modus wegklickst.

mfg Cleriker

Hallo Cleriker,

sorry für die späte Antwort.

Uni Paderborn wird nur als alternativer DNS genutzt, hatte ich vor lauter Frust nicht weiter auf die IP geachtet.

Avenger Ergebnis ist hier:

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vqbtmwpf

*******************

Script file located at: \??\C:\Program Files\bnudeior.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\mfc7032.dll deleted successfully.
File C:\WINDOWS\system32\Suchspur.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ist das ok, wenn Antivir meldet, der Avenger ist ein Virus? Soll ich den anschließend wieder entfernen?

Lasse jetzt mal zusätzlich eScan im normalen Modus laufen und danach auch noch mal HjT.

Gruß
Frank