Extreme Verlangsamung meiner Internetverbindung + Probleme bei Google

raven76 · 12.11.2007, 16:12

wie bereits im thread-titel erwähnt, habe ich große probleme mit meiner internetverbindung. manche seiten lassen sich laden wie bisher, bei anderen geht gar nichts mehr. wenn ich zb. bei google etwas suche kommt diese warnung: Link.
wenn ich normal am computer arbeite merke ich eigentlich keinerlei leistungseinbußen, nur wenn ich im internet bin. ich kenne mich leider nicht sehr gut mit computern aus und da ein kumpel von mir (der mir dabei sonst hilft) für ein paar wochen weg ist, dachte ich mir das ihr da vielleicht helfen könntet.

ps: ich habe bereits spybot search & destroy/avira antivir laufen lassen und alles entfernt was mir da angezeigt wurde.

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 15:10:54, on 12.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Clock Tray Skins\ClockTraySkins.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {DC41D21D-B3BD-43D5-BDA3-47C7465F57A4} - C:\WINDOWS\system32\vss_ps32.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programme\Clock Tray Skins\ClockTraySkins.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC4E594F-100A-4FBE-9E49-F13E1DD0330F}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

Cleriker · 12.11.2007, 16:25

Hi und

Herzlich Willkommen im Trajaner-Board

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\vss_ps32.dll

9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker

raven76 · 12.11.2007, 19:47

sorry hat leider ein bisschen gedauert. ich hoffe mal das jetzt alles richtig war, vielen dank schon mal bis hierhin.

Virustotal

Code:

ATTFilter

Ergebnis: 17/31 (54.84%)

Antivirus  	                        Version  	               letzte aktualisierung  	            Ergebnis
AhnLab-V3	                    2007.11.12.0	                    2007.11.12	                               -
AntiVir	                                     7.6.0.34	                    2007.11.12	                  ADSPY/Stud.A.43
Authentium	                         4.93.8	                    2007.11.10	                               -
Avast	                                    4.7.1074.0	                    2007.11.11	                  Win32:Trojano-3384
AVG	                                     7.5.0.503	                    2007.11.12	                Adware Generic2.AMI
BitDefender	                            7.2	                    2007.11.12	                      Adware.Stud.Y
CAT-QuickHeal	                           9.00	                    2007.11.12	             AdWare.Stud.a (Not a Virus)
ClamAV	                                       0.91.2	                    2007.11.12	                      Trojan.BHO-83 
DrWeb	                                  4.44.0.09170	                    2007.11.12	                                 -
eSafe	                                      7.0.15.0	                    2007.11.08                                       -
eTrust-Vet	                       31.2.5289	                    2007.11.12	                                 -
Ewido	                                          4.0	                    2007.11.12                              Adware.Stud
FileAdvisor	                              1	                    2007.11.12	                                 -
Fortinet	                                      3.11.0.0                  	      2007.10.19	                                 -
F-Prot	                                      4.4.2.54	                    2007.11.10	                    W32/Adware.KBB
F-Secure                        	      6.70.13030.0	                    2007.11.12	                                 -
Ikarus	                                     T3.1.1.12	                    2007.11.12	        not-a-virus:AdWare.Win32.Stud.d
Kaspersky	                       7.0.0.125	                    2007.11.12	        not-a-virus:AdWare.Win32.Stud.a
McAfee	                                         5160	                    2007.11.09	                                 -
Microsoft	                                        1.3007	                    2007.11.12	                Trojan:Win32/Webprefix
NOD32v2	                                         2653	                    2007.11.12	        a variant of Win32/Adware.BHO.AA
Norman	                                      5.80.02	                    2007.11.09	                           W32/Stud.AE
Panda	                                       9.0.0.4	                    2007.11.11	                                  -
Prevx1	                                           V2	                    2007.11.12	                                  -
Rising	                                    20.18.02.00	                    2007.11.12	                                  -
Sophos	                                        4.23.0	                    2007.11.12	                            MapKon
Sunbelt	                                       2.2.907.0	                    2007.11.12	                                  -
TheHacker	                        6.2.9.124	                    2007.11.12	                         Adware/Stud.a
VBA32	                                        3.12.2.4	                    2007.11.11	     suspected of Trojan-Downloader.Agent.47
VirusBuster	                        4.3.26:9	                    2007.11.12	                                 -
Webwasher-Gateway	               6.0.1	                    2007.11.12	                    Ad-Spyware.Stud.A.43

weitere Informationen
File size: 36098 bytes
MD5: 0a4fe11309815ea4945486c8e25c7393
SHA1: c4ad76bcc5c2856749f038eac1c3306154d61ea8
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Escan

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "target saver Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with toolbar888 Browser Hijacker (activate.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with conducent flexpak Spyware/Adware (empty.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with rohbot Worm (C:\WINDOWS\system32\pskill.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with rohbot Worm (C:\WINDOWS\system32\pslist.exe)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\WINDOWS\system32\vss_ps32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\psexec.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.153". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\vss_ps32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\system32\activate.exe 
 Offending file found: C:\WINDOWS\system32\empty.exe 
 Offending file found: C:\WINDOWS\system32\instsrv.exe 
 Offending file found: C:\WINDOWS\system32\pskill.exe 
 Offending file found: C:\WINDOWS\system32\pslist.exe 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\extensis\suitcase\suitcase font database.suitcasevault\primary\truetype\unknown\alienautopsy 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\extensis\suitcase\suitcase font database.suitcasevault\primary\truetype\unknown\cain 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\extensis\suitcase\suitcase font database.suitcasevault\primary\truetype\unknown\tsa 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKCR\magnet !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = WgaLogon.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon). Deleting Registry Key WgaLogon... 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\WINDOWS\system32\wins.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.com
C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 19:30:12,67 
Batchende: 19:30:16,17

raven76 · 12.11.2007, 21:55

grad wollte ich was bei rapidshare runterladen und da kam die anzeige (Du hast das Downloadlimit für die kostenlose Nutzung erreicht.) obwohl ich da schon seit wochen nix mehr geladen hab

.

Cleriker · 13.11.2007, 09:54

Wow,

Du hast nicht nur Adware sitzen sondern auch diesen
hier -> W32/Rohbot-A

Das bedeutet für dich:
* System neu aufsetzen mit anschließender Absicherung

Ändere anschließend deine Logindaten im Online/Offline-Bereich,
sonst könntest du bald Probleme bekommen.

mfg Cleriker

ordell1234 · 13.11.2007, 10:11

Zitat:

Zitat von Cleriker

Du hast nicht nur Adware sitzen sondern auch diesen
hier -> W32/Rohbot-A

Sicher? Auch wenn der Speicherort ungewöhnlich ist, auf die Spyware-Meldungen von escan sind kein Verlass. Vgl. dazu die "tagged files"-Einträge, wo pslist/pskill lediglich als riskware eingestuft werden. Bevor also das Neuaufsetzen in Angriff genommen wird, schlage ich eine Gegenprobe der Dateien bei virustotal vor.

@raven76: Hast du mit sysinternals-tools gearbeitet oder ne Ahnung, wie die Dateien in den system32-Ordner kommen? Schräg ist das ganze schon.

Grüße

Extreme Verlangsamung meiner Internetverbindung + Probleme bei Google

Log-Analyse und Auswertung: Extreme Verlangsamung meiner Internetverbindung + Probleme bei Google