Hallo Zusammen,

vielen Dank erstmal für die Hilfe.

Zu meinem Problem: Ich bin über einen Stromadapter mit unserem Router verbunden.
Seit zwei Tagen stelle ich fest das der Adapter ständig blinkt.
Dieser blinkt normalerweise nur wenn ich etwas Großes herunterlade.
Nachdem ich dies festgestellt habe, benutze ich meine Virenprogramm
Kaspersky 7 um das ganze System zu scannen. Das Programm hat in meinen
Emails ein Trojanisches-Pferd gefunden (Win32 Nurech) dieses Pferde wurde
dann gelöscht. Leider besteht die Aktivität weiterhin. Ich löschte daraufhin
alle Einträge in meiner Firewall-Einstellung um zu sehen was sich mit dem
Internet verbindet. Das einzigste was sofort wieder zugreifen möchte ist der svchost.exe (Generic Host).
Daraufhin habe ich in den Paketdaten alles verboten was ich nicht brauche um in dieses Forum zu kommen. :-) Daraufhin
blinkt der Adapter nicht mehr. Ein erneuter Systemscan mit KAS brachte
keinen Virusfund.

Jetzt meine Frage an euch was soll ich tun?

Hier mal mein HJ:

Logfile of HijackThis v1.99.1
Scan saved at 21:55:45, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\eRecovery\Monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\acer\epm\epm-dm.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Filme_auf_CD_DVD_6_e-version\TrayServer.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1077AF74-4E0E-4EDD-9D16-183D78E8AB4B}: NameServer = 212.19.48.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{1077AF74-4E0E-4EDD-9D16-183D78E8AB4B}: NameServer = 212.19.48.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{1077AF74-4E0E-4EDD-9D16-183D78E8AB4B}: NameServer = 212.19.48.14
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: hrtzres32 - C:\WINDOWS\SYSTEM32\hrtzres32.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ArchiCrypt VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\ArchiCrypt Stealth VPN\SVPNStarter.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

Bei einer Infektion mit TR/Dldr.Nurech ist ein Neuaufsetzen typisch.

Lass die Dateien:
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\ws.js (should be a legit Web Services File, but proove it anyway)
C:\WINDOWS\SYSTEM32\hrtzres32.dll

bei VirusTotal - Free Online Virus and Malware Scan prüfen.
Du hast Trueimage auf dem Rechner. Gibt es ein sauberes Image das Du vlt. einfach zurückspielen kannst? Das wäre wohl die beste Lösung.

Danke für die Antwort:

Sollte ich den PC am besten frisch machen?

Die Datei kann ich nicht finden??
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\ws.js

C:\WINDOWS\SYSTEM32\hrtzres32.dll ist ein Virus
Kaspersky kennt den natürlich nicht so ein scheiß :-(
ist das ein ganz neuer oder schon älter? Löschen läst der sich nicht

Ich habe ein Speicherabbild von Trueimage vom letzten Monat. Da aber Kaspersky den Virus in meinen Mail-Dateien gefunden hat mit einem Datum vom Februar 2007 ist wohl auch dieses verseucht.

Hier mal die Funde zu hrtzres32.dll:
AntiVir - - TR/Hijacker.Gen
Avast - - Win32:Small-IKB
Ikarus - - Virus.Win32.Small.IKB
Microsoft - Trojan:Win32/Agent.BUI
Webwasher-Gateway Trojan.Hijacker.Gen

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Hallo,

habe mal Kaspersky deinstalliert und Avira dafür installiert dieser hat Zwei Dateien gefunden die ich dann in Quarantäne verschoben und gelöscht habe.
Nach einem erneuten Scann findet das Programm keinen Virus/Trojaner mehr.

Nur mal so eine Frage zwischendurch ist Kaspersky nicht so gut?

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

29.11.2007 17:58 1.063.374.848 hiberfil.sys
29.11.2007 17:58 792.723.456 pagefile.sys
28.10.2007 12:07 5.120 Thumbs.db
08.10.2007 18:55 211 boot.ini

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

29.11.2007 18:00 0 eRLog.ini
29.11.2007 17:24 7.168 Thumbs.db
28.11.2007 17:18 1.158 wpa.dbl
23.11.2007 19:42 34.308 Chip.dll
09.11.2007 16:07 23.392 nscompat.tlb
09.11.2007 16:07 16.832 amcompat.tlb
28.10.2007 09:45 1.641.144 FNTCACHE.DAT
03.10.2007 20:37 37.888 setupnt.dll

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

29.11.2007 18:07 49 NeroDigital.ini
29.11.2007 18:00 0 0.log
29.11.2007 18:00 2.022 ModemLog_Bluetooth Fax Modem.txt
29.11.2007 18:00 2.028 ModemLog_Bluetooth DUN Modem.txt
29.11.2007 18:00 4.192 ModemLog_HDAUDIO Soft Voice Modem with SmartCP.txt
29.11.2007 18:00 159 wiadebug.log
29.11.2007 17:59 2.048 bootstat.dat
29.11.2007 17:58 50 wiaservc.log
29.11.2007 17:58 3.560 WindowsUpdate.log
29.11.2007 17:49 41.860 setupapi.log
28.11.2007 20:05 47.616 Thumbs.db
28.11.2007 18:54 651 setupact.log
28.11.2007 18:54 0 setuperr.log
26.11.2007 21:33 109 Backup.INI
02.11.2007 18:20 432 BRWMARK.INI
30.10.2007 19:59 6.768 mgxoschk.ini
30.10.2007 18:44 316.640 WMSysPr9.prx
28.10.2007 13:39 30 Iedit_.INI
08.10.2007 18:55 639 win.ini
08.10.2007 18:55 227 system.ini
05.10.2007 19:45 221 NCLogConfig.ini

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\tasks

07.01.2007 19:27 6 SA.DAT
04.08.2004 05:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 4.410.802.176 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

26.11.2007 21:58 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 4.410.802.176 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Dennis\LOKALE~1\Temp

29.11.2007 19:28 130.335 filelist.txt
29.11.2007 18:00 18.401 LVCOMSX.LOG
29.11.2007 17:49 171.840 caevents.log
28.11.2007 18:03 0 dpr6.tmp
24.11.2007 23:43 118 9FD637EA.TMP
5 Datei(en) 320.694 Bytes
0 Verzeichnis(se), 4.410.802.176 Bytes frei

Zitat:

habe mal Kaspersky deinstalliert und Avira dafür installiert dieser hat Zwei Dateien gefunden die ich dann in Quarantäne verschoben und gelöscht habe.

Warum? Und welche Dateien hat Avira wo gefunden? Du kannst auch das Avira Logfile posten.
In dem Filelist ist erst mal nicht zu finden.