moin moin,

habe vor einigen tagen mein system komplett neu aufgesetzt, da ich nach 3jahren störungsfreiem betrieb mit nen mal "BOO/Sinowal.A" auf meiner platte hatte.
dank "Dr.Web" hab ich es vom Rechner bekommen (dachte ich zumindest bisher)
nun mit frisch aufgesetztem system läuft nach einigen tagen alles recht langsam und mich plagt die ungewissheit ob die kiste nun sauber ist oder nicht.
ich nutze WinXP SP3, nutze hauptsächlich opera und habe nun eine 30tage trial version von "DrWeb 5.0" im einsatz, welche jedoch keine infektion finden kann.

hab mal nen HJT-log erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:01:25, on 30.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Doctor Web\Scanning Engine\dwengine.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Ad Muncher\AdMunch.exe
C:\Programme\DrWeb\SpIDerAgent.exe
C:\Programme\DrWeb\spiderml.exe
C:\Programme\DrWeb\spidergate.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\devldr32.exe
C:\Programme\Opera\opera.exe
C:\Programme\DrWeb\DrWebUpW.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad Muncher] "C:\Programme\Ad Muncher\AdMunch.exe" /bt
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Programme\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerGate] "C:\Programme\DrWeb\spidergate.exe" -autorun
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe (User 'Default user')
O4 - Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe
O8 - Extra context menu item: Block frame with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_frame
O8 - Extra context menu item: Block image with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_image
O8 - Extra context menu item: Block link with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_link
O8 - Extra context menu item: Don't filter page with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_exclude
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Report page to the Ad Muncher developers - h***p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_report
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Dr.Web ® Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Programme\Gemeinsame Dateien\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe

--
End of file - 7714 bytes



bin für jede Hilfe dankbar

topSpin

Hallo topspin!
Wenn du deinen PC richtig neu aufgesetzt hast, dann dürften die Schädlinge entfernt sein.
Kann ja sein, dass du dir wieder einen Schädling seit dem Neuaufsetzen eingefangen hast. Oder ist der PC schohn genau nach dem Neuaufsetzen so brechend langsam?
Lade dir bitte Malwarebytes Antimalware runter und scanne dein System vollständig. Download: Malwarebytes.org

Vergiss nicht die Funde zu entfernen und poste das Scanergebnis wie einen neuen HJT-Log bitte hir.

erstmal danke für die schnelle antwort.
hab Malwarebytes Antimalware installiert und komplett scannen lassen, "leider" ohne erfolg, wobei ich eigentlich froh sein sollte das er nix gefunden hat. Jedoch besteht weiterhin mein problem das die kiste echt lahm geworden ist. habe zB wenn ich online bin richtige aussetzer, wo ich dann für 10-15sek garnix machen kann. was kann ich noch tun um das problem einzugrenzen bzw zu finden und zu beseitigen? nochmal neu aufsetzen??

achso bevor ich vergesse hier noch das logfile:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1710
Windows 5.1.2600 Service Pack 3

31.01.2009 01:41:28
mbam-log-2009-01-31 (01-41-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 151218
Laufzeit: 1 hour(s), 45 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nachdem ich heute nacht DrWeb nochmals einen komplettscan ausführen lies (dauerte 8stunden....jedoch ohne fund) hatte ich eine meldung auf dem Bildschirm:

"Datenausführungsverhinderung Windows Explorer
Dieses Programm wurde aus Sicherheitsgründen geschlossen"

also scheint irgendwas wohl richtig im argen zu sein, denn eine solche Meldung hab ich zuvor noch nie gesehen.
frage mich blos warum Dr. Web und co nichts finden können.

weiss noch jemand nen rat?

Der Tipp mag sich sonderbar anhoeren, aber deinstalliere Drweb und schau, wie sich dein System nun verhaelt. Drweb hat derzeit irgendwo einen Bug im Programm, der den Rechner unter bestimmten umstaenden extrem verlangsamt.

ok werds gern mal probieren...aber dann sollte ich ja auf jeden fall eine alternative installieren, bevor ich ungeschützt online gehe.
oder?
werd dann erstmal antivir raufkloppen oder was meinst du??

Nein, es reicht erstmal, wenn du Drweb deinstallierst. Malware fliegt nicht einfach so auf deinem Rechner, wenn du nur Dinge aus vertrauenswuerdiger Quelle startest und du auch beim Surfen entsprechend handelst, geht es auch ohne....

danke danke danke
ohne drweb scheint es sich doch wieder einigermassen normal zu verhalten.(mal abgesehen davon das der status meiner wlan verbindung nun die ganze zeit auf "netzwerkadresse beziehen" steht, obwohl ich längst eine zugewiesen bekommen habe...aber das stört eigentlich nicht)
tja somit werde ich mich von dem doctor wohl endgültig verabschieden müssen und stehe nun vor der frage welche alternative ich wähle.
antivir hatte ich vorher, jedoch hatte es mich zuletzt nicht überzeugt, da ich den letzten infect, welcher mich dazu brachte das system neuaufzusetzen, damit nicht entfernen konnte.
dennoch ist es natürlich vorteilhaft, wenn man an die kosten denkt...
was nutzt ihr denn so an antivirensoftware?