Rechner langsam und ständig beschäftigt

#0
20.07.2007, 22:34
Member

Beiträge: 11
#1 Hallo,

ich wollte nach langer Zeit mal wieder den Rechner vom Sohn checken und hab dabei gesehen, das anscheinend Warnhinweise von Kaspersky IS gerne einfach ignoriert werden. Was ich feststellen konnte, sind einige Adware-Komponenten. Ich bin mir aber nicht sicher ob noch mehr passiert ist und habe deswegen noch nichts gefixt sondern nur einige laufende Prozesse gestoppt und nach Anleitung die Logs erstellt.
Ich wäre unendlich dankbar wenn Ihr euch das mal ansehen könntet.


Vielen lieben Dank
NTV



ComboFix


"Janni1" - 20.07.2007 21:37:14 - ComboFix 07-07-14.6 - Service Pack 4 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-20 to 2007-07-20 )))))))))))))))))))))))))))))))


2007-07-20 21:36 51,200 --a------ C:\WINNT\nircmd.exe
2007-06-23 18:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-06-23 18:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo!
2007-06-23 18:19 <DIR> d-------- C:\DOKUME~1\Janni1\ANWEND~1\FUJIFILM
2007-06-23 18:15 815,104 --a------ C:\WINNT\system32\wmpcore.dll
2007-06-23 18:15 73,216 --a------ C:\WINNT\system32\wmerrDEU.dll
2007-06-23 18:15 66,048 --a------ C:\WINNT\system32\unam4ie.exe
2007-06-23 18:15 368,710 --a------ C:\WINNT\system32\msisam11.dll
2007-06-23 18:15 33,280 --a------ C:\WINNT\system32\asferror.dll
2007-06-23 18:15 270,336 --a------ C:\WINNT\system32\pdbrowse.dll
2007-06-23 18:15 241,725 --a------ C:\WINNT\system32\msuni11.dll
2007-06-23 18:15 184,320 --a------ C:\WINNT\system32\wmpcd.dll
2007-06-23 18:15 163,840 --a------ C:\WINNT\system32\mindex.dll
2007-06-23 18:15 1,302,528 --a------ C:\WINNT\system32\wmploc.dll
2007-06-23 18:15 1,118,208 --a------ C:\WINNT\system32\wmpui.dll
2007-06-23 18:13 212,480 --a------ C:\WINNT\PCDLIB32.DLL
2007-06-23 18:13 <DIR> d-------- C:\Programme\ArcSoft
2007-06-23 18:12 82,948 --a------ C:\WINNT\system32\drivers\Vc4cb104.sys
2007-06-23 18:12 73,728 --------- C:\WINNT\system32\Fregshave.dll
2007-06-23 18:12 <DIR> d-------- C:\Programme\REGSHAVE
2007-06-23 18:12 <DIR> d-------- C:\Programme\FinePixViewer


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-20 19:40:13 8,325,664 --sha-w C:\WINNT\system32\drivers\fidbox.dat
2007-07-20 19:36:53 -------- d-----w C:\Programme\Kaspersky Lab
2007-07-20 19:36:34 263,456 --sha-w C:\WINNT\system32\drivers\fidbox2.dat
2007-07-20 16:59:03 25,652 --sha-w C:\WINNT\system32\drivers\fidbox2.idx
2007-07-20 16:59:03 112,256 --sha-w C:\WINNT\system32\drivers\fidbox.idx
2007-06-23 16:33:09 -------- d-----w C:\DOKUME~1\Janni1\ANWEND~1\Yahoo!
2007-06-23 16:12:25 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-20 17:11:24 -------- d-----w C:\Programme\EA GAMES
2003-12-13 12:12:22 271 ---ha-w C:\Programme\desktop.ini
2003-12-13 12:12:22 22,080 ---ha-w C:\Programme\folder.htt


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
20.03.07 23:39 803864 --a------ C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
16.04.01 15:39 37808 --------- C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}]
C:\WINNT\system32\navshext1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 C:\WINNT\system32\mobsync.exe]
"nwiz"="nwiz.exe" [01.04.05 16:16 C:\WINNT\system32\nwiz.exe]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [22.08.04 18:05 ]
"@"="" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [26.02.07 18:17 ]
"My Web Search Bar"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL" [14.03.07 22:36 ]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [25.07.01 14:04 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MyWebSearch Email Plugin"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe" [14.03.07 22:36 ]
"PopularScreensaversWallpaper"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCRCTR.DLL,LES " []
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [07.06.07 14:08 ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe
"ALUAlert"=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"="C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-20 21:40:45
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 20.07.2007 21:43:14

--- E O F ---




HijackThis


Logfile of HijackThis v1.99.1
Scan saved at 21:48:39, on 20.07.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Janni1\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINNT\system32\navshext1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [PopularScreensaversWallpaper] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCRCTR.DLL,LES
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSYYYYYYYYDE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe


Datfind


.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 8BF3-492A

Verzeichnis von C:\WINNT\system32

20.07.2007 19:00 21.961 nvapps.xml
11.07.2007 16:59 139.776 swreg.exe
23.06.2007 18:15 19.012 wmpscheme.xml
14.03.2007 22:36 28.672 f3PSSavr.scr

1827 Datei(en) 314.803.573 Bytes
0 Verzeichnis(se), 59.889.893.376 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 8BF3-492A

Verzeichnis von C:\DOKUME~1\Janni1\LOKALE~1\Temp

20.07.2007 22:16 94.798 datfind.txt
20.07.2007 21:44 5.026 log.txt
20.07.2007 21:23 32.768 ~DF21B1.tmp
3 Datei(en) 132.592 Bytes
0 Verzeichnis(se), 59.889.930.240 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 8BF3-492A

Verzeichnis von C:\WINNT

20.07.2007 19:00 994.177 WindowsUpdate.log
04.07.2007 20:50 515 win.ini
04.07.2007 19:21 104.960 catchme.exe
23.06.2007 18:20 771.777 setupapi.log
23.06.2007 18:13 401 videoimp.ini
17.06.2007 00:11 51.200 nircmd.exe
18.05.2007 16:05 1.187.992 ShellIconCache

190 Datei(en) 15.559.041 Bytes
0 Verzeichnis(se), 59.889.864.704 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 8BF3-492A

Verzeichnis von C:\WINNT\temp

.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 8BF3-492A

Verzeichnis von C:\WINNT\Downloaded Program Files

28.11.2006 14:55 236 KingComIE.inf
09.11.2006 15:36 5.019 swflash.inf

12 Datei(en) 141.666 Bytes
0 Verzeichnis(se), 59.889.922.048 Bytes frei
.
.
.
Seitenanfang Seitenende
21.07.2007, 00:04
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINNT\system32\navshext1.dll (file missing)
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [PopularScreensaversWallpaper] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCRCTR.DLL,LES
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSYYYYYYYYDE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Start -> Sytemsteuerung-> Software entferne wenn anwesend MySearch,MyWebSearch

Entferne auf C:\
C:\WINNT\system32\f3PSSavr.scr
C:\PROGRAMME\MYWEBSEARCH

Download CounterSpyV2.0 zum Desktop
und dopplelklick um das Program zu installieren
CounterSpy wird geupdatet
Klicke: " System scan "
Nach dem Scan muss man sich entscheiden für: *Remove --> Status: Deleted
Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+)
Note
CounterSpy hat den Nachteil --> es will sich stets updaten
Wenn man CS startet:
Would you like to enable Automatic Updates? Wähle --> No
Would you like to enable Active Protection? Wähle --> No
Would you like to join ThreatNet? Wähle --> Yes
Häckchen entfernen bei --> Recommended

Download AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Download CCleaner und reinige dein Rechner
http://download.piriform.com/ccsetup141.exe

Dein Java software ist veraltet,download jre-6u2-windows-i586-p.exe
Srcolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”
__________
MfG Argus
Seitenanfang Seitenende
25.07.2007, 04:17
Member

Themenstarter

Beiträge: 11
#3 Hallo Arnold,

vielen Dank für Deine Hilfe und sorry für die späte Rückmeldung.
Ich konnte alles der Reihe nach problemlos abarbeiten und denke, der Rechner ist wieder clean.

Nochmal vielen Dank
Gruß
NTV
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »