Hallo seit kurzem habe ich folgendes Problem:

PC ist an und egal ob ich an ihm arbeite oder nicht taucht in regelmäßigen abständen die Sanduhr auf und im Taskmanager sehe ich das die hhs.pif oder eine svch32.pif die CPU kurz in die Knie gehen lassen! Habt ihr ne Ahnung was das sein soll, woher das kommt b.z.w. wie ich es wieder weg bekomme?! Danke schon mal!!

Win 2000
DSL

Hier ist schon mal mein Hijackfile:

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 18A8-144C

Verzeichnis von C:\WINNT\system32

24.10.2005 14:53 1.632 d3d8caps.dat
24.10.2005 14:53 17.549 nvapps.xml
18.10.2005 20:04 176.167 rmoc3260.dll
18.10.2005 20:04 5.632 pndx5032.dll
18.10.2005 20:04 6.656 pndx5016.dll
18.10.2005 20:03 278.528 pncrt.dll
18.10.2005 15:32 177.856 FNTCACHE.DAT
18.10.2005 15:31 49.152 cdrtc.dll
18.10.2005 15:31 45.056 cdral.dll
11.10.2005 10:29 492.032 WRLogonNtf.dll
11.10.2005 10:29 8.192 ssiefr.EXE
11.10.2005 10:29 17.920 wrlzma.dll
10.10.2005 10:30 102.912 islzma.dll
21.04.2005 15:45 69.632 ElbyCDIO.dll

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 18A8-144C

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

24.10.2005 14:58 16.384 ~DF74A3.tmp
24.10.2005 14:53 408 WCESCOMM.LOG
23.10.2005 20:47 14.048 WcesView.log
20.10.2005 12:36 65.536 ~DFF1E6.tmp
19.10.2005 16:48 45.096 _VWUPSRV.EXE
18.10.2005 19:44 283 wahtmltmp00.htm
18.10.2005 19:18 0 NEW11.html
18.10.2005 19:18 0 NEW11.tmp
14.10.2005 18:42 219 TWAIN.LOG
14.10.2005 18:42 156 Twunk001.MTX
14.10.2005 18:42 3 Twain001.Mtx
10.10.2005 13:48 1.714 MSI967d0.LOG
10.10.2005 13:46 879 jinstall.cfg
29.09.2005 19:24 0 fla1B.tmp
29.09.2005 19:23 0 fla1A.tmp
26.09.2005 23:14 16.384 ~DF64CD.tmp
26.09.2005 22:59 16.384 ~DF5767.tmp
26.09.2005 22:57 16.384 ~DF732A.tmp
08.08.2005 17:21 74.632 OInfoP11.mof
02.08.2005 22:28 0 fla19.tmp
02.08.2005 22:28 0 fla18.tmp
02.08.2005 22:28 0 fla17.tmp
02.08.2005 22:28 0 fla16.tmp
02.08.2005 22:27 0 fla15.tmp
02.08.2005 22:27 0 fla14.tmp
02.08.2005 22:27 0 fla13.tmp
02.08.2005 22:27 0 fla12.tmp
02.08.2005 20:44 89.701 wcesmgr.log
02.08.2005 20:36 3.371 outstore.log

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 18A8-144C

Verzeichnis von C:\WINNT

24.10.2005 14:20 32.538 SchedLgU.Txt
24.10.2005 14:20 552.764 ShellIconCache
24.10.2005 08:56 116 NeroDigital.ini
23.10.2005 19:00 555 win.ini
20.10.2005 12:45 1.125 winamp.ini
18.10.2005 15:31 100.391 wmsetup.log
18.10.2005 15:31 57.344 uneng.exe
18.10.2005 15:30 316.640 WMSysPr9.prx
18.10.2005 14:13 472.405 setupapi.log
18.10.2005 14:13 64.616 Windows Update.log
11.10.2005 10:29 466.432 WRUninstall.dll
10.10.2005 10:29 684.032 libeay32.dll
10.10.2005 10:29 155.648 ssleay32.dll
31.07.2005 15:58 335 nsreg.dat
18.04.2005 14:41 0 OPPRIN~1.INI
15.04.2005 18:33 2.985 tm.ini
15.04.2005 18:31 41 tdf.dii

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 18A8-144C

Verzeichnis von C:\

24.10.2005 15:04 0 sys.txt
24.10.2005 15:04 7.337 system.txt
24.10.2005 15:03 3.371 systemtemp.txt
24.10.2005 14:58 94.268 system32.txt
24.10.2005 14:20 402.653.184 pagefile.sys
18.04.2005 14:43 80 volumeid.zbx
25.03.2005 10:57 123 debugInstaller.txt
13.02.2005 00:21 216.096 ntldr
13.02.2005 00:21 34.724 NTDETECT.COM
12.02.2005 14:28 0 MSDOS.SYS
12.02.2005 14:28 0 IO.SYS
12.02.2005 14:28 0 CONFIG.SYS
12.02.2005 14:28 0 AUTOEXEC.BAT
12.02.2005 14:24 192 boot.ini
19.06.2003 21:05 163.840 arcsetup.exe
19.06.2003 21:05 150.528 arcldr.exe
16 Datei(en) 403.323.743 Bytes
0 Verzeichnis(se), 3.762.593.792 Bytes frei

hhs.pif
http://virus-protect.net/virus/hhs_pif.html

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.net/temp.html

ich brauche ein Log vom HijackThis:

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.net/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

11.10.2005 10:29 492.032 WRLogonNtf.dll
11.10.2005 10:29 8.192 ssiefr.EXE
11.10.2005 10:29 17.920 wrlzma.dll
10.10.2005 10:30 102.912 islzma.dll

WRLogonNtf.dll
C:\WINNT\system32\ssiefr.EXE
C:\WINNT\system32\wrlzma.dll
C:\WINNT\system32\islzma.dll
WRUninstall.dll

Logfile of HijackThis v1.99.1
Scan saved at 15:31:44, on 24.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
C:\WINNT\system32\hhs.pif

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINNT\system32\E.tmp
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BE58E67-244E-4B04-9C3A-982894CA4ED7}: NameServer = 62.27.27.62 195.247.247.195
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)

Download Registry Search Tool :

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

Windows UPnP Service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren

Search completed in 23 seconds.

No instances of " Windows UPnP Service" found.

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://sandbox.norman.no/live_4.html
http://virusscan.jotti.org/de/

C:\WINNT\system32\E.tmp
C:\WINNT\system32\hhs.pif

---------------------------------------------------------------------------------------
Gehe in die Registry

Start-->Ausfuehren--> regedit

bearbeiten--> suchen -->hhs.pif (loesche alle Eintraege)

HKCU\Software\Microsoft\OLE
HTML Help System
hhs.pif

HKLM\SOFTWARE\Microsoft\Ole
HTML Help System
hhs.pif

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
HTML Help System
hhs.pif

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HTML Help System
hhs.pif


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINNT\system32\E.tmp
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)

PC neustarten

KILLBOX
http://virus-protect.net/killbox.html
Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\hhs.pif
C:\WINNT\system32\wupnp.exe
C:\WINNT\system32\ssiefr.EXE
C:\WINNT\system32\wrlzma.dll
C:\WINNT\system32\islzma.dll
C:\WINNT\system32\WRUninstall.dll
C:\WINNT\system32\E.tmp

PC neustarten

scanne mit Kaspersky (online) und poste den scanbericht)
http://virus-protect.net/onlinescan.html

kopiere rein: wupnp


Doppelklick:regsrch.vbs
reinkopieren:

wupnp

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

KASPERSKY ON-LINE SCANNER REPORT
Monday, October 24, 2005 21:54:22
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 24/10/2005
Kaspersky Anti-Virus database records: 146569
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 45544
Number of viruses found: 5
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 4067 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Administrator\Recent\É.pif Infected: Backdoor.Win32.Rbot.agu
C:\Programme\AVPersonal\INFECTED\.EXE.001 Infected: Backdoor.Win32.IRCBot.ex
C:\Programme\AVPersonal\INFECTED\.EXE.VIR Infected: Backdoor.Win32.IRCBot.ex
C:\Programme\AVPersonal\INFECTED\E.VIR Infected: Trojan-Proxy.Win32.Ranky.gen
C:\Programme\AVPersonal\INFECTED\SYS.EXE.001 Infected: Trojan-Dropper.Win32.Small.yn
C:\Programme\AVPersonal\INFECTED\SYS.EXE.VIR Infected: Trojan-Dropper.Win32.Small.yn
C:\Programme\CrackBuster\WinRaR_v3.50_Beta_2-1.zip/thecrack.exe/data0001 Infected: Trojan-Downloader.Win32.INService.ja
C:\Programme\CrackBuster\WinRaR_v3.50_Beta_2-1.zip/thecrack.exe Infected: Trojan-Downloader.Win32.INService.ja
C:\Programme\CrackBuster\WinRaR_v3.50_Beta_2-1.zip Infected: Trojan-Downloader.Win32.INService.ja

Scan process completed.

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\Dokumente und Einstellungen\Administrator\Recent\É.pif
C:\Programme\AVPersonal\INFECTED\.EXE.001
C:\Programme\AVPersonal\INFECTED\.EXE.VIR
C:\Programme\AVPersonal\INFECTED\E.VIR
C:\Programme\AVPersonal\INFECTED\SYS.EXE.001
C:\Programme\AVPersonal\INFECTED\SYS.EXE.VIR
C:\Programme\CrackBuster\WinRaR_v3.50_Beta_2-1.zip/thecrack.exe/data0001
C:\Programme\CrackBuster\WinRaR_v3.50_Beta_2-1.zip/thecrack.exe
C:\Programme\CrackBuster\WinRaR_v3.50_Beta_2-1.zip


und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


Doppelklick:regsrch.vbs
reinkopieren:

wupnp

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

so alles erledigt aber beim reinkopieren von wupnp in regsearch kommt die gleiche Meldung wie vorher " no instances of ... found!
Gut oder nicht gut?

scanne mit panda + berichte
http://virus-protect.net/onlinescan.html

poste das neue Log vom HijackThis