System Alert! pop-up

#1 Hallo Sabina,

ich habe Deine Beiträge und Informationen bzgl. meines Problem gefunden und bitte Dich sehr, mir zu helfen.

Wie viele andere auch habe ich das Problem eines permanent aufpoppenden "System Alert!", der mich dazu auffordert, von irgend einer Webseite einen Virenkiller downzuloaden.
Bevor ich Deinen Beitrag fand, habe ich sowohl mit McAfee VirusScan 8.0i Enterprise als auch mit AdAware 1.06 personal gescannt.
Der McAfee hat einige Duzend Male den Puper Trojaner gefunden und gelöscht, sonst aber nichts.
Der AdAware hat auch nichts Besonderes gefunden und ausrichten können.

Nach den Scans und Löschungen läuft das System scheinbar wieder einwandfrei, abgesehen von den nervigen Pop-ups eben.

System:
Toshiba Satellite Laptop, Windows XP Home, SP2, neuester Patchlevel.


Hier alle gewünschten Infos, wie von Dir beschrieben:

Logfile of HijackThis v1.99.1
Scan saved at 13:37:11, on 24.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Object\pmsngr.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Video ActiveX Object\pmmon.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\avenger\avenger.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Install\Besondere Maßnahmen\hijackthis\HijackThis.exe

O3 - Toolbar: (no name) - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{90BF5CA0-6C9A-4A0E-A5CC-A7B1853E9071}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe




"Hermann" - 07-01-27 15:42:35 Service Pack 2
ComboFix 07-01-25 - Running from: "C:\Install\Besondere Maánahmen\Combofix"

((((((((((((((((((((((((((((((( Files Created from 2006-12-27 to 2007-01-27 ))))))))))))))))))))))))))))))))))


2007-01-23 19:54 <DIR> d-------- C:\Programme\Windows Installer Clean Up
2007-01-23 17:44 60,416 --------- C:\WINDOWS\system32\tzchange.exe
2007-01-23 17:30 <DIR> d-------- C:\WINDOWS\Prefetch
2007-01-23 15:44 <DIR> d-------- C:\WINDOWS\provisioning
2007-01-23 15:44 <DIR> d-------- C:\WINDOWS\peernet
2007-01-23 15:38 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-01-23 15:24 <DIR> d-------- C:\WINDOWS\EHome
2007-01-23 15:08 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2007-01-23 12:54 <DIR> d-------- C:\Programme\Lavasoft
2007-01-23 11:31 <DIR> d-------- C:\QUARANTINE
2007-01-23 11:23 58,464 --a------ C:\WINDOWS\system32\drivers\mvstdi5x.sys
2007-01-23 11:23 116,992 --a------ C:\WINDOWS\system32\drivers\naiavf5x.sys
2007-01-23 11:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Network Associates
2007-01-23 11:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems
2007-01-23 11:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Network Associates
2007-01-23 11:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\McAfee
2007-01-07 14:17 20,992 --a------ C:\WINDOWS\system32\axlet.dll
2007-01-07 14:16 <DIR> d-------- C:\Programme\Video ActiveX Object


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-23 15:45 -------- d-------- C:\Programme\messenger
2007-01-23 15:44 -------- d-------- C:\Programme\movie maker
2007-01-23 15:37 -------- d-------- C:\Programme\windows nt
2007-01-23 12:58 -------- d-------- C:\DOKUME~1\Hermann\Anwendungsdaten\lavasoft
2007-01-23 12:41 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe
2007-01-23 11:23 -------- d-------- C:\Programme\network associates
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"SigmaTel StacMon"="C:\\Programme\\SigmaTel\\SigmaTel AC97 Audio-Treiber\\stacmon.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"TouchED"="C:\\Programme\\TOSHIBA\\TouchED\\TouchED.Exe"
"NDSTray.exe"="NDSTray.exe"
"TPSMain"="TPSMain.exe"
"ezShieldProtector for Px"="C:\\WINDOWS\\System32\\ezSP_Px.exe"
"Drag'n Drop CD+DVD"="C:\\Programme\\Drag'n Drop CD+DVD\\BinFiles\\DragDrop.exe /StartUp"
"AWMON"="\"C:\\PROGRA~1\\Lavasoft\\AD-AWA~1\\Ad-Watch.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{8670ee50-01f9-47da-ac1e-cf8549e9e521}"="eupeptic"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"
"none"="C:\\Programme\\Video ActiveX Object\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_ENTDRV51

Completion time: 07-01-27 15:46:07



datfindbat Ergebnisse von "system32" (system32.txt):
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80FB-315E

Verzeichnis von C:\WINDOWS\system32

27.01.2007 16:04 1.158 wpa.dbl
23.01.2007 17:56 380.684 perfh009.dat
23.01.2007 17:56 53.098 perfc009.dat
23.01.2007 17:56 391.574 perfh007.dat
23.01.2007 17:56 63.976 perfc007.dat
23.01.2007 17:56 897.778 PerfStringBackup.INI
23.01.2007 17:50 105.824 TZLog.log
23.01.2007 17:31 90 spupdwxp.log
23.01.2007 17:30 147.608 FNTCACHE.DAT
07.01.2007 14:17 20.992 axlet.dll
02.01.2007 15:19 10.980.776 MRT.exe
07.12.2006 07:40 2.362.184 wmvcore.dll
18.11.2006 12:44 60.416 tzchange.exe
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll
23.10.2006 16:17 615.936 urlmon.dll
23.10.2006 16:17 664.576 wininet.dll



Ich danke Dir im Voraus vielmals und hoffe, Du kannst mir sagen, wie ich mit Hilfe von "avenger" dieses Problem (den Zlob Trojaner?) in den Griff bekommen kann.
Ich habe bzgl. des Zlob Trojaners bei McAfee gesucht, aber keinerlei Infos dazu gefunden.
Das bringt mich zu der Frage, wie ich mich künftig oder bei anderen PCs von diesem Befall pro-aktiv schützen kann - hast Du da eine Idee?

Merci,
Thomas :-)

#2 delicious :=

ich gehe davon aus, das smitfraudfix das loescht (auch aus der registry)
http://virus-protect.org/artikel/tools/smitfrautfix.html

2007-01-07 14:17 20,992 --a------ C:\WINDOWS\system32\axlet.dll
2007-01-07 14:16 <DIR> d-------- C:\Programme\Video ActiveX Object
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hey, ich wollte meinen neuen Virenscanner testen.

Könnt ihr mir sagen, woher man nochmals, den smitfraud Virus bekommt?

Wisst ihr ne webseite wo man das als Videocode laden soll?

Würde eben gerne mein neues Antivirenprogramm damit testen.

Gruss, ANdy

#4 Hallo Sabina,

danke für die schnelle und gute Hilfe, das Problem scheint sich gelöst zu haben :-) :-)
Wie kommst Du eigentlich auf all diese Lösungsansätze und woher kennst Du all diese Tools?
Ich selbst bin jetzt auch schon lange beruflich in der IT, aber ich kannte das alles nicht.

Ich wünsche Dir einen schönen Abend und hoffe, Dich zumindest in dergleichen Angelegenheit nicht wieder kontaktieren zu müssen.

Falls ich Dir für Deine Hilfe und Zeit etwas schulde, laß es mich bitte wissen.
Ich befinde mich in München.

Liebe Grüße,
Thomas :-)