System Alert von Virus Protect pro

#0
15.08.2007, 15:44
...neu hier

Beiträge: 1
#1 hallo ich habe ein sch... problem seit heute ist in meiner schnellstartleiste das progi virus protect pro drinne.wenn ich auf den button gehe gelange ich sofort auf deren hp und muss mir was runterladen.bitte helft mir da ich sonst noch durchdrehe und ich keine lust habe meinen pc zu formatieren.
bin kein computerass hab im forum viel gelesen über das thema usw und war völlig überfordert welches progi ich brauche um mein problem zu lösen

im vorraus vielen dank für antworten
Seitenanfang Seitenende
15.08.2007, 16:04
Moderator

Beiträge: 7805
#2 Nutze bitte erst smitfraudfix zum reinigen: http://siri.geekstogo.com/SmitfraudFix_De.php
und danach bitte folgende Dinge posten: http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.09.2007, 00:06
...neu hier

Beiträge: 4
#3 Hi Leute,
Nach einigem Lesen bin ich auch dahinter gestiegen, daß ich mir einen sog. ZLOB eingefangen habe (System alert....), der auf VirusProtectPro zurückzuführen ist.
Wenn ich aber SmitFraudFix runterladen will (ich folge hier dem Link, der in versch. Threads angegeben ist), meldet mir AntiVir, das diese Datei einem "Dropper" entspricht. Wie ist das zu verstehen?
Seitenanfang Seitenende
11.09.2007, 02:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Du sollst Antivir erlauben SmitFraudFix zu installieren
__________
MfG Argus
Seitenanfang Seitenende
11.09.2007, 13:12
...neu hier

Beiträge: 4
#5 Hi Arnold,

Habe den Hinweis ganz unten auf der Download page übersehen, daher mein Zweifel über die Bonität von SmitFraudFix.

Folgendes Ergebnis so far:

Nach Durchführen von SmitFraudFix (wie auf der Downloadpage angegeben) taucht die PopUp aus der Taskleiste nicht mehr auf. Auch das bisher blinkende Icon ist weg.

Habe danach ATFcleaner, Combofix, HiJackThis und datafind ausgeführt
Hier die Logs:

________________________________________________
Combofix - Log:
---------------

ComboFix 07-09-10.6 - "PeterW" 2007-09-11 12:31:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.38 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-11 bis 2007-09-11 ))))))))))))))))))))))))))))))
.

2007-09-11 12:30 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-11 11:54 1,618 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-11 11:49 <DIR> d-------- C:\HiJackThis
2007-09-09 11:20 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-09-09 11:20 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-09-09 11:20 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-09-09 11:06 <DIR> d-------- C:\DOKUME~1\PeterW\ANWEND~1\Opera
2007-09-08 23:45 <DIR> d-------- C:\Programme\Opera
2007-09-08 01:38 <DIR> d-------- C:\Programme\Avira
2007-09-08 01:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
2007-09-07 16:25 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-09-07 16:07 <DIR> d-------- C:\DOKUME~1\PeterW\ANWEND~1\Google
2007-09-07 16:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-09-02 08:59 <DIR> d-------- C:\Programme\CDex_140b9
2007-08-12 02:25 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-09 11:20 --------- d-------- C:\Programme\Winamp
2007-09-08 01:38 --------- d-------- C:\Programme\AVPersonal
2007-09-07 17:51 --------- d-------- C:\Programme\Google
2007-09-02 11:24 --------- d-------- C:\DOKUME~1\PeterW\ANWEND~1\Corel
2007-08-12 02:29 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-08-12 02:28 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}]
C:\Programme\Video ActiveX Access\iesplg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-09-07 17:53]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-09-07 16:06]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26]
Microsoft Office.lnk - C:\Programme\Office2K\Office\OSA9.EXE [1999-02-17 22:05:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\__c00DEA33.dat

R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R3 ALiIRDA;ALi-Infrarotgerätetreiber;C:\WINDOWS\system32\DRIVERS\alifir.sys
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-11 12:36:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-11 12:38:48
.
--- E O F ---

________________________________________________________
HiJackThis - Log:
----------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:10, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\PeterW\Desktop\HJT.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C3C4699-B285-475F-BE47-0B26088CE876} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2K\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189174216317
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00DEA33.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 3464 bytes


__________________________________________________________
Datafind - Log:
--------------

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Kwickee
Volumeseriennummer: 300D-9D20

Verzeichnis von C:\WINDOWS\system32

11.09.2007 12:15 0 tmp.txt
11.09.2007 12:15 1.618 tmp.reg
11.09.2007 11:59 2.206 wpa.dbl
08.09.2007 16:03 380.684 perfh009.dat
08.09.2007 16:03 53.098 perfc009.dat
08.09.2007 16:03 391.574 perfh007.dat
08.09.2007 16:03 63.976 perfc007.dat
08.09.2007 16:03 897.954 PerfStringBackup.INI
08.09.2007 15:58 452.472 FNTCACHE.DAT
08.09.2007 15:38 128.914 TZLog.log
02.08.2007 21:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 14:42 60.416 tzchange.exe
26.06.2007 16:39 671.232 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
15.06.2007 10:13 619.008 urlmon.dll
15.06.2007 10:13 474.624 shlwapi.dll
15.06.2007 10:13 532.480 mstime.dll
15.06.2007 10:13 39.424 pngfilt.dll
15.06.2007 10:13 1.498.112 shdocvw.dll
15.06.2007 10:13 3.085.312 mshtml.dll
15.06.2007 10:13 146.432 msrating.dll
15.06.2007 10:13 449.024 mshtmled.dll
15.06.2007 10:13 55.808 extmgr.dll
15.06.2007 10:13 152.064 cdfview.dll
15.06.2007 10:13 1.022.976 browseui.dll
15.06.2007 10:13 1.056.256 danim.dll
15.06.2007 10:13 16.384 jsproxy.dll
15.06.2007 10:13 205.824 dxtrans.dll
15.06.2007 10:13 96.768 inseng.dll
15.06.2007 10:13 251.904 iepeers.dll
15.06.2007 10:13 357.888 dxtmsft.dll
14.06.2007 12:56 373.760 xpsp3res.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
30.04.2007 08:20 5.537.792 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
24.04.2007 11:32 1.485.696 LegitCheckControl.dll
18.04.2007 18:13 2.854.400 msi.dll
16.04.2007 17:53 1.058.304 kernel32.dll
17.03.2007 15:44 293.376 winsrv.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
08.03.2007 01:51 64.760 pxcpya64.exe
08.03.2007 01:51 510.712 pxdrv.dll
08.03.2007 01:51 72.440 pxhpinst.exe
08.03.2007 01:51 547.576 px.dll
08.03.2007 01:51 187.128 pxmas.dll
08.03.2007 01:51 1.628.920 pxsfs.dll
08.03.2007 01:51 379.640 pxwave.dll
08.03.2007 01:51 39.672 vxblock.dll
08.03.2007 01:51 64.760 pxinsa64.exe
08.03.2007 01:51 129.784 pxafs.dll
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
05.02.2007 22:18 185.856 upnphost.dll
23.01.2007 21:30 546.304 hhctrl.ocx
22.12.2006 12:28 271.360 mscoree.dll
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 23:49 8.494.592 shell32.dll
19.12.2006 20:17 334.336 wiaservc.dll
07.12.2006 07:29 2.374.472 wmvcore.dll
01.12.2006 05:20 212.480 swxcacls.exe
29.11.2006 17:21 370.688 swsc.exe
27.11.2006 16:54 539.136 msftedit.dll
27.11.2006 16:54 433.152 riched20.dll
27.11.2006 02:34 49.152 VFind.exe
17.11.2006 16:14 14.640 spmsg.dll
01.11.2006 21:17 927.504 mfc40u.dll
20.10.2006 03:38 715.776 sxs.dll
16.10.2006 18:15 126.976 oledlg.dll
14.10.2006 10:13 981.760 mfc42u.dll
13.10.2006 14:35 64.000 nwapi32.dll
13.10.2006 14:35 146.432 nwprovau.dll
13.10.2006 14:35 65.536 nwwks.dll
25.08.2006 17:46 617.472 comctl32.dll
24.08.2006 13:19 246.814 strmdll.dll
24.08.2006 13:17 500.278 dxmasf.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
17.08.2006 14:28 132.096 wkssvc.dll
17.08.2006 14:28 332.288 netapi32.dll
17.08.2006 14:28 729.600 lsasrv.dll
16.08.2006 13:58 100.352 6to4svc.dll
21.07.2006 10:29 72.704 hlink.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
22.06.2006 12:47 181.248 rasmans.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
Seitenanfang Seitenende
11.09.2007, 14:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {1C3C4699-B285-475F-BE47-0B26088CE876} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O20 - AppInit_DLLs:C:\WINDOWS\system32\__c00DEA33.dat

klicke:Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Files to delete:
C:\WINDOWS\system32\__c00DEA33.dat

Registry keys to delete:
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}]

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
- Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus
Seitenanfang Seitenende
11.09.2007, 15:58
...neu hier

Beiträge: 4
#7 Hi Arnold,

Hier der Log von Avenger. Hab ich etwas falsch gemacht, oder warum konnte Avenger die Einträge nicht finden?

__________________________________________________
Anvenger - Log:
---------------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\woeybpft

*******************

Script file located at: \??\C:\xctswqqp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at a:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\__c00DEA33.dat not found!
Deletion of file C:\WINDOWS\system32\__c00DEA33.dat failed!

Could not process line:
C:\WINDOWS\system32\__c00DEA33.dat
Status: 0xc0000034



Could not open registry key [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}] for deletion
Deletion of registry key [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C3C4699-B285-475F-BE47-0B26088CE876}] failed!
Status: 0xc000003b


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
11.09.2007, 16:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Kannst du mal nach C:\WINDOWS\system32\__c00DEA33.dat schauen ob er noch da ist?

Edit
Installiere Spybot s&d
Entferne beim Installieren das Haeckchen bei Teatimer
Nachdem alles installiert ist benutze die Immunisier funktion

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
__________
MfG Argus
Seitenanfang Seitenende
11.09.2007, 21:09
...neu hier

Beiträge: 4
#9 Hi Arnold,

Merci beaucoup bis hier.

Die Datei: C:\WINDOWS\system32\__c00DEA33.dat

kann ich nicht mehr finden. Auch als versteckte oder Systemdatei zeigt der WinExplorer sie nicht an.

Bei mir lief zwar schon eine ältere Version (jedoch regelmäßig upgedated) von spybot, aber ich aber die neuere überinstalliert.

AVG hat noch so einige Sachen gefunden (siehe Bericht-Log im Anhang: AVG.txt)
Wenn von Dir keine weiteren Vorschläge mehr kommen, denke ich, dass mein Rechner nun relativ sauber ist.

Bis dann und danke,

Piet

Anhang: AVG.txt
Seitenanfang Seitenende
11.09.2007, 21:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Normalerweisse hatte ComboFix diesen Eintrag finden müssen
Halte auf jeden fall dein Rechner up-to-date

Software Inspector hilft dabei http://secunia.com/software_inspector/

MfG
Arnold
__________
MfG Argus
Seitenanfang Seitenende