Spyware alert Popups

#1 Ich habe seit dem ich eine ActiveX erweiterung bei Opera installiert habe das Problem dass ständig zwei Popups rumnerven und den ieplorer öffnen um irgendeine Seite zu öffnen. Außerdem will dauernd irgendwas eine Registryeintragung vornehmen was Spybot am laufenden Band verhindert (Katergorie Browser Page).
Ich bin jetzt wie in der anleitung vorgegangen:

Cobofix log:

ComboFix 07-08-30.3 - "Pasqual" 2007-08-30 15:15:03.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.663 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Pasqual\Desktop\Error Cleaner.url
C:\DOKUME~1\Pasqual\Desktop\Privacy Protector.url
C:\DOKUME~1\Pasqual\Desktop\Spyware&Malware Protection.url
C:\DOKUME~1\Pasqual\FAVORI~1\Error Cleaner.url
C:\DOKUME~1\Pasqual\FAVORI~1\Privacy Protector.url
C:\DOKUME~1\Pasqual\FAVORI~1\Spyware&Malware Protection.url
C:\Programme\VideoAccessCodec
C:\WINDOWS\dat.txt
C:\WINDOWS\main_uninstaller.exe


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 )))))))))))))))))))))))))))))))


2007-08-30 15:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-30 03:39 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-08-30 03:38 <DIR> d-------- C:\DOKUME~1\Pasqual\.housecall6.6
2007-08-29 17:43 307,200 --a------ C:\WINDOWS\wmpdev.dll
2007-08-24 23:18 <DIR> d-------- C:\Programme\DivX
2007-07-27 01:06 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-13 20:20 <DIR> d-------- C:\Program Files
2007-07-13 20:20 <DIR> d-------- C:\DOKUME~1\Pasqual\ANWEND~1\BitTorrent


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-26 13:38 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-27 14:27 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-06 18:37 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"SmcService"="E:\PROGRA~1\SYGATE~1\smc.exe" [2004-02-24 16:35]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-08-21 16:58]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"SpybotSD TeaTimer"="e:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"Steam"="" []
"Start WingMan Profiler"="" []
"Iconoid"="E:\Programme\Iconoid\iconoid.exe" [2007-02-03 18:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"=0 (0x0)
"NoClose"=0 (0x0)
"DisableChangePassword"=0 (0x0)
"NoShutDown"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wmpdev"= {F04A4F0B-B6AA-49C1-A3D2-A4A37FD72FCE} - C:\WINDOWS\wmpdev.dll [2007-08-29 10:49 307200]

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\drivers\viamraid.sys
R2 ACEDRV06;ACEDRV06;\??\C:\WINDOWS\system32\drivers\ACEDRV06.sys
R2 CVPND;Cisco Systems, Inc. VPN Service;"E:\Programme\Cisco Systems\VPN Client\cvpnd.exe"
R2 CVPNDRVA;Cisco Systems IPsec Driver;\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys
R3 CVirtA;Cisco Systems VPN Adapter;C:\WINDOWS\system32\DRIVERS\CVirtA.sys
R3 DNE;Deterministic Network Enhancer Miniport;C:\WINDOWS\system32\DRIVERS\dne2000.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;E:\Programme\Common\Database\bin\fbserver.exe
S3 nsysaudm;nsysaudm;\??\C:\DOKUME~1\Pasqual\LOKALE~1\Temp\nsysaudm.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\AUTORUN.EXE

*Newly Created Service* - CATCHME

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-30 15:16:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-30 15:16:32
C:\ComboFix-quarantined-files.txt ... 2007-08-30 15:16

--- E O F ---

----------------------------------------------------------------------
Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 15:09:45, on 30.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Sygate Firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Cisco Systems\VPN Client\vpngui.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
D:\Downloads\Problemlösung Popup alert\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Iconoid] "E:\Programme\Iconoid\iconoid.exe"
O4 - Startup: BirthCheck.lnk = E:\Programme\birthcheck\birthcheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{90D217DC-F4BB-4B07-8C9A-044DF6F46D5A}: Domain = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{90D217DC-F4BB-4B07-8C9A-044DF6F46D5A}: NameServer = 134.76.10.46,134.76.33.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gwdg.de
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: wmphost - {34114E76-645A-42C6-B1DF-6CB429743824} - (no file)
O21 - SSODL: wmpdev - {F04A4F0B-B6AA-49C1-A3D2-A4A37FD72FCE} - C:\WINDOWS\wmpdev.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate Firewall\smc.exe

----------------------------------------------------------------------------
datfind log:

Verzeichnis von C:\WINDOWS\system32

30.08.2007 13:48 52.900 perfc009.dat
30.08.2007 13:48 380.486 perfh009.dat
30.08.2007 13:48 63.784 perfc007.dat
30.08.2007 13:48 391.330 perfh007.dat
30.08.2007 13:48 897.954 PerfStringBackup.INI
30.08.2007 13:44 2.206 wpa.dbl
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 01:06 200.704 ssldivx.dll
27.07.2007 01:06 1.044.480 libdivx.dll
22.07.2007 18:39 279.552 swreg.exe
19.07.2007 08:56 3.583.488 mshtml.dll
11.07.2007 17:43 4.254 jupdate-1.6.0_01-b06.log
27.06.2007 16:05 823.808 wininet.dll
27.06.2007 16:05 232.960 webcheck.dll
27.06.2007 16:05 1.152.000 urlmon.dll
27.06.2007 16:05 102.400 occache.dll
27.06.2007 16:05 105.984 url.dll
27.06.2007 16:05 671.232 mstime.dll
27.06.2007 16:05 193.024 msrating.dll
27.06.2007 16:05 477.696 mshtmled.dll
27.06.2007 16:05 459.264 msfeeds.dll
27.06.2007 16:05 52.224 msfeedsbs.dll
27.06.2007 16:05 1.824.256 inetcpl.cpl
27.06.2007 16:05 27.648 jsproxy.dll
27.06.2007 16:04 267.776 iertutil.dll
27.06.2007 16:04 44.544 iernonce.dll
27.06.2007 16:04 6.058.496 ieframe.dll
27.06.2007 16:04 384.512 iedkcs32.dll
27.06.2007 16:04 383.488 ieapfltr.dll
27.06.2007 16:04 230.400 ieaksie.dll
27.06.2007 16:04 132.608 extmgr.dll
27.06.2007 16:04 124.928 advpack.dll
27.06.2007 16:04 153.088 ieakeng.dll
27.06.2007 14:27 43.520 CmdLineExt03.dll
27.06.2007 10:27 13.824 ieudinit.exe
27.06.2007 10:27 63.488 ie4uinit.exe
27.06.2007 09:00 161.792 ieakui.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
11.06.2007 23:51 10.834.944 wmp.dll
06.06.2007 19:54 88.508 nvapps.nvb
06.06.2007 18:37 108.144 CmdLineExt.dll
03.06.2007 20:35 23.392 nscompat.tlb
03.06.2007 20:35 16.832 amcompat.tlb
03.06.2007 19:58 118.152 FNTCACHE.DAT
------------------
Verzeichnis von C:\DOKUME~1\Pasqual\LOKALE~1\Temp

30.08.2007 15:18 102.294 datfind.txt
1 Datei(en) 102.294 Bytes
0 Verzeichnis(se), 35.614.502.912 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7467-82F0

Verzeichnis von C:\WINDOWS

30.08.2007 14:23 159 wiadebug.log
30.08.2007 14:23 50 wiaservc.log
30.08.2007 14:11 252.742 setupapi.log
30.08.2007 13:44 1.252.888 WindowsUpdate.log
30.08.2007 13:44 0 0.log
30.08.2007 13:43 2.048 bootstat.dat
30.08.2007 13:42 32.642 SchedLgU.Txt
29.08.2007 12:06 4.067 KB933360.log
29.08.2007 10:49 307.200 wmpdev.dll
26.08.2007 13:49 116 NeroDigital.ini
25.08.2007 09:32 58.563 spupdsvc.log
25.08.2007 02:37 119.097 iis6.log
25.08.2007 02:37 260.527 comsetup.log
25.08.2007 02:37 366.201 ocgen.log
25.08.2007 02:37 156.415 ntdtcsetup.log
25.08.2007 02:37 37.900 msgsocm.log
25.08.2007 02:37 21.476 KB936021.log
25.08.2007 02:37 41.409 ocmsn.log
25.08.2007 02:37 1.374 imsins.log
25.08.2007 02:37 289.549 tsoc.log
25.08.2007 02:37 748.031 FaxSetup.log
25.08.2007 02:37 79.365 updspapi.log
25.08.2007 02:37 20.197 KB938828.log
25.08.2007 02:37 20.835 KB921503.log
25.08.2007 02:37 20.630 KB938829.log
25.08.2007 02:36 25.929 KB937143-IE7.log
25.08.2007 02:35 15.661 KB938127-IE7.log
25.08.2007 02:35 289.534 msxml4-KB936181-enu.LOG
25.08.2007 02:35 12.386 KB936782.log
25.08.2007 02:35 124.546 wmsetup.log
24.08.2007 23:18 3.270 mozver.dat
20.08.2007 14:24 942 EF.ini
16.08.2007 15:15 54.156 QTFont.qfn
20.07.2007 00:47 109.056 catchme.exe
13.07.2007 19:10 1.409 QTFont.for
22.06.2007 16:56 183.783 setupact.log
20.06.2007 01:58 18.696 KB935839.log
20.06.2007 01:58 24.371 KB933566-IE7.log
17.06.2007 00:11 51.200 nircmd.exe
16.06.2007 01:47 14.056 KB929123.log
16.06.2007 01:47 13.710 KB935840.log
13.06.2007 15:21 1.036.288 explorer.exe
05.06.2007 20:36 198.276 DirectX.log
04.06.2007 14:36 9.747 KB929399.log
03.06.2007 20:14 2.106 wmsetup10.log
03.06.2007 20:14 8.863 KB926239.log
03.06.2007 20:13 6.853 MSCompPackV1.log
03.06.2007 20:13 20.563 wmp11.log
03.06.2007 20:13 654 win.ini
03.06.2007 20:12 29.329 WMFDist11.log
03.06.2007 20:12 316.640 WMSysPr9.prx
03.06.2007 20:10 12.147 Wudf01000Inst.log

----------------------------------------------------------

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7467-82F0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

12.10.2006 05:07 896 jinstall-1_5_0_09.inf
25.09.2006 19:47 65 desktop.ini
2 Datei(en) 961 Bytes
0 Verzeichnis(se), 35.614.494.720 Bytes frei
-----------------------------------------------------------------
Was soll ich machen?
Danke schon mal für die Hilfe!

#2 Hi,

folgende Files online untersuchen:

C:\WINDOWS\wmpdev.dll
C:\DOKUME~1\Pasqual\LOKALE~1\Temp\nsysaudm.sys

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\wmpdev.dll
C:\DOKUME~1\Pasqual\LOKALE~1\Temp\nsysaudm.sys

Poste das Ergebniss

Und es läuft zuviel Antispyware, Scanner etd.!

Chris

#3 C:\WINDOWS\wmpdev.dll Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.08.31 -
AntiVir 7.4.1.66 2007.08.31 -
Authentium 4.93.8 2007.08.31 -
Avast 4.7.1029.0 2007.08.31 -
AVG 7.5.0.484 2007.08.31 -
BitDefender 7.2 2007.08.31 -
CAT-QuickHeal 9.00 2007.08.31 -
ClamAV 0.91.2 2007.08.31 -
DrWeb 4.33 2007.08.31 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5099 2007.08.31 -
Ewido 4.0 2007.08.31 -
FileAdvisor 1 2007.08.31 -
Fortinet 3.11.0.0 2007.08.31 Misc/Ultimate
F-Prot 4.3.2.48 2007.08.31 -
F-Secure 6.70.13030.0 2007.08.31 -
Ikarus T3.1.1.12 2007.08.31 not-a-virus:AdWare.Win32.Agent.fi
Kaspersky 4.0.2.24 2007.08.31 not-a-virus:AdWare.Win32.Agent.fi
McAfee 5110 2007.08.31 potentially unwanted program Ultimate
Microsoft 1.2803 2007.08.31 TrojanDownloader:Win32/Zlob.gen!L
NOD32v2 2494 2007.08.31 Win32/Adware.Agent.NAY
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.08.31 -
Prevx1 V2 2007.08.31 -
Rising 19.38.42.00 2007.08.31 -
Sophos 4.21.0 2007.08.31 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.31 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.31 -
Webwasher-Gateway 6.0.1 2007.08.31 -
weitere Informationen
File size: 307200 bytes
MD5: aaf784b1caed9b79d8297bf39ec49240
SHA1: 47dedb51fa50bf01abd34293777f30e82fe7f5d1

C:\DOKUME~1\Pasqual\LOKALE~1\Temp\nsysaudm.sys Ergebnis:

die datei kann ich nicht finden oder ist einfach nicht mehr da.

was soll ich mit wmpdev.dll machen? löschen? Hab mich auch gefragt, ob ich nicht einfach meine C Partition formatieren sollte und Windows neu installieren.

Soeben versucht die Datei wmphost.dll sich in die Registrierung einzutragen, und spybot verhindert es wieder laufend!

Ich vergaß übrigens zu erwähnen, dass auch ständig 3 Desktopverknüpfungen erstellt wurden.

Zitat

Und es läuft zuviel Antispyware, Scanner etd.!

Was sollte ich denn deiner Meinung laufen haben und was nicht?
Im Moment läuft AVG,Sygate Personal Firewall, und Spybot.

Danke Pascal

Ergänzung:
Hab die Datei wmphost.dll grad noch mal durch virustotal gejagt und bi auch fündig geworden:

Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.Win32.Agent.bjc
Kaspersky 4.0.2.24 2007.08.31 -
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.08.31 TrojanDownloader:Win32/Zlob.gen!L
NOD32v2 2494 2007.08.31 Win32/Adware.Agent.NBA
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.08.31 Adware/VideoPlugin
Prevx1 V2 2007.08.31 -
Rising 19.38.42.00 2007.08.31 -
Sophos 4.21.0 2007.08.31 Troj/PmwDl-Gen

also was tun?

Danke vielmals!

#4 Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)


Entferne auf C:\Qoobox-->Papierkorb leeren

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

File::
C:\WINDOWS\wmpdev.dll
C:\WINDOWS\wmphost.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wmpdev"=-
"wmphost"=-

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix
Und ein log von Hijack This


__________
MfG Argus

#5 ComboFix 07-08-30.3 - "Pasqual" 2007-08-31 23:27:45.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.629 [GMT 2:00]
Command switches used :: C:\Dokumente und Einstellungen\Pasqual\Desktop\cfscript.txt
* Created a new restore point

FILE::
C:\WINDOWS\wmpdev.dll
C:\WINDOWS\wmphost.dll


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\wmpdev.dll
C:\WINDOWS\wmphost.dll


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-31 )))))))))))))))))))))))))))))))


2007-08-31 21:41 233,472 --a------ C:\WINDOWS\mxduo.dll
2007-08-30 15:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-30 03:39 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-08-30 03:38 <DIR> d-------- C:\DOKUME~1\Pasqual\.housecall6.6
2007-08-24 23:18 <DIR> d-------- C:\Programme\DivX
2007-07-27 01:06 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-13 20:20 <DIR> d-------- C:\Program Files
2007-07-13 20:20 <DIR> d-------- C:\DOKUME~1\Pasqual\ANWEND~1\BitTorrent


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-26 13:38 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-27 14:27 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-06 18:37 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F4CF814F-970F-405D-A42C-0CE06EB97373}]
2007-08-31 12:22 233472 --a------ C:\WINDOWS\mxduo.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"SmcService"="E:\PROGRA~1\SYGATE~1\smc.exe" [2004-02-24 16:35]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-08-21 16:58]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Steam"="" []
"Start WingMan Profiler"="" []
"Iconoid"="E:\Programme\Iconoid\iconoid.exe" [2007-02-03 18:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"=0 (0x0)
"NoClose"=0 (0x0)
"DisableChangePassword"=0 (0x0)
"NoShutDown"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"=0 (0x0)

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\drivers\viamraid.sys
R2 ACEDRV06;ACEDRV06;\??\C:\WINDOWS\system32\drivers\ACEDRV06.sys
R2 CVPND;Cisco Systems, Inc. VPN Service;"E:\Programme\Cisco Systems\VPN Client\cvpnd.exe"
R2 CVPNDRVA;Cisco Systems IPsec Driver;\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys
R3 DNE;Deterministic Network Enhancer Miniport;C:\WINDOWS\system32\DRIVERS\dne2000.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 CVirtA;Cisco Systems VPN Adapter;C:\WINDOWS\system32\DRIVERS\CVirtA.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;E:\Programme\Common\Database\bin\fbserver.exe
S3 nsysaudm;nsysaudm;\??\C:\DOKUME~1\Pasqual\LOKALE~1\Temp\nsysaudm.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\AUTORUN.EXE


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-31 23:29:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-31 23:30:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-31 23:30
C:\ComboFix2.txt ... 2007-08-30 15:16

--- E O F ---


Logfile of HijackThis v1.99.1
Scan saved at 00:41:25, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Sygate Firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
E:\Programme\Cisco Systems\VPN Client\vpngui.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Pasqual\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Iconoid] "E:\Programme\Iconoid\iconoid.exe"
O4 - Startup: BirthCheck.lnk = E:\Programme\birthcheck\birthcheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{90D217DC-F4BB-4B07-8C9A-044DF6F46D5A}: Domain = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{90D217DC-F4BB-4B07-8C9A-044DF6F46D5A}: NameServer = 134.76.10.46,134.76.33.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gwdg.de
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate Firewall\smc.exe



Alles so gemacht wie beschrieben. bis jetzt ist auch nix mehr gekommen. Danke.

#6 Entferne auf C:\Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


Mach das mit cfscript.txt nochmal aber kopiere dann rein:

File::
C:\WINDOWS\mxduo.dll
__________
MfG Argus

#7 ComboFix 07-08-30.3 - "Pasqual" 2007-09-01 21:52:03.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.533 [GMT 2:00]
Command switches used :: C:\Dokumente und Einstellungen\Pasqual\Desktop\cfscript.txt
* Created a new restore point

FILE::
C:\WINDOWS\mxduo.dll


((((((((((((((((((((((((( Files Created from 2007-08-01 to 2007-09-01 )))))))))))))))))))))))))))))))


2007-08-30 15:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-30 03:39 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-08-30 03:38 <DIR> d-------- C:\DOKUME~1\Pasqual\.housecall6.6
2007-08-24 23:18 <DIR> d-------- C:\Programme\DivX


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-26 13:38 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-27 01:06 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-13 20:20 --------- d-------- C:\DOKUME~1\Pasqual\ANWEND~1\BitTorrent
2007-06-27 14:27 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-06 18:37 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"SmcService"="E:\PROGRA~1\SYGATE~1\smc.exe" [2004-02-24 16:35]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-08-21 16:58]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Steam"="" []
"Start WingMan Profiler"="" []
"Iconoid"="E:\Programme\Iconoid\iconoid.exe" [2007-02-03 18:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"=0 (0x0)
"NoClose"=0 (0x0)
"DisableChangePassword"=0 (0x0)
"NoShutDown"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"=0 (0x0)

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\drivers\viamraid.sys
R2 ACEDRV06;ACEDRV06;\??\C:\WINDOWS\system32\drivers\ACEDRV06.sys
R2 CVPND;Cisco Systems, Inc. VPN Service;"E:\Programme\Cisco Systems\VPN Client\cvpnd.exe"
R2 CVPNDRVA;Cisco Systems IPsec Driver;\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys
R3 CVirtA;Cisco Systems VPN Adapter;C:\WINDOWS\system32\DRIVERS\CVirtA.sys
R3 DNE;Deterministic Network Enhancer Miniport;C:\WINDOWS\system32\DRIVERS\dne2000.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;E:\Programme\Common\Database\bin\fbserver.exe
S3 nsysaudm;nsysaudm;\??\C:\DOKUME~1\Pasqual\LOKALE~1\Temp\nsysaudm.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\AUTORUN.EXE


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-01 21:52:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-01 21:53:29
C:\ComboFix-quarantined-files.txt ... 2007-09-01 21:53
C:\ComboFix2.txt ... 2007-08-31 23:30
C:\ComboFix3.txt ... 2007-08-30 15:16

--- E O F ---

Logfile of HijackThis v1.99.1
Scan saved at 21:54:16, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Sygate Firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Cisco Systems\VPN Client\vpngui.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\explorer.exe
D:\Downloads\Problemlösung Popup alert\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Iconoid] "E:\Programme\Iconoid\iconoid.exe"
O4 - Startup: BirthCheck.lnk = E:\Programme\birthcheck\birthcheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{90D217DC-F4BB-4B07-8C9A-044DF6F46D5A}: Domain = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{90D217DC-F4BB-4B07-8C9A-044DF6F46D5A}: NameServer = 134.76.10.46,134.76.33.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gwdg.de
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate Firewall\smc.exe


Alles so gemacht! Wurden jetzt irgendwelche Windowsdateien von den Adware Programmen überschrieben oder haben sich die einfach eingenistet?

#8 Entferne auf C:\Qoobox-->Papierkorb leeren

AVG hat vorige Woche ein falscher Update herausgegeben wobei die "wininet.dll " als Infected"angegeben wurde,etwas davon bemerkt?

Dein Java software ist veraltet,
Download jre-6u2-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
__________
MfG Argus

#9 kann ich dann spybot entfernen?

#10 Nein,Ich benutze von Spybot s&d nur die Immunisier funktion
Bei eine log Auswertung mit HJ muss immer Teatimer de-aktiviert werden
__________
MfG Argus

#11 also sollte ich den tea timer wieder anschalten wenn ich hier mit allem fertig bin?

#12 Ich war heute Nacht mal auf eine verseuchte Seite,da konnte ich mir ein Film ansehen von BritneySpears
Als ich WMP anklickte kam ein Pop-Up um ein Codec runter zu laden
Das klicken auf das Rote knöpfchen hat da nicht geholfen,konnte nur ueber den Taskmanager wieder raus


__________
MfG Argus

#13 Natürlich kann man es wieder einschalten
__________
MfG Argus