warning: possible spyware or adware infection

#0
02.12.2007, 13:58
...neu hier

Beiträge: 2
#1 Hallo,
habe wie schon viele andere den popup-Balken mit der Meldung "possible spyware or adware infection.
Ausserdem habe ich immer wieder drei icons auf dem desktop und die Meldung
System Alert Popup - Critical System Error! popt auf.

Zunächst hilft smitfraudfix, aber meist ist nach dem Neustart alles wieder da.

Was kann ich tun?

Hier die Logs:
1. ComboFix 07-12-02.5 - MK 2007-12-02 13:09:21.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.485 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MK\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-02 bis 2007-12-02 ))))))))))))))))))))))))))))))
.

2007-12-02 10:50 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-02 10:50 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-02 10:50 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-02 10:50 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-02 10:50 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-28 21:04 . 2007-11-28 21:04 <DIR> d-------- C:\Programme\MSECache
2007-11-26 19:43 . 2007-11-26 19:43 <DIR> d-------- C:\Dokumente und Einstellungen\MK\Anwendungsdaten\Grisoft
2007-11-26 19:43 . 2007-11-26 19:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-11-26 19:43 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-25 16:37 . 2007-11-25 16:37 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-11-25 16:28 . 2007-12-02 12:58 2,592 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-19 19:33 . 2007-11-19 18:04 274,432 --a------ C:\WINDOWS\sapnet.dll
2007-11-19 19:33 . 2007-11-19 18:04 262,144 --a------ C:\WINDOWS\popnetdpt.dll
2007-11-19 19:33 . 2007-11-19 18:04 229,376 --a------ C:\WINDOWS\rmvgor.dll
2007-11-19 19:33 . 2007-11-19 18:04 122,880 --a------ C:\WINDOWS\nethop.exe
2007-11-05 16:54 . 2007-11-05 16:54 1,409 --a------ C:\WINDOWS\system32\tmpA6208.FOT

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 07:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-24 13:00 --------- d-----w C:\Programme\Norton Internet Security
2007-11-24 12:56 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-11-24 12:56 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-11-24 12:56 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-11-24 12:56 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-11-24 12:56 --------- d-----w C:\Programme\Symantec
2007-11-24 12:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-03 22:16 --------- d-----w C:\Programme\DVBViewerTE
2007-10-29 08:31 --------- d-----w C:\Programme\Wenlin3
2007-10-06 07:57 271,360 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-10-06 07:57 18,048 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2007-10-06 07:53 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-04 18:47 --------- d-----w C:\Programme\QuickTime
2007-10-01 13:49 542,088 ----a-w C:\WINDOWS\system32\SymNeti.dll
2007-10-01 13:49 161,160 ----a-w C:\WINDOWS\system32\SymRedir.dll
2006-10-27 18:40 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9C985AC6-A138-4EAB-B10A-DC522F755146}]
2007-11-19 18:04 262144 --a------ C:\WINDOWS\popnetdpt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-09-22 23:21 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RunDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 15:20 C:\WINDOWS\RTHDCPL.EXE]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-22 12:11]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-10-14 18:27]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Ralink Wireless Utility.lnk - C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe [2006-10-27 19:27:59]
Server4PC.lnk - C:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-12-17 10:55:26]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rmvgor"= {404C3153-BA3C-405F-84C3-2835B6F154FD} - C:\WINDOWS\rmvgor.dll [2007-11-19 18:04 229376]
"sapnet"= {C34D051B-5095-41EC-BF07-B31D5763E44F} - C:\WINDOWS\sapnet.dll [2007-11-19 18:04 274432]

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2007-04-04 19:31:49 C:\WINDOWS\Tasks\DVBViewer.job"
- C:\Programme\DVBViewerTE\dvbviewer.exe
"2007-10-26 18:28:50 C:\WINDOWS\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - MK.job"
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-02 13:10:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-02 13:11:18

2. Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:37, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Dokumente und Einstellungen\MK\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: MSVPS System - {9C985AC6-A138-4EAB-B10A-DC522F755146} - C:\WINDOWS\popnetdpt.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEF78BA5-44EA-4258-A45A-71F5241A6C8C}: NameServer = 62.109.123.6 213.191.92.87
O21 - SSODL: rmvgor - {404C3153-BA3C-405F-84C3-2835B6F154FD} - C:\WINDOWS\rmvgor.dll
O21 - SSODL: sapnet - {C34D051B-5095-41EC-BF07-B31D5763E44F} - C:\WINDOWS\sapnet.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8623 bytes

3 .
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40DC-18C1

Verzeichnis von C:\WINDOWS\system32

02.12.2007 13:21 311.740 perfh009.dat
02.12.2007 13:21 316.924 perfh007.dat
02.12.2007 13:21 40.128 perfc009.dat
02.12.2007 13:21 48.354 perfc007.dat
02.12.2007 13:21 723.744 PerfStringBackup.INI
02.12.2007 13:17 37.469 nvapps.xml
02.12.2007 12:58 0 tmp.txt
02.12.2007 12:58 2.592 tmp.reg
01.12.2007 09:42 2.206 wpa.dbl
29.11.2007 14:27 208.104 FNTCACHE.DAT
25.11.2007 16:37 664 d3d9caps.dat
24.11.2007 13:56 60.800 S32EVNT1.DLL
05.11.2007 16:54 1.409 tmpA6208.FOT
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
11.10.2007 14:12 1.468.968 LegitCheckControl.dll
08.10.2007 14:46 14.640 spmsg.dll
04.10.2007 19:47 626 QuickTime.qtp
03.10.2007 23:36 25.600 WS2Fix.exe
01.10.2007 14:49 542.088 SymNeti.dll
01.10.2007 14:49 161.160 SymRedir.dll
2011 Datei(en) 462.693.745 Bytes
0 Verzeichnis(se), 98.739.965.952 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40DC-18C1

Verzeichnis von C:\DOKUME~1\MK\LOKALE~1\Temp

02.12.2007 13:43 98.473 datfind.txt
02.12.2007 13:43 85.946 BIT14.tmp
02.12.2007 13:42 365.502 BIT20C.tmp
02.12.2007 13:42 317.067 BIT3B.tmp
02.12.2007 13:42 341.231 BIT210.tmp
02.12.2007 13:41 317.067 BIT46.tmp
02.12.2007 13:41 0 BIT205.tmp
02.12.2007 13:41 341.231 BIT216.tmp
02.12.2007 13:40 310.892 BIT213.tmp
02.12.2007 13:40 317.067 BIT39.tmp
02.12.2007 13:40 334.499 BIT206.tmp
02.12.2007 13:40 85.946 BIT1.tmp
02.12.2007 13:34 0 BITB.tmp
02.12.2007 13:34 0 BIT20B.tmp
02.12.2007 13:34 334.499 BIT30.tmp
02.12.2007 13:33 388.090 BIT125.tmp
02.12.2007 13:33 341.231 BIT204.tmp
02.12.2007 13:30 85.946 BITC.tmp
02.12.2007 13:29 317.067 BIT57.tmp
02.12.2007 13:29 341.231 BIT20A.tmp
02.12.2007 13:29 0 BIT230.tmp
02.12.2007 13:29 0 BIT20F.tmp
02.12.2007 13:28 0 BIT1A0.tmp
02.12.2007 13:28 0 BIT2.tmp
02.12.2007 13:26 85.946 BIT4.tmp
02.12.2007 13:26 317.067 BIT41.tmp
02.12.2007 13:25 346.803 BIT40.tmp
02.12.2007 13:25 85.946 BIT3.tmp
02.12.2007 13:24 0 BIT219.tmp
02.12.2007 13:24 341.231 BIT218.tmp
02.12.2007 13:23 0 BIT162.tmp
02.12.2007 13:23 346.803 BIT212.tmp
02.12.2007 13:23 317.067 BIT3F.tmp
02.12.2007 13:23 170 jusched.log
02.12.2007 13:21 334.499 BIT3E.tmp
02.12.2007 13:21 0 BIT203.tmp
02.12.2007 13:21 0 BIT215.tmp
02.12.2007 13:21 346.803 BIT20E.tmp
02.12.2007 13:21 341.231 BIT3C.tmp
02.12.2007 13:19 0 BIT209.tmp
02.12.2007 13:19 317.067 BIT2F.tmp
02.12.2007 13:18 0 BIT182.tmp
02.12.2007 13:18 0 BIT5.tmp
02.12.2007 13:18 0 JET1.tmp
02.12.2007 13:18 0 JET9352.tmp
02.12.2007 13:18 16.384 Perflib_Perfdata_b48.dat
02.12.2007 13:11 0 BIT17.tmp
47 Datei(en) 7.920.002 Bytes
0 Verzeichnis(se), 98.739.994.624 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40DC-18C1

Verzeichnis von C:\WINDOWS

02.12.2007 13:23 280 dat.txt
02.12.2007 13:22 110 search_res.txt
02.12.2007 13:18 18.250 rs.txt
02.12.2007 13:17 242.064 setupapi.log
02.12.2007 13:17 0 0.log
02.12.2007 13:17 2.030.345 WindowsUpdate.log
02.12.2007 13:16 2.048 bootstat.dat
02.12.2007 13:15 32.622 SchedLgU.Txt
02.12.2007 13:10 227 system.ini
02.12.2007 10:51 185.766 setupact.log
28.11.2007 20:52 5.939 KB892130.log
27.11.2007 03:58 140.288 catchme.exe
25.11.2007 16:32 133.168 ntbtlog.txt
19.11.2007 18:04 122.880 nethop.exe
19.11.2007 18:04 262.144 popnetdpt.dll
19.11.2007 18:04 274.432 sapnet.dll
19.11.2007 18:04 229.376 rmvgor.dll
18.11.2007 20:01 47 wiaservc.log
18.11.2007 20:01 216 wiadebug.log
14.11.2007 19:54 267.916 comsetup.log
14.11.2007 19:54 123.879 iis6.log
14.11.2007 19:54 1.393 imsins.log
14.11.2007 19:54 300.844 tsoc.log
14.11.2007 19:54 42.951 ocmsn.log
14.11.2007 19:54 160.563 ntdtcsetup.log
14.11.2007 19:54 6.993 KB943460.log
14.11.2007 19:54 376.269 ocgen.log
14.11.2007 19:54 39.187 msgsocm.log
14.11.2007 19:54 778.224 FaxSetup.log
14.11.2007 19:54 81.847 updspapi.log
10.10.2007 15:50 1.393 imsins.BAK
10.10.2007 15:50 12.197 KB933729.log
10.10.2007 15:49 22.148 KB939653-IE7.log
10.10.2007 15:49 10.294 KB941202.log
06.10.2007 08:57 26.211 DirectX.log
04.10.2007 19:53 71 Maus2.ini
240 Datei(en) 47.702.281 Bytes
0 Verzeichnis(se), 98.739.982.336 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40DC-18C1

Verzeichnis von C:\WINDOWS\temp

02.12.2007 13:17 0 sqlite_AXDZqsznZOFgEiT
02.12.2007 13:17 0 CLML_AGENT_LOG1.txt
2 Datei(en) 0 Bytes
0 Verzeichnis(se), 98.739.982.336 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40DC-18C1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
26.10.2006 21:14 65 desktop.ini
25.06.2006 12:50 1.793 erma.inf
3 Datei(en) 6.877 Bytes
0 Verzeichnis(se), 98.739.982.336 Bytes frei

Hoffe, es reicht Euch, um das Zeug los zu werden.
Danke schon im Voraus!

[/i]
Dieser Beitrag wurde am 02.12.2007 um 14:16 Uhr von MKirsche editiert.
Seitenanfang Seitenende
02.12.2007, 14:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht

zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
02.12.2007, 19:45
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo,

danke für die super schnelle Antwort.
Habe alles gemacht. Hier das Resultat:
----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\rmvgor.dll
C:\WINDOWS\sapnet.dll
C:\WINDOWS\nethop.exe
C:\WINDOWS\popnetdpt.dll
C:\Dokumente und Einstellungen\MK\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\MK\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\MK\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\MK\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\MK\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\MK\FAVORI~1\Spyware&Malware Protection.url

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:45:51, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Dokumente und Einstellungen\MK\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEF78BA5-44EA-4258-A45A-71F5241A6C8C}: NameServer = 62.109.123.6 213.191.92.87
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8359 bytes

Bis jetzt scheint alles sauber zu sein. Bin gespannt.
Seitenanfang Seitenende
02.12.2007, 20:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK

Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Und fertig ;)
__________
MfG Argus
Seitenanfang Seitenende