Google Meldung PC sei infiziert bei Suchanfrage

#1 Hallo miteinander,

seit ein paar Tagen erscheint bei einer Google Suchanfrage ein Fenster mit der Meldung mein PC sei infiziert und ich muss einen Capcha Code eingegeben.
Ich habe dann etwas hier im Forum gefunden unter: http://board.protecus.de/t23188.htm und die Anleitung abgearbeitet.

Combofix log:

Zitat

ComboFix 07-12-02.6 - Administrator 2007-12-05 14:54:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.503 [GMT 1:00]
ausgeführt von:: C:\Eigene\software\MicroworldAV\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\alexa toolbar
C:\Programme\alexa toolbar\uninstall.exe
C:\WINDOWS\system32\alxres.dll
C:\WINDOWS\system32\AlxTB1.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-05 bis 2007-12-05 ))))))))))))))))))))))))))))))
.

2007-12-04 20:21 . 2007-12-04 23:36 <DIR> d-------- C:\Programme\MagicISO
2007-11-30 23:36 . 2007-11-30 23:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BackLinks Master
2007-11-30 23:35 . 2007-11-30 23:35 <DIR> d-------- C:\Programme\BackLinks Master
2007-11-25 21:49 . 2007-11-25 21:50 <DIR> d-------- C:\Programme\MultipleIEs
2007-11-24 16:01 . 2007-08-20 10:55 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-24 15:58 . 2007-11-24 15:58 <DIR> d-------- C:\Programme\MSXML 6.0
2007-11-24 15:58 . 2007-08-20 10:55 6,058,496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-11-24 15:58 . 2007-04-17 10:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-11-24 15:58 . 2007-03-08 06:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-11-24 15:58 . 2007-08-20 10:55 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-11-24 15:58 . 2007-08-20 10:55 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-11-24 15:58 . 2007-08-20 10:55 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-11-24 15:58 . 2007-08-20 10:55 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-11-24 15:58 . 2007-08-17 11:20 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-11-24 15:51 . 2007-11-24 15:51 3 --a------ C:\WINDOWS\system32\EUupdate.installed
2007-11-24 15:50 . 2007-11-24 15:50 <DIR> d-------- C:\WINDOWS\system32\drivers\umdf
2007-11-24 15:50 . 2007-11-24 15:50 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-11-24 15:50 . 2006-10-18 21:47 1,661,440 --------- C:\WINDOWS\system32\wmpencen.dll
2007-11-24 15:50 . 2006-10-18 21:47 613,376 --------- C:\WINDOWS\system32\wmpmde.dll
2007-11-24 15:50 . 2006-10-18 21:47 295,936 --------- C:\WINDOWS\system32\wmpeffects.dll
2007-11-24 15:50 . 2006-10-18 20:05 232,448 --------- C:\WINDOWS\system32\l3codecp.acm
2007-11-24 15:50 . 2006-10-18 21:47 204,288 --------- C:\WINDOWS\system32\wmpsrcwp.dll
2007-11-24 15:50 . 2006-10-18 21:47 130,048 --------- C:\WINDOWS\system32\wmpps.dll
2007-11-24 15:47 . 2006-12-04 00:34 1,698,048 --------- C:\WINDOWS\system32\XpsSvcs.dll
2007-11-24 15:47 . 2006-12-04 00:34 1,698,048 -----c--- C:\WINDOWS\system32\dllcache\XpsSvcs.dll
2007-11-24 15:47 . 2006-12-04 00:34 671,744 -----c--- C:\WINDOWS\system32\dllcache\PrintFilterPipelineSvc.exe
2007-11-24 15:47 . 2006-12-04 00:34 580,352 --------- C:\WINDOWS\system32\XPSSHHDR.dll
2007-11-24 15:47 . 2006-12-04 00:34 580,352 -----c--- C:\WINDOWS\system32\dllcache\XPSSHHDR.dll
2007-11-24 15:47 . 2006-12-04 00:34 124,416 --------- C:\WINDOWS\system32\prntvpt.dll
2007-11-24 15:47 . 2006-12-04 00:34 27,648 -----c--- C:\WINDOWS\system32\dllcache\FilterPipelinePrintProc.dll
2007-11-24 15:47 . 2006-12-04 00:34 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-11-24 15:47 . 2007-11-24 15:47 3 --a------ C:\WINDOWS\system32\Wordpad-Converter-ZLib-update.installed
2007-11-24 15:47 . 2007-11-24 15:47 3 --a------ C:\WINDOWS\system32\vbrun60sp6.installed
2007-11-24 15:46 . 2007-02-28 17:06 2,184,448 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2007-11-24 15:46 . 2007-02-28 17:06 2,140,160 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-11-24 15:46 . 2007-02-28 08:06 2,061,696 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2007-11-24 15:46 . 2007-02-28 17:06 2,019,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2007-11-22 21:37 . 2007-11-24 15:53 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-11-21 18:26 . 2007-11-24 19:00 155 --a------ C:\WINDOWS\NeroDigital.ini
2007-11-21 18:25 . 2002-07-17 07:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-11-21 18:25 . 2007-05-02 19:06 13,840 --a------ C:\WINDOWS\system32\WNASPI2K.BAK
2007-11-21 18:25 . 2002-07-17 15:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL
2007-11-21 18:25 . 2002-07-17 15:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE
2007-11-21 18:23 . 2007-11-21 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-11-21 18:23 . 2005-02-17 12:21 2,682,880 --------- C:\WINDOWS\UNNeroVision.exe
2007-11-21 18:23 . 2005-02-21 19:07 141,236 --------- C:\WINDOWS\UNNeroVision.cfg
2007-11-21 18:23 . 2001-03-08 19:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2007-11-21 18:15 . 2004-03-03 21:30 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2007-11-21 18:15 . 2004-03-03 21:30 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2007-11-21 18:14 . 2007-11-21 18:33 <DIR> d-------- C:\Programme\Ahead
2007-11-21 18:14 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-11-21 18:14 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-11-21 18:14 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-11-21 18:14 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-11-21 18:14 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-11-21 18:14 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-11-21 18:14 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-11-21 18:14 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-11-19 20:58 . 2007-11-19 21:42 <DIR> d-------- C:\Programme\Turbo-Mailer
2007-11-13 22:11 . 2007-11-13 22:11 <DIR> d-------- C:\Programme\HeidiSQL
2007-11-13 22:11 . 2007-11-13 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HeidiSQL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 13:55 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FRITZ!
2007-12-05 11:52 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2007-12-04 22:16 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2007-12-04 09:47 --------- d-----w C:\Programme\DYMO Label
2007-12-01 07:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-11-25 15:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
2007-11-21 17:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-11-16 00:16 --------- d-----w C:\Programme\Free Monitor for Google
2007-11-02 11:09 --------- d-----w C:\Programme\Java
2007-10-29 21:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Business Objects
2007-10-29 21:37 --------- d-----w C:\Programme\Business Objects
2007-10-28 19:09 --------- d-----w C:\Programme\Opera
2007-10-27 13:21 --------- d-----w C:\Programme\EasyCash&Tax
2007-10-21 20:44 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-10-21 20:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-10-21 20:43 --------- d-----w C:\Programme\Real
2007-10-14 18:34 --------- d-----w C:\Programme\OpenOffice.org 2.3
2007-10-14 18:33 --------- d-----w C:\Programme\OpenOffice.org 2.2
2006-07-12 17:21 406,528 ------w C:\Programme\Security & Privacy Complete PCPraxis Edition 2.exe
2005-05-29 13:31 18,011 -c----w C:\Programme\gpl.txt
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 21:01]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-04-20 10:47]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-04-20 10:43]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-10-24 09:46]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 16:05]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 10:21]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2006-06-07 12:25]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"NvMediaCenter"="RunDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-24 09:46]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2006-10-22 22:24 620152 --a------ F:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RecSche]
C:\Programme\TVR\RecSche.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScanRegistry]
C:\W

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2005-05-31 00:04 1415824 --------- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wise-FTP Scheduler]
2004-09-13 15:58 1234944 --------- C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"WinDVR SchSvr"="C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
"SkyTel"=SkyTel.EXE
"Alcmtr"=ALCMTR.EXE
"RTHDCPL"=RTHDCPL.EXE
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"NvMediaCenter"=RunDLL32.exe NvMCTray.dll,NvTaskbarInit
"FineReader7NewsReaderPro"="C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"

R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys
R1 Uim_IM;UIM Drive Backup Image Plugin;C:\WINDOWS\system32\Drivers\Uim_IM.sys
R1 UimBus;Universal Image Mounter Controller;C:\WINDOWS\system32\DRIVERS\UimBus.sys
R2 MSSQL$EAZYSALES;MSSQL$EAZYSALES;C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe -sEAZYSALES
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 LVCap138;TV Card Capture Driver;C:\WINDOWS\system32\DRIVERS\lvcap138.sys
R3 lvtuner;TV Card WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\lvtuner.sys
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS
S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys
S3 SQLAgent$EAZYSALES;SQLAgent$EAZYSALES;C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlagent.EXE -i EAZYSALES
S3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd62da3e-fa1d-11da-a1e2-806d6172696f}]
\Shell\AutoRun\command - J:\CDStart.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-30 16:17:05 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-05 14:58:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-05 14:58:55 - machine was rebooted
.
--- E O F ---

HiJack This log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:04, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\apachefriends\xampp\FileZillaFTP\FileZilla Server.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Eigene\software\Hijackthis\Neuer Ordner (2)\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: QShelf4g.lnk = C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D344BF8-C320-4AA6-9A5F-A42BFDB7ADF7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D344BF8-C320-4AA6-9A5F-A42BFDB7ADF7}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: {ms-its,ms-itss,its,mk} - (no CLSID) - (no file)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\apachefriends\xampp\FileZillaFTP\FileZilla Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 9086 bytes

datfind.bat log

Zitat

Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: 4CC3-2BFD

Verzeichnis von C:\WINDOWS\system32

05.12.2007 14:58 63.804 nvapps.xml
05.12.2007 14:57 257.535 OODBS.lor
24.11.2007 16:06 421.432 FNTCACHE.DAT
24.11.2007 15:52 76.252 perfc009.dat
24.11.2007 15:52 462.408 perfh007.dat
24.11.2007 15:52 436.744 perfh009.dat
24.11.2007 15:52 95.018 perfc007.dat
24.11.2007 15:52 1.084.546 PerfStringBackup.INI
24.11.2007 15:51 3 EUupdate.installed
24.11.2007 15:51 16.832 amcompat.tlb
24.11.2007 15:51 23.392 nscompat.tlb
24.11.2007 15:47 3 vbrun60sp6.installed
24.11.2007 15:47 3 Wordpad-Converter-ZLib-update.installed
21.11.2007 22:31 2.206 wpa.dbl
02.11.2007 12:09 5.686 jupdate-1.6.0_03-b05.log
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
21.10.2007 21:43 185.688 rmoc3260.dll
21.10.2007 21:43 5.632 pndx5032.dll
21.10.2007 21:43 6.656 pndx5016.dll
21.10.2007 21:43 278.528 pncrt.dll
26.09.2007 18:05 12.288 advpack.dll.mui
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe

Tja, wie gesagt die Anleitung habe ich abgearbeitet, aber erkennen kann ich leider nicht. Es gab auch einmal etwas mit sp.dll, aber die Datei kann ich nicht finden.
Könnt ihr mir helfen das wegzubekommen?

Vielen Dank!
Grüße
Udo

#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O18 - Protocol: {ms-its,ms-itss,its,mk} - (no CLSID) - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
__________
MfG Argus

#3 Hallo Arnold,

danke sehr für Deine Hilfe. Ich habe die Anweisungen ausgeführt und habe folgendes Logfile erhalten:

Zitat

----------------RVAXO.exe first run-------------

Files found:


Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

Im Augenblick erhalte ich die Virusmeldung nicht mehr. Sitze aber auch hinter einem Fritzbox Router. Habe etwas von Tor gelesen?

Grüße
Udo

#4 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Ewido Micro
Scanne mit Ewido Micro
Danach wähle remove infections
Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Über Tor kann ich nichts sagen,kenne ich nicht
__________
MfG Argus

#5 Hallo Arnold,

bei Tor ging es um diesen Beitrag http://board.protecus.de/t25265.htm
Ich habe halt auch einen Router Fritzbox.....

In jedem Falle herzlichen Dank für die Hilfe. Ewido läuft noch und es gibt massenweise Einträge, sehr viele hängen mit Firefox und Erweiterungen zusammen.
Den Rest mache ich dann noch und denke das war es erstmal.

Viele Grüße
Udo

#6 Haha,The onion routing network
Benutze ich nicht,entwickelt von US Naval Research Laboratory. brrrrrr
__________
MfG Argus