virus SpyWorm.Win32

#16 danke, habe es jetzt endlich ausführen können... hier die ergebnisse. saludos! enrico

---RVAXO.exe Updated: 2008-03-02---first run---
Uninstallers:

Files found:

Folders Found:
C:\Programme\NetProject

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

combofix:

ComboFix 08-03-03.4 - Tom 2008-03-02 19:47:58.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Tom\Eigene Dateien\saca la mierda\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-03 bis 2008-03-03 ))))))))))))))))))))))))))))))
.

2008-03-02 19:33 . 2008-03-02 19:33 <DIR> d-------- C:\RVAXO
2008-03-02 19:30 . 2008-03-02 10:54 719,362 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-03-02 19:30 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-03-02 19:27 . 2001-09-01 17:25 388,608 --a------ C:\kmd.exe
2008-02-27 14:33 . 2008-02-27 14:33 <DIR> d-------- C:\Programme\Simplyzip
2008-02-27 09:09 . 2008-02-27 09:09 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-27 09:09 . 2008-02-27 16:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2008-02-27 04:00 . 2008-02-27 04:00 <DIR> d-------- C:\Programme\Lavasoft
2008-02-27 04:00 . 2008-02-27 04:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2008-02-27 03:58 . 2008-02-27 03:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 18:36 --------- d-----w C:\Programme\lg_fwupdate
2008-02-27 02:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-27 02:46 --------- d-----w C:\Programme\Maxis
2008-02-22 08:59 --------- d-----w C:\Programme\Routenplaner Europa
2008-01-27 18:42 --------- d-----w C:\Programme\Opera
2008-01-27 18:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-01-27 18:40 --------- d-----w C:\Programme\Ahead
2008-01-08 16:12 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\AdobeUM
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2005-04-06 17:38 13,898,976 ----a-w C:\Programme\AdbeRdr70_deu.exe
2005-04-06 08:01 533,888 -c--a-w C:\Programme\ytb01_DLM_deu.exe
2005-04-05 20:34 2,325,814 -c--a-w C:\Programme\zip.exe
2005-03-05 14:36 17 -c--a-w C:\Programme\stinger.opt
2005-03-05 12:29 1,006,087 -c--a-w C:\Programme\stinger.exe
2004-12-21 09:45 24,320 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-10-01 14:00 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
2002-08-29 01:43 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2002-08-29 01:43 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-09-01 16:29 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-09-01 16:30 10,240 -csha-w C:\WINDOWS\system32\regsvr32isw.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 02:43 13312]
"PowerBar"="C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 10:26 86016]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 57344]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-12-14 13:52 98304]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881]
"AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2004-10-07 14:04 364544]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2006-03-16 09:00 1397760]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2007-04-11 16:45 249856]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-10 19:22 249896]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]
Sitecom WLAN Client Utility.lnk - C:\Programme\Sitecom\Sitecom WLAN\WLANUTL.exe [2006-08-19 16:36:44 3690496]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 STCWL;Sitecom 802.11g WL-140/141 Driver;C:\WINDOWS\System32\DRIVERS\wlanCIG.sys [2005-03-01 17:27]
S2 USBHSB;GeneLink File Transfer Driver;C:\WINDOWS\System32\Drivers\usbhsb.sys [2001-12-17 16:42]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 19:51:10
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2800.1106]
-> C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNFPS.DLL
.
Zeit der Fertigstellung: 2008-03-03 19:52:26
ComboFix2.txt 2008-02-27 15:55:30


hijackthis - post:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01:58, on 03.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Sitecom\Sitecom WLAN\WLANUTL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sitecom WLAN Client Utility.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 6214 bytes

#17 michaux

scanne + poste hier den scanreport
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Und
Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Und
Java
http://board.protecus.de/t32385.htm
__________
MfG Argus

#19 Malwarebytes' Anti-Malware 1.05
Datenbank Version: 441

Scan Art: Komplett Scan (A:\|C:\|D:\|)
Objekte gescannt: 68519
Scan Dauer: 43 minute(s), 56 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\NetProject (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4CF5A1CD-6E1D-459E-B0E9-A5883A90F554}\RP60\A0062218.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4CF5A1CD-6E1D-459E-B0E9-A5883A90F554}\RP60\A0062219.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4CF5A1CD-6E1D-459E-B0E9-A5883A90F554}\RP60\A0062221.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4CF5A1CD-6E1D-459E-B0E9-A5883A90F554}\RP60\A0062222.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url (Rogue.Link) -> Quarantined and deleted successfully.

#20 michaux

es müsste wieder alles in Ordnung sein...kommen noch popups ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#21 Es ist alles wieder in ordnung, popups kommen nicht mehr und alles läuft bestens. bin total froh, dass es so ist und überreiche ein großes Dankeschön an Euch Beide. Gut, dass es Euch und das Board gibt. Bin noch dabei mir ein gutes antivirenprogramm auszugucken, ein Freund hat nod32 empfohlen, mal sehen. Werde auf dem Board dies und das gucken und hoffentlich nicht mehr wg. viren und spyware fragen müssen.

Ehrlich, ich bin total baff, dass so schnell und kompetent Hilfe kam.

Bestes, Enrico