unerwünschte popups wie celldorado,partypoker zedo,online casino europa

#1 ich erhalte seit gestern laufend popups obwohl ich grad auf der google site bin. ch poste nun das logfile von hijackthis.

meine probleme sind:

a) die genannten popups (antivirus für alle,zedo,partypoker,celldorado,online europa casino)

b) und dass norton 2008 (testversion) nicht vollständig auf viren scannen kann weil sich der pc nach einiger zeit selbst ausschaltet.


um eure geschätzte hilfe wäre ich sehr dankbar.

so nun der logfile:

Logfile of HijackThis v1.99.1
Scan saved at 02:01:09, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Slatko\LOKALE~1\Temp\Temporäres Verzeichnis 17 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

#2 Hallo gladiatore

1.
wende bitte rvaxo an + poste hier den report
http://www.virus-protect.org/artikel/tools/rvaxo.html

2.
dann wende Combofix an + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 ---RVAXO.exe Updated: 2008-03-10---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\vvutv.ini2
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\system32\pac.txt

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

ich hoffe ich habe die richtige log-datei gepostet, die andere log datei von combo-fix folgt gleich

#4 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

o.k. - poste nun das log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 pinguin also ich habe große probleme mit dem prozess von combofix ich habe von microsft nun die wiederherstellungskonsole gedownloadet und zwar für windows proffesional service pack 2:KB310994-SP2-Bootdisk-DEU.exe

dann bin ich mit der anleitung fortgefahren und die wiederherstellungskonsole in die combofix datei gezogen alles geht jedoch kommt eine fehlermeldung dass der prozess beendet werden muß es kommt auch ein pipsen vom pc aus. vorher hab ich cc clean durchjagen lassen.

#6 du musst die Wiederherstellungskonsole nicht unbedingt laden, auch wenn Combofix meint, dass keine vorhanden ist ---- ist nur eine Meldung.

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

dann lade sie neu
http://www.virus-protect.org/artikel/tools/combofix.html

wenn es nicht klappt, hab ich noch andere Proggies im Ärmel
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 hi pinguin zunächst bedanke ich mich dass du mir zur hilfe stehst. ich habe als ersten schritt rvaxo wieder deinstalliert.

ich habe nun combofix ohne wiederherstellungskonsole durchjagen lassen. während des scans stand im fenster: der befel "Lösche"ist entweder falsch geschrieben oder konnte nicht gefunden werden. dennoch hat er geprüft stufe 1 stufe 2 usw.als er fertig war hat er gemeldet dass er den pc runter fährt beim hochfahren kamen 2 meldungen:

a) C:\WINDOWS\system32\raqsvtfp.dll "das angegebene modulwurde nicht gefunden.

b)fehler beim laden con C\WINDOWS\system32\xotukimh.dll

die combo-log datei mußte ich im ordner suche und poste sie hiermit. warte auf deine folgenden anweisungen auch betreffend der oben genannten fehlermeldungen.thx


ComboFix 08-03-09.4 - Slatko 2008-03-10 13:10:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.67 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Slatko\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\sanR24
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\dlxtaqvh.dll
C:\WINDOWS\system32\gccqybbp.dll
C:\WINDOWS\system32\hmikutox.ini
C:\WINDOWS\system32\igvytnfc.dll
C:\WINDOWS\system32\kauscdwo.dll
C:\WINDOWS\system32\povfmees.ini
C:\WINDOWS\system32\raqsvtfq.dll
C:\WINDOWS\system32\seemfvop.dll
C:\WINDOWS\system32\vtuvv.dll
C:\WINDOWS\system32\vvutv.ini
C:\WINDOWS\system32\vvutv.ini2
C:\WINDOWS\system32\xgiwnsmc.dll
C:\WINDOWS\system32\xotukimh.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-10 bis 2008-03-10 ))))))))))))))))))))))))))))))
.

2008-03-10 11:46 . 2008-03-10 11:46 <DIR> d-------- C:\Programme\CCleaner
2008-03-10 01:56 . 2008-03-10 01:58 88,549,704 --a------ C:\Programme\P75_PROMT_Office_ger_EGE.exe
2008-03-10 00:41 . 2008-03-10 00:41 <DIR> d-------- C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP
2008-03-09 13:32 . 2008-03-09 13:32 <DIR> d-------- C:\Programme\Windows Sidebar
2008-03-09 13:26 . 2008-03-09 13:37 <DIR> d-------- C:\Programme\Norton Internet Security
2008-03-09 13:20 . 2008-03-09 13:36 10,652 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-03-09 13:20 . 2008-03-09 13:36 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-03-09 13:18 . 2008-03-10 12:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-03-09 13:08 . 2008-03-10 13:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-09 13:00 . 2008-03-09 13:00 64,559,656 --a------ C:\Programme\NIS081500GE.exe
2008-03-08 15:23 . 2008-03-09 12:21 714 ---hs---- C:\WINDOWS\system32\fiavndkt.ini
2008-03-08 14:14 . 2008-03-08 14:14 93 --a------ C:\WINDOWS\wininit.ini
2008-03-08 10:35 . 2008-03-08 10:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-08 10:35 . 2008-03-08 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-08 10:33 . 2008-03-08 10:33 9,722,720 --a------ C:\Programme\spybotsd152.exe
2008-03-08 00:38 . 2004-03-08 02:22 <DIR> d-------- C:\WINDOWS\system32\iDlo18
2008-03-07 23:43 . 2004-03-08 02:25 <DIR> d-------- C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\LimeWire

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 02:48 86,016 ----a-w C:\WINDOWS\DUMP83e8.tmp
2008-03-09 12:44 --------- d-----w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\Symantec
2008-03-09 12:36 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-03-09 12:36 --------- d-----w C:\Programme\Symantec
2008-01-31 19:13 --------- d-----w C:\Programme\Java
2008-01-29 21:29 --------- d-----w C:\Programme\Windows Media Connect 2
2008-01-29 14:04 16,146 ----a-w C:\Programme\QuickSpoof.zip
2008-01-10 21:58 --------- d-----w C:\Programme\MSXML 4.0
2008-01-10 21:54 --------- d-----w C:\Programme\Windows Live Toolbar
2006-04-11 11:12 1,533,096 ----a-w C:\Programme\wp6rtf.exe
2006-04-11 10:54 13,256,032 ----a-w C:\Programme\PDFCreator-0_9_3_GPLGhostscript.exe
2006-01-14 13:17 49 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb41.dat
2006-01-14 13:17 382 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb1942.dat
2006-01-14 13:15 20,480 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb4827.dat
2006-01-14 13:15 151 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb292.dat
2006-01-14 13:15 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb2391.dat
2006-01-13 19:53 9,216 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb8467.dat
2006-01-13 19:53 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb6334.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb5436.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb4604.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb3902.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb153.dat
2005-08-24 18:50 17,144 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-03-08 01:32 212,843 ----a-w C:\Programme\hijackthis_199.zip
.

------- Sigcheck -------

2007-06-13 14:21 1036288 57f5f9a54a2592a96ef9b4e182f31d11 C:\WINDOWS\explorer.exe
2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-03 23:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 14:21 1036288 57f5f9a54a2592a96ef9b4e182f31d11 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 20:51 316784 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-03-09 13:31 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E64B2086-FBC1-4B96-9EB9-ABB85D2B13C3}]
C:\WINDOWS\system32\vtuvv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f18373b8-d1ba-40d4-a5f1-a346514f6741}]
C:\WINDOWS\system32\igvytnfc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" [2007-08-24 20:51 316784]

[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 20:51 316784]

[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 12:38 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 14:18 241664]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 10:50 155648]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-08-24 22:07 51048]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-08-24 21:53 714608]
"88134c1a"="C:\WINDOWS\system32\xotukimh.dll" [ ]
"BM8b207f86"="C:\WINDOWS\system32\raqsvtfq.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljkjhh]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R3 ELNK3;3Com EtherLink-III;C:\WINDOWS\system32\DRIVERS\elnk3.sys [2001-08-17 12:10]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 11:19]
R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 04:27]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-03-10 11:24:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"

#8 rechtsklick auf die 2 ini - mit Texteditor öffnen - poste, was da steht

C:\WINDOWS\system32\fiavndkt.ini
C:\WINDOWS\wininit.ini
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 ««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljkjhh]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E64B2086-FBC1-4B96-9EB9-ABB85D2B13C3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f18373b8-d1ba-40d4-a5f1-a346514f6741}]
[-HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[-HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[-HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

File::
c:\tempjunk8839.tmp
C:\WINDOWS\Fonts\'\!xSpeed 6.0.zip
C:\WINDOWS\system32\fiavndkt.ini
C:\WINDOWS\wininit.ini

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

««
poste das neue Log von Combofix

««
scanne Online
Panda Activescan Onlinescanner
http://board.protecus.de/t8642.htm

+
poste hier den scanreport
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 also hier die wininit-datei:
[rename]
c:\tempjunk8839.tmp=C:\WINDOWS\Fonts\'\!xSpeed 6.0.zip
nul=c:\tempjunk8839.tmp

und die fiavndkt-datei:
­âpRÓ z 8 ² ² ² Ò Ò Ò Ò Ò Ò Ò  é é é á
„m08x WBÙ³!08xamˆê?af08waf0ž†ž™28xaÚ8xáˆ8x=@58xaf18xaVUO"VJQPOPVHQQ
OVQJQSI.dl([IL DMO_UW[6/GDYK D]OF|W
L
+ uF XPS

K[SJQVg'/GDYK D]OF|W
L
+ uF XPP
A[S JQVg'/GDYK D]OF|W
L
+ uF XPQ
M[WJQVg'/GDYK D]OF|W
L
+ uF XST
A[U
JQVg'/GDYK D]OF|W
L
+ uF XSU

J[U JQVg'/GDYK D]OF|W
L
+ uF XSU
J[V JQVg'/GDYK D]OF|W
L
+uF
XQW
K[RJQVg'/GDYK D]OF|W
L
+uF
XPT

I[SJQVg'a

#11 ja ja - die Virenkiddies sind einfaltsreich
wende nun das script an ...und poste das neue log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 ComboFix 08-03-09.4 - Slatko 2008-03-10 16:14:24.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.50 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Slatko\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Slatko\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\tempjunk8839.tmp
C:\WINDOWS\Fonts\'\
C:\WINDOWS\Fonts\'\!xSpeed 6.0.zip
C:\WINDOWS\system32\fiavndkt.ini
C:\WINDOWS\wininit.ini
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-10 bis 2008-03-10 ))))))))))))))))))))))))))))))
.

2008-03-10 11:46 . 2008-03-10 11:46 <DIR> d-------- C:\Programme\CCleaner
2008-03-10 01:56 . 2008-03-10 01:58 88,549,704 --a------ C:\Programme\P75_PROMT_Office_ger_EGE.exe
2008-03-10 00:41 . 2008-03-10 00:41 <DIR> d-------- C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP
2008-03-09 13:32 . 2008-03-09 13:32 <DIR> d-------- C:\Programme\Windows Sidebar
2008-03-09 13:26 . 2008-03-09 13:37 <DIR> d-------- C:\Programme\Norton Internet Security
2008-03-09 13:20 . 2008-03-09 13:36 10,652 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-03-09 13:20 . 2008-03-09 13:36 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-03-09 13:18 . 2008-03-10 16:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-03-09 13:08 . 2008-03-10 16:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-09 13:00 . 2008-03-09 13:00 64,559,656 --a------ C:\Programme\NIS081500GE.exe
2008-03-08 10:35 . 2008-03-08 10:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-08 10:35 . 2008-03-08 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-08 10:33 . 2008-03-08 10:33 9,722,720 --a------ C:\Programme\spybotsd152.exe
2008-03-08 00:38 . 2004-03-08 02:22 <DIR> d-------- C:\WINDOWS\system32\iDlo18
2008-03-07 23:43 . 2004-03-08 02:25 <DIR> d-------- C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\LimeWire

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 02:48 86,016 ----a-w C:\WINDOWS\DUMP83e8.tmp
2008-03-09 12:44 --------- d-----w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\Symantec
2008-03-09 12:36 60,808 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-03-09 12:36 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-03-09 12:36 --------- d-----w C:\Programme\Symantec
2008-01-31 19:13 --------- d-----w C:\Programme\Java
2008-01-29 21:29 --------- d-----w C:\Programme\Windows Media Connect 2
2008-01-29 14:04 16,146 ----a-w C:\Programme\QuickSpoof.zip
2008-01-10 21:58 --------- d-----w C:\Programme\MSXML 4.0
2008-01-10 21:54 --------- d-----w C:\Programme\Windows Live Toolbar
2006-04-11 11:12 1,533,096 ----a-w C:\Programme\wp6rtf.exe
2006-04-11 10:54 13,256,032 ----a-w C:\Programme\PDFCreator-0_9_3_GPLGhostscript.exe
2006-01-14 13:17 49 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb41.dat
2006-01-14 13:17 382 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb1942.dat
2006-01-14 13:15 20,480 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb4827.dat
2006-01-14 13:15 151 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb292.dat
2006-01-14 13:15 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb2391.dat
2006-01-13 19:53 9,216 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb8467.dat
2006-01-13 19:53 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb6334.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb5436.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb4604.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb3902.dat
2006-01-13 19:52 0 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\internaldb153.dat
2005-08-24 18:50 17,144 ----a-w C:\Dokumente und Einstellungen\Slatko\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-03-08 01:32 212,843 ----a-w C:\Programme\hijackthis_199.zip
.

------- Sigcheck -------

2007-06-13 14:21 1036288 57f5f9a54a2592a96ef9b4e182f31d11 C:\WINDOWS\explorer.exe
2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-03 23:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 14:21 1036288 57f5f9a54a2592a96ef9b4e182f31d11 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 20:51 316784 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-03-09 13:31 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" [2007-08-24 20:51 316784]

[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"= C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 20:51 316784]

[HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 12:38 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 14:18 241664]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 10:50 155648]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-08-24 22:07 51048]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-08-24 21:53 714608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

R3 ELNK3;3Com EtherLink-III;C:\WINDOWS\system32\DRIVERS\elnk3.sys [2001-08-17 12:10]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 11:19]
R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 04:27]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-03-10 15:24:14 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"

#13 0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\WINDOWS\system32\iDlo18" >>files.txt
notepad files.txt

1.
Gehe in die Registry
Start - Ausfuühren - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern

2.
lade,scanne, lasse löschen, was gefunden wird + poste den report hier
http://www.virus-protect.org/ewido.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 hier der report von ewido AVG-Anti-Spyware:

AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 11:31 2008-03-11

+ Scan-Ergebnis:



C:\System Volume Information\_restore{756CE2F7-F976-4D9F-A7A3-DBCF83F04252}\RP556\A0605135.exe -> Downloader.VB.bsa : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{756CE2F7-F976-4D9F-A7A3-DBCF83F04252}\RP560\A0616833.exe -> Downloader.VB.bsa : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Slatko\Cookies\slatko@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Slatko\Cookies\slatko@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Keine Aktion durchgeführt.


::Berichtende


er hat 4 schädliche dateien gefunden, die ich anschließend gelöscht habe.

nun habe ich einige fragen:

1) habe ich die datei listen.bat richtig angewendet?
ich hab eben den ordner mit dem dateinamen listen.bat erstellt und den inhalt den du mir gepostet hast in den ordner reinkopiert und den ordner geöffnet und den text der erschienen ist kopiert, weiter hab ich nichts damit gemacht. dann bin ich ich in die registry und hab den wert auf 0 gesetzt. abschließend den scan von ewido durchführen lassen. hab ich die schritte alle richtig ausgeführt?

2) kann ich nun ccleaner und combofix samt und sämtliche log-dateien löschen?

3) wie ist die weitere vorgehensweise?

4) welches antivirus (samt firewall) würdest du mir sehr empfehlen ?

5) kennst du eine website wo ich meinen pc wieder auf vordermann bringen kann da er mir bissi zu langsam ist. vielleicht muß ich einiges ausmisten.

für deine geschätzte antworten bedanke ich mich in voraus.

#15 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint HIER

2.
lade TuneUp - 15 Tage free
http://www.virus-protect.org/reinigungstoolsregistry.html
- stelle nicht so viel rum damit, sondern wende nur an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

3.
der Kaspersky -
http://www.virus-protect.org/antivirshare.html
Kaspersky Internet Security 7.0 - ist perfekt, allerdings musst du alle anderen Virenscanner vorher komplett deinstallieren (C:\Programme\Norton Internet Security), sonst wird das System zu langsam
du kannst die Testversion laden...

oder: Antivirus/Avira
immer gut, es gibt auch eine kostenlose version + Guard:
http://www.virus-protect.org/antivirus.html
(ebenfalls andere Virenscanner vorher deinstallieren)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/