hi - ich bitte um support,
habe XP SP2 - AVG meldet diesen Filename unter dem path C:\windows\
danach habe ich gesucht mit routenpl*.* incl. versteckte Dateien - und habe nichts gefunden - heisst das, dass ich diese exe im virus vault löschen kann ? und alles ist ok ?

Poste ein Logfile von Hijackthis, siehe Anleitung in meiner Signatur.

puh - das habe ich befürchtet - ich muss mich da jetzt erst mal durchackern - log folgt
Danke und Gruss aus Hessen

und hier kommt das logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:49:05, on 23.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\WINDOWS\FSScrCtl.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/j6_bOdXJ2LiKR2KYUHSJ9wn/login/login.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset Netzwerk Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2333f664150bdc9a0517/netzip/RdxIE601_de.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.de/vod/dmd/WMDownload.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{770E113B-1427-4805-86D3-962488096AFC}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: switcher - C:\WINDOWS\SYSTEM32\sw_note.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

Zitat:

C:\WINDOWS\winlogon.exe
C:\WINDOWS\SYSTEM32\sw_note.dll

Diese Dateien auswerten lassen, bei Jotti, Kaspersky oder Virustotal (Link siehe Signatur von mir). Poste die Ergebnisse.

ich habe den check mit Kaspersky gemacht

\SYSTEM32\sw_note.dll = ok
\I386\ = ok
\SYSTEM32\ = ok
\ServicePackFiles\i386\ = ok

ist mein System somit clean ??

vielen Dank und Gruesse

Zitat:

C:\WINDOWS\winlogon.exe

Die solltest Du auch auswerten!

Mach mal am besten einen Komplettcheck des System => http://kaspersky.com/virusscanner
Link mit dem IE öffnen und auf dem Button "Kaspersky Online Scanner" klicken...

Poste die gefundenen Schädlinge...

na klasse - und eine mail von einem 'eigentlich' sicheren Absender ? wie kann das angehen ? also hat AVG 'keinen Tauch' ?

ich bitte nochmals um Hilfe >> und was jetzt ?

danke und Gruesse

hier der report von Kaspersky

C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp/[From NAME][Date Tue, 2 Mar 15:58:57 +0100]/your_archive.pif Infected: Email-Worm.Win32.NetSky.d skipped

C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp Mail: infected - 1 skipped

C:\WINDOWS\freegameshq.exe Infected: not-a-virusialer.Win32.gen skipped

C:\WINDOWS\gportal.exe Infected: not-a-virusialer.Win32.gen skipped

C:\WINDOWS\ich-koche-ike-10114.exe Infected: not-a-virus:Porn-Dialer.Win32.Star skipped

Zitat:

na klasse - und eine mail von einem 'eigentlich' sicheren Absender ? wie kann das angehen ? also hat AVG 'keinen Tauch' ?

Zitat:

C:\WINDOWS\freegameshq.exe Infected: not-a-virusialer.Win32.gen skipped
C:\WINDOWS\gportal.exe Infected: not-a-virusialer.Win32.gen skipped
C:\WINDOWS\ich-koche-ike-10114.exe Infected: not-a-virus:Porn-Dialer.Win32.Star skipped

Malware sollte man löschen, aber hier handelt es sich um Dialer. Wenn Du noch ein Modem bzw. ISDN-Karte hast, solltest Du diese Dinger zwecks Beweissicherung auf Diskette oder so sichern. Hast Du DSL und weder Modem noch eine ISDN-Karte im Rechner eingebaut/angeschlossen kannst Du die Dialer löschen.

Zitat:

C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp/[From NAME][Date Tue, 2 Mar 15:58:57 +0100]/your_archive.pif Infected: Email-Worm.Win32.NetSky.d skipped
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\CCE.tmp Mail: infected - 1 skipped

Löschen.

Hast Du die Datei C:\WINDOWS\winlogon.exe noch? Wenn ja, dann sende Dir mir bitte mal per Mail, Datei bitte in ein Archiv packen und mit einem Passwort versehen. PW bitte in den Body der Mail schreiben.
Mail an cosinus

erst einmal vielen, vielen Dank für Deine Mühe !!! bin echt begeistert !!!

- die Symbole kenne ich nicht - bin kein freak

- malware gelöscht :-) ich bin mit DSL unterwegs :-) mich würde allerdings interessieren, warum ich für eine Beweissicherung ? kopieren soll wenn nicht ?

- die beiden anderen -ächz- finde ich partout nicht - weiss nicht weiter

- uuuund >> "Hast Du die Datei C:\WINDOWS\winlogon.exe noch?"
würde ich Dir ja gerne schicken - aber ??

Ich werde morgen 'weiterackern' - jetzt geht nix mehr :-)