Hallo allerseits,

mein PC hat sich da irgendwas eingefangen, da bin ich mir sicher. Es gehen ständig irgendwelche Werbefenster auf wenn ich online bin und ich meine zu spüren, dass die Performance schlechter ist als noch vor paar Tagen.

Hier meine Log:


Logfile of HijackThis v1.99.1
Scan saved at 20:01:04, on 23.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Winamp\winamp.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Phil\Desktop\AV\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvhuj.dll,startup
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\snswbaay.dll",setvm
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Rasc] "C:\WINDOWS\system32\SKS~1\netdde.exe" -vt yazb
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = E:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF531956-1916-4805-B2B7-CADDBF2FD65B}: NameServer = 213.191.74.19 213.191.92.87
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe




Davon abgesehen bin ich mir auch recht sicher noch eine nicht ungefährliche Datei, die sich übrigens auch nicht löschen lässt, gefunden zu haben. Diese hier:
C:\WINDOWS\system32\byxuvwv.dll


Ich würde mich tierisch über Hilfe freuen. Danke jetzt schon vielmals!

@Brot

Zitat:

mein PC hat sich da irgendwas eingefangen

Und wo warst du bei dem Fang-Prozess? .

Zitat:

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvhuj.dll,startup
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\snswbaay.dll",setvm
O4 - HKCU\..\Run: [Rasc] "C:\WINDOWS\system32\SKS~1\netdde.exe" -vt yazb

Bitte diese drei Dateien suchen und finden (s. Link Versteckte Dateien in meiner Sig) und bei www.virustotal.com checken lassen.
Ergebnisse hier posten.
Bei der letzen Datei aufpassen: bitte nicht mit Windows-Datei C:\WINDOWS\system32\netdde.exe verwechseln!!!

Hallo Rene, danke schon mal für deine Hilfe.

Die erste und dritte Datei kann ich leider nicht finden, weder per Suche, noch im Windows Explorer. Bei der snswbaay.dll spuckt VirusTotal folgendes aus:

Antivirus Version Update Result
AntiVir 7.3.1.38 02.23.2007 ADSPY/Virtumonde.FT
Authentium 4.93.8 02.23.2007 no virus found
Avast 4.7.936.0 02.23.2007 Win32:Adware-gen.
AVG 386 02.23.2007 Adware Generic.SKU
BitDefender 7.2 02.23.2007 Trojan.Virtumod.EB
CAT-QuickHeal 9.00 02.23.2007 AdWare.Virtumonde.ft (Not a Virus)
ClamAV devel-20060426 02.23.2007 no virus found
DrWeb 4.33 02.23.2007 Trojan.Virtumod


Aditional Information
File size: 118804 bytes
MD5: b505770fdfb1f63ac7f3a09db9ae8aa4
SHA1: a2d1e2d435bcb00d90adf7f187ebf986e4728c20








Bei der von mir verdächtigten byxuvwv.dll kommt dieses hier:


Antivirus Version Update Result
AntiVir 7.3.1.38 02.23.2007 TR/Crypt.ULPM.Gen
Authentium 4.93.8 02.23.2007 no virus found
Avast 4.7.936.0 02.23.2007 no virus found
AVG 386 02.23.2007 Adware Generic.TUY
BitDefender 7.2 02.23.2007 MemScan:Adware.VirtuMonde.DY
CAT-QuickHeal 9.00 02.23.2007 no virus found
ClamAV devel-20060426 02.23.2007 no virus found
DrWeb 4.33 02.23.2007 Trojan.Virtumod
eSafe 7.0.14.0 02.23.2007 no virus found
eTrust-Vet 30.4.3424 02.23.2007 no virus found
Ewido 4.0 02.23.2007 Adware.Virtumonde
FileAdvisor 1 02.24.2007 no virus found
Fortinet 2.85.0.0 02.23.2007 Adware/VirtuMonde


Aditional Information
File size: 26637 bytes
MD5: 93318852921026b4be2d06c0ba3c447c
SHA1: af7a2562172ccfeee2a327cf1a11add751d30de4



Das sagt mir schon mal, dass diese Dateien weg müssen. Aber wie bewerkstellige ich das?

Danke nochmal!

@Brot
Die Logs sind unvollständig: es fehlen die AV-Programme, denen ich am meisten vertraue (KAV, NOD32, McAfee) und die alphabetisch ausgerechnet in der Mitte und am Ende der Liste stehen.

Zitat:

Die erste und dritte Datei kann ich leider nicht finden

Wundert mich nicht: die ändern die Namen bei jedem Systemstart. Die zu finden kann man über den Registry-Name (in eckigen Klammern im HJT-Log).
Versuchen mal AdAware & Spybot einzusetzen und ersetze Norton-Murks so schnell, wie es geht mit einem anständigen AV-Programm : hier gucken(ich gebe keine Tipps, ich bin kein Werbeträger von AV-Soft).