Ich werde echt verrückt

Nachdem ich pc gestartet habe, und beim Desktop ankomme, erscheint sofort das "Netzwerkverbindungen" Fenster


"Sie (bzw. ein Programm) haben Informationen angefordert von
www.yahoo.com. Welche Verbindung soll gewählt werden?

Verbindungen:
xxx

x Meldung bist zur nächsten Anmeldung nicht mehr anzeigen

Einstellungen Verbinden... Abbrechen


Wie zum Henker bekomm ich die Anwendung aus dem Startmenü oder wo auch immmer???

Es is mir ein rätsel

habe nwiz.exe, nerocheck.exe aus systemstart entfernt

habe regcleaner, clearprog, antivir, spybot, ad-aware drüberlaufen lassen

ich bin ratlos :-(

mmm...

g ... Nerocheck gehört zu Nero- Burning, also zum CD-Bruzzeln, NWiz.exe gehört zu NVidia, die sind definitiv nicht an deine Problem schuld ... lad dir mal HijackThis und erstell damit ein Log, das postest du hier, dann sagen wir dir, was du entfernen darfst ... CWShredder wäre auch noch eine Alternative zu Spybot und Ad-Aware ... Link zu den Programm klick meine Signatur an ...

Gesagt, getan!

CWShredder:
Your System was completely clean.

Hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 2:39:52 AM, on 6/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Daemon\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\SYSTEM\cvrss.exe
C:\WINDOWS\System32\rasautou.exe
D:\~ Programme\~ HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [crvss] C:\WINDOWS\SYSTEM\cvrss.exe
O4 - HKCU\..\Run: [cvrss] C:\WINDOWS\SYSTEM\cvrss.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .bcf: C:\Programme\Internet Explorer\Plugins\NPBelv32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich bin jetzt draufgekommen, durch den Taskmanager, wie das Netzwerkfenster heißt

RASAUTOU.exe

Dateityp: Anwendung
Beschreibung: Remote Access Dialer

soll ich das teil löschen??

ja

Gelöscht

neustart - das Teil is wieder da - so bekommt man es nicht weg

ich versuch mal, die rasauto.dll u rasdial.exe zu vernichten


EDIT
keine chance, die bekommt man nicht weg

Im Taskmanager kannst mal die Sache anschauen, bzw. kicken:
C:\WINDOWS\SYSTEM\cvrss.exe <-- unbekannt, woher kommt das?

Mit Hijackthis entfernen, wobei Hijackthis in einem eigenen Ordner sein sollte, dann kannst du die Einträge wieder rückgängig machen:
O4 - HKCU\..\Run: [crvss] C:\WINDOWS\SYSTEM\cvrss.exe <-- das komische Teil
O4 - HKCU\..\Run: [cvrss] C:\WINDOWS\SYSTEM\cvrss.exe <-- zum 2.mal, sowas macht kein normales Programm, leider kann man nicht den ganzen Pfad sehen, sieht so aus, als wäre es der gleiche Pfad ...

O12 - Plugin for .bcf: C:\Programme\Internet Explorer\Plugins\NPBelv32.dll <-- Was ist das für ein Plugin?

Die 2 Dateien am besten erstmal in einen neuen Ordner verschieben, damit sie nicht aufgerufen werden können. Läuft das System danach fehlerfrei, kannst die Sachen mal zippen und mir mailen: lokadamus@gmx.de Betreff "3dc - Spyware"

Kannst du es nicht entfernen, könnte die automatische Systemwiederherstellung noch ein Problem darstellen ... die rasauto.dll und rasdial.exe lässt du brav in Ruhe, die gehören zu Windows (dahinter steckt Windows automatischer Einwahldienst) ...

cvrss.exe
hmmm ... null plan, wo die herkommt u für was die is

habe zuerst die 2 einträge gefixed, dannach die systemwiederherstellung deaktiviert und crrss.exe gelöscht

runter- u wieder hochgefahren und es scheint weg zu sein

also vorerst siehts gut aus :D

O12 - Plugin for .bcf: C:\Programme\Internet Explorer\Plugins\NPBelv32.dll

Das is das Programm "Belarc Advisor"
Mit dem prog. kann man die "Computer Profile Summary" einsehen - operating sys, processor, drives, logins ETC ETC ETC u alles detailliert aufgelistet

soll ich dir nur die 2 backups mailen, oder die cvrss.exe auch? ich kann sie in *.ace zippen, kannst du das entpacken? sonst muss ichn andren zip.proggi installen?

mmm...

Eigentlich nur die cvrss.exe, ich will wissen, ob Antivir das Teil erkennt, wenn nein, maile ich denen das ... zip wäre mir am liebsten, aber .ace ist auch ok ... das Plugin erkennst du ja als normale Software, darum ist es für mich uninteressant ...