[skinner2005]

@Jonas151

hast du schon eine Auswertung gemacht, da sind zwei Einträge die gefixt werden sollten. Anssonsten lass mal Spybot durchlaufen und schau mal in die autostart ob da was drinne steht was nicht hingehört.

[Jonas151]

Hilfe,

Ich glaube ich habe einen Virus !
Ich habe nichts gemacht, nicht runtergeladen und ausgeführt!
Mein Antivir hat auch nicht gemerkt... Ich habe auch keine Email abgerufen..

Auf einmal tauchten einfach 3 verknüpfungen auf, ein blinkendes X neber der Uhrzeit und eine Text Nachricht..
Lasse jetzt meinem Viren Scanner schon zum 3 mal iene Voll Prüfung machen ... =kein Fund

Ab un zu öffnet sich auch einfach der Internetexplorer und da steht "Klick here to Remove Virus"
Ich denke aber dies verschafft mir einen Virus ...

Hier noch ein Screen

1. Hier blinkt ein X n einem Kreis
2. Die verknüpfungen sind einfach erschienen
Funktion: Eine Url aufrufen -> http://viruswebprotect2008.com/shand...=454&pn=5&sg=1 <-
3. Die kommt alle 10min ode rso
4. Ich klicke immer auf Abbrechen

Ich hatte schonmal sowas ich habs nit wegbekommen ich musste mein Pc neuinstallieren..

Ach ja wenn ich die Verknüpfungen lösche kommen Sie neu.
Editt:
"Taskmanager wurde durch den Administrator deaktiviert" Hää!!! Obwohl ich als Adminestrator angemeldet bin.
"Regedit wurde durch den Administrator gesperrt" ....!

Es komtm irgendwie als mehr
Hier nochn Bild

Un noch eins

Hier noch'n Logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:58: VIRUS ALERT!, on 25.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Spoiler:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Adminestrator\Desktop\Spiele Musik Anwendungen\Tools\Rapidshare\RSD\RSD 0.56 CES\RSD.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: QXK Olive - {B33B96B9-E0C2-4648-9819-A38DDCAFA33C} - C:\WINDOWS\boqnrwdmstg.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: atfxqogp - {9E6CD9DF-5EF9-40F4-84FA-C4842EB1F283} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "G:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ProxyWay] C:\Programme\ProxyWay\proxyway.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: vregfwlx - {E1C55A34-9B50-4D02-8D47-EF2A2754CC42} - C:\WINDOWS\vregfwlx.dll
O21 - SSODL: vltdfabw - {50ACBB1A-724A-42C4-838E-A21DB6111261} - C:\WINDOWS\vltdfabw.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

EDITT: DER ZUGRIFF AUF MEINE FESTPLATTE WURDE GESPERRT BZW. MEINE FESTPLATTE WIRD NICHT MEHR IM ARBEITSPLATZ ANGEZEIGT!!!!!

[Jonas151]

wo werden die autostart dateien angezeigt??^^

[frogger9]

SuFu "Spyware Alert"

http://board.gulli.com/thread/10426...weg-pls-help-/

Wirksame Waffe dagegen ist ComboFix.

http://virus-protect.org/artikel/tools/combofix.html

[Jonas151]

Omg Danke für diene Hilfe werde es sofort ausprobieren ^^
Stand unte rPanik hab nicht an Suchen gedacht

[aNtiCHrist]

Sieht schwer nach hartnäckiger Adware aus, auf keinen Fall das beworbene Produkt kaufen.

Avira AntiVir Personal - Free Antivirus erkennt übrigens keine Ad-/Spyware, da ist es nicht verwunderlich, dass du da nichts findest. Nutze für solche Fälle einen Scanner ohne solch eine Einschränkung, etwa MWAV. Sinnvollerweise scannt man ein befallenes System auch von einem sauberen Bootmedium. Auch ist es sehr sinnvoll, das System umgehend vom Netz zu trennen, um weiteren Schaden und die ständige Aktualisierung der Malware zu verhindern. Sonst kann nämlich kein Scanner die vernünftig finden, die Malware hat dann ja immer einen Vorsprung vor den Definitionsdateien. Nach ein paar Tagen Quarantäne ist die Erkennungsleistung eines Scanners mit aktuellen Definitionsdateien sehr viel besser.

Mit etwas Glück findest du dann alle Dateien, die diesen Müll einblenden. Informiere dich dann über die korrekte Entfernung der Malware. Dabei ist immer Handarbeit angesagt. Mit noch mehr Glück wurden auf deinem System sonst keine Manipulationen vorgenommen, sodass es dann wieder sauber ist. Da man das aber regelmäßig nicht zuverlässig feststellen kann, bleibt eigentlich nur die Lösung in Form vom Neuaufsetzen des Systems bzw. dem Einspielen eines sauberen Backups.

Um solche Sachen in der Zukunft zu vermeiden, solltest du mal http://board.gulli.com/thread/242574...s-zu-browsern/ lesen.

Ach ja, folgende Dateien mal bitte auf einen mobilen Datenträger kopieren und dann von einem sauberen System aus einzeln zur Prüfung auf http://virustotal.com/ und/oder http://virusscan.jotti.org/ hochladen:

C:\WINDOWS\boqnrwdmstg.dll
C:\WINDOWS\atfxqogp.dll
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\vltdfabw.dll

Die erscheinen schon mal alle höchst verdächtig.