Hallo, ich habe seit etwa einer Woche folgendes Problem:

etwa aller viertel Stunde öffnen sich Popup Fenster und verweisen mich auf irgendwelche Travel Seiten, dann erscheint in der Taskleiste ein gelbes Dreieck und warnt mit folgenden englischen Text: "

System Notice!
Please pay attention on this!

Windows detected that your internet connection speed is below average.
The main reason is numerous unauthorized connections that slow down internet access speed.

Click “OK” to find out how to boost your internet connection!"

Ein anderes Mal warnt er wieder vor den Risiken von Spyware usw. Er verweist mich dann immer auf eine MSN Suchseite.

Beim Herunterfahren oder Neustarten will der PC eine Programm namens ICON Test dass ich nicht kenne beenden, was dann aber nicht klappt und ich muss dann immer auf "Sofort beenden".
Ich habe mich im Forum informiert, gefixt usw., weiss aber nicht, ob ich alles richtig gemacht habe. Was soll ich tun? Im folgenden meine Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 15:26:53, on 07.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\helper.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
G:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kattel\LOKALE~1\Temp\Rar$EX00.953\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] G:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{095A25AB-D534-43C0-B47D-68833F80EEAF}: NameServer = 195.50.140.252 145.253.2.174
O17 - HKLM\System\CS2\Services\Tcpip\..\{095A25AB-D534-43C0-B47D-68833F80EEAF}: NameServer = 195.50.140.252 145.253.2.174
O17 - HKLM\System\CS3\Services\Tcpip\..\{095A25AB-D534-43C0-B47D-68833F80EEAF}: NameServer = 195.50.140.252 145.253.2.174
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Vielen Dank für eure Mühe!

Mattel

Hallo Mattel,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde, Optionen „All Local Drives“ und „Scan all Files“), http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Also hier die gefundenen infizierten Dateien:

File C:\WINDOWS\system32\msmsgs.exe infected by "Trojan-Downloader.Win32.Zlob.g" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\helper.exe infected by "Trojan-Clicker.Win32.Agent.cr" Virus. Action Taken: No Action Taken.

System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\ole32vbs.exe infected by "Trojan.Win32.Favadd.r" Virus. Action Taken: No Action Taken.

Folder: C:\Programme\Sophos SWEEP for NT\Infected\*.*

File C:\System Volume Information\_restore{8AC73B71-59F3-44F9-9EEC-F6D8A4158673}\RP58\A0086956.dll infected by "not-a-virus:AdWare.ToolBar.MaidBar.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\ole32vbs.exe infected by "Trojan.Win32.Favadd.r" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.


Thu Apr 07 23:27:38 2005 => Total Objects Scanned: 78103
Thu Apr 07 23:27:38 2005 => Total Virus(es) Found: 13
Thu Apr 07 23:27:38 2005 => Total Disinfected Files: 0


Gruß Mattel

Hallo Mattel,

wecvhsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe mit HJT (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken) folgende Einträge:

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {00084356-EF7F-4445-ADAC-E52254FEBAA7} - C:\WINDOWS\wldr.dll (file missing) (HKCU

Lösche alle als infected identifizierten Dateien
(Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken)

Quarantäne-Ordner des Virenprogs leeren
Papierkorb leeren

Neustart-->Systemwiederherstellung aktivieren

Java updaten (Systemsteuerung/Java/aktualisieren)

WICHTIG!!Windows auf SP 2 updaten!

Benutze zukünftig einen sicheren Browser, den IExplorer nur noch zum Updaten (Slimbrowser ist ein aufegesetzter IE), Desweiteren hier einiges lesenswertes, insbesondere die "12 Punkte".

Dann neues Logfile

dartus

Hi, ähnliches Problem hatte ich auch. Schau mal hier:

http://board.protecus.de/showtopic.php?threadid=16618

und hier:

http://www.trojaner-board.de/showthr...t=16255&page=3


Mein PC ist zu Glück wieder clean geworden durch die freundliche Mithilfe.

Ich habe alles nach deinen Anweisungen durchgeführt.

Die Datei: " File C:\System Volume Information\_restore{8AC73B71-59F3-44F9-9EEC-F6D8A4158673}\RP58\A0086956.dll infected by "not-a-virus:AdWare.ToolBar.MaidBar.a" Virus. Action Taken: No Action Taken. "

konnte ich leider nicht löschen, ich kam einfach nicht in das Verzeichnis rein, auch wenn ich es in den Eigenschaften freischalte.

Außerdem wußte ich nichts mit:

" System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. "

anfangen.

Leider kam beim Neustart gleich ein Popup, aber es erscheint das gelbe Dreieck nicht mehr.

Was kann ich wegen der Popups machen?

Ich werde gleich noch die Servicepacks von Java und Windows updaten, welche Browser empfiehlst du?

Im Folgenden noch die neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:59:57, on 08.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
G:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kattel\LOKALE~1\Temp\Rar$EX00.163\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] G:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank für die tolle Hilfe

Mattel.

Hallo mattel,

Zitat:

C:\System Volume Information\_restore

Das sind die Wiederherstellungspunkte, die entfernt werden, wenn die Systemwiederherstellung deaktiviert wird und dann neugestartet wird. Die Aktivierung kann dann wieder vorgenommen werden.

Zitat:

" System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken

Ab Escan version 6.05 wird das nicht mehr angezeigt, also ignorieren.

Mein Rat wäre SP 2 als Datei hier bei Microsoft oder alternativ hier sowie alle alle SP 2 Patches zu saugen. die dateien dann auf CD sichern, man weiss ja nie.

Lade Dir auch adaware und spybot S&D. Installieren und updaten.
Scanne Dein System nacheinander mit beiden Tools (am besten im abgesicherten Modus).
Leere auch Deine "Temp"-Ordner (Start/ausführen/cleanmgr eingeben).

In Deinem Log sehe ich nichts auffälliges.

Wenn der Popup noch auftritt melde Dich wieder.

dartus

Also ich habe gereinigt, geputzt und gewienert, leider kommt das Popup immer noch, alles andere ist weg. Danke noch mal dafür.

Könnte man vielleicht irgend ein Sperrprogramm speziell für diese Websites laufen lassen? Ich hab davon leider nicht viel Ahnung... .

Eigentlich laufen ja bei mir alle Popupsperrprogramme.

Was nun?

Mattel.

Schau mal, ob Du

C:\WINDOWS\popuper.exe

findest. Das war bei mir der Grund, warum die Popups immer wieder aufgingen.

Ich hab dann folgenden Tip bekommen:

------------------
•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\windows\popuper.exe
C:\WINDOWS\System32\helper.exe
C:\PROGRAM FILES\VIRTUAL MAID\Virtual Maid.dll
C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll.htm
C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll
C:\WINDOWS\System32\msmsgs.exe
c:\windows\sites.ini
C:\WINDOWS\System32\ole32vbs.exe
C:\windows\system32\perfcii.ini
C:\Windows\system32\helper.exe

PC neustarten
--------------------

Einige der obigen files hatte ich schon selber gelöscht; schau mal was bei Dir noch vorhanden ist.

vielen Dank, werde ich heute abend gleich mal ausprobieren

mattel

Also abschließend noch mal vielen Dank!

Habe die Popuper.exe tatsächlich gefunden. Danach hab ich bei "Suchen" mal das Datum eingegeben, an dem sich diese File instlliert hat und ich hab noch ne ganze Menge anderen Müll gefunden und natürlich gelöscht. Seit dem geht alles wieder wunderbar und ein stiller Frieden ohne Popups herrscht auf meinem PC.

Vielen Dank allen, die mir geholfen haben!!!

Viele Grüße Mattel.