Also leute ich krieg langsam die kriese... hab schon in ganz google nach dem fehler gesucht und bin zum entschluss gekommen das dieser Virus neu oder noch net endeckt wurde :S auf jedenfall werde ich mal mein Problem hier schildern:

Ich war vor kurzem auf einer Homepage um mir via AntiLeech ein Patch für Jedi Knight 3 runterzuladen, die HP selber ist ganz okay und hat keine Viren.
Jedoch als ich Antileech dazu beauftragt hatte mir das teil runterzuladen kamen 2 Popups mit Porno&Handywerbung...

Kurz darauf sprang mein Kaspersky an. Er wieß mich daraufhin das ich einen Virus hätte und hat mir angeboten ihn in Quarantäne zu stellen, *nenene, gleich löschen* dachte ich mir und hab dies auch getan.
Kurz darauf öffnete sich einfach so ein Internet Explorer Fenster von alleine..., ich dachte *hee bin ich dumm was hab ich denn da geklickt*, kurz darauf (3-5 minuten) kam das nächste... und die abstende waren immer unterschiedlich manchmal 5-10 minuten dann wieder nur 4 mins dann ne halbe stunde... eigentlich sollte ich heute lernen aber ich sitze schon seit der früh ~10 Uhr am PC nur damit dieser Drecksvirus wieder runtergeht... ich schwör euch wenn ihr mir net weiterhelfen könnt dann nehm ich mein Festplatte und werf die ausm fenster und kauf mir ne neue.... ich bin schon sowas von angefressen auf das teil, nachdem ich den PC erst am 3.3. neu aufgesetzt habe... BITTE HELFT MIR!

MfG: Michael K.


EDIT:// ASDASDASDASD.... scho wieder so ne kackwerbung... mein Antivirus hat AppWrap[1].exe in den Temporary Internet Files gelöscht das schon zum 20. mal... :'( Er meint es ist infiziert von Virus Trojaner-Dropper.Win32.Small.of

Habe Windows XP Prof.


2. EDIT:// Auf einmal sind auf dem Desktop Symbole mit dem Name: "Online Dateing", "Cheap Holiday Travel", "Free Online Music" und "Remove Spyware"

Poste mal ein HijackThis Logfile:
kurze Beschreibung
ausführliche Beschreibung

Zitat:

nachdem ich den PC erst am 3.3. neu aufgesetzt habe

Hast du dein System vor der ersten Internetverbindung auch entsprechend abgesichert?

Ja klar habe sofort Kaspersky 5.0.156 draufgegeben!

Logfile of HijackThis v1.99.1
Scan saved at 16:15:39, on 13.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\xampp\apache\bin\Apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\xampp\mysql\bin\mysqld-nt.exe
C:\xampp\apache\bin\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOKUME~1\SCHATT~1\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = :
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D5A3A7-A25C-4231-8AFD-942204BEF7F5}: NameServer = 195.68.0.4,195.70.224.45
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCB792CB-C199-461B-88F9-EF9E9DDFF15B}: NameServer = 195.68.0.4,195.70.224.45
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\k208lcdu1f08.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apache2 - Unknown owner - C:\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Lass die Datei C:\WINDOWS\system32\k208lcdu1f08.dll bitte online bei http://virusscan.jotti.org überprüfen und poste das Ergebnis. Lade die Datei bitte auch bei www.malwareupload.com hoch.

Entpacke HijackThis in einen eigenen Ordner!

***********************
Boote in den abgesicherten Modus und fixe mit HijackThis (Haken setzen und "fix checked" anklicken)
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\k208lcdu1f08.dll

Lösche manuell:
C:\WINDOWS\web\related.htm
C:\WINDOWS\system32\k208lcdu1f08.dll

Leere deine Temp und Temporary Internet Files z.B. mit www.clearprog.de

Scanne dein gesamtes System mit Kaspersky.

***********************

Boote wieder in den "normalen" Modus.

Windowsupdate durchführen!

Poste das Ergebnis der zu überprüfenden Datei, ein neues HijackThis Logfile und die Funde von Kaspersky.

Zitat:

Ja klar habe sofort Kaspersky 5.0.156 draufgegeben!

Das reicht nicht aus! Wie man es richtig macht, erfährst du hier


btw: Falls du die Dateien nicht finden kannst, nimm bitte die folgenden Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

PS: je nach dem, was der Scan findet, kann es sein, dass du dein System nochmals neu aufsetzen musst.

Sry ich hab sogut wie fast garnichts verstanden... ich habe noch nie mit Hijack oder wie das heißt gearbeitet und weiß auch net was du damit meinst was ich da bearbeiten soll im abgesicherten modus...
Außerdem hatte ich den Virus erst seit heute als war das installieren des Kaspersky antivirus kein Fehler oder so...
naja ich hoffe ich bekomme den weg ich werde einen wiederherstellungspunkt wählen und ausführen... hoffen wa es das er weg ist

EDIT:// die datei die ich hochladen sollte is wie vom erdboden verschluckt... nichtmehr vorhanden -_-

abgesicherter Modus

Anleitung für HJT

Zitat:

Sry ich hab sogut wie fast garnichts verstanden.

Was hast du denn nicht verstanden, es ist doch alles erklärt

Zitat:

Außerdem hatte ich den Virus erst seit

Sicher kein "Virus"...

Zitat:

als war das installieren des Kaspersky antivirus kein Fehler

Hab ich auch nie behauptet, aber es reicht eben nicht aus um das System abzusichern!

Zitat:

ich werde einen wiederherstellungspunkt wählen und ausführen.

Wie du meinst....

so... hab mit acronis true image nach dem neuinstallieren ein Abbild der Festplatte gemacht gehabt und jetzt isser wieder wie neu... das programm ist geil! und ich habs bestimmt net illegal *fg* *sfg* *ggg*
naja muss jetzt noch alles neuinstallieren und dann mach ich gleich nochmal so ein backup... das ist sau gut da kann alles schief gehen und trotzdem wird alles wieder gut thx für die hilfe

Wenn du weiterhin die grundlegenden Sicherheitsregeln missachtest, kannst du das Image jede Woche neu aufspielen.

Zitat:

und ich habs bestimmt net illegal

Acronis True Image 7 gab's bei der aktuellen CHIP als Vollversion auf CD (nicht dass ich CHIP sonst kaufen würde, aber 3,99 € sind imho ein fairer Preis)


btw: ein verseuchtes Image ist sinnlos