Hallo,

bei mir geht eine nicht entfernbare Balloon-Meldung auf mit dem Inhalt:

"System Instrusion detected

Dangerous infection was detected on your PC
The system will now download and install most efficient antimalware program to prevent data loss and your private information theft.
Click here to protect your computer from the biggest malware theats."

Habe den PC mit AntiVir, Spybot, Ad-Aware, EScan und RegSeeker gescannt und erstmal alles gelöscht, was angegeben wurde. Die Meldung verbleibt aber. Wenn man darauf klickt installiert sich spyware strike. Das findet dann zwar einige wenige Sachen wie etwa Spysheriff, lässt das Löschen der Schädlinge aber nur gegen Zahlung für Spyware Strike zu. Das habe ich mir erstmal erspart!

Eine Frage vorab zum EScan Log: Soll ich hier das komplette Log posten? Das ist ellenlang und füllt alleine mindestens 15 Seiten.. Oder gibt es innerhalb des Logs eine Art Ergebnis und nur dieses muss gepostet werden?
Ich habe mal nur das herausgepickt was eklig aussah:

Fri Jan 06 03:41:05 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jan 06 03:41:05 2006 => Loading Spyware Signatures from new External Database (Size: 146571).
Fri Jan 06 03:41:07 2006 => Indexed Spyware Databases Successfully Created...

Fri Jan 06 03:41:09 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Fri Jan 06 03:41:26 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:26 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Fri Jan 06 03:41:26 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:26 2006 => Offending Key found: HKLM\Software\limewire !!!
Fri Jan 06 03:41:26 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:26 2006 => Offending Key found: HKCU\Software\gnu !!!
Fri Jan 06 03:41:26 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:27 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\popcaploader.dll
Fri Jan 06 03:41:27 2006 => System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: No Action Taken.

Fri Jan 06 03:41:28 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\ebay.url
Fri Jan 06 03:41:28 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Fri Jan 06 03:41:28 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Startmenü\programme\limewire
Fri Jan 06 03:41:28 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:28 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\limewire
Fri Jan 06 03:41:28 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Danach folgte eine Auflistung des Gesamtscans - also jede einzelne Datei meines PC. Schien mir wenig hilfreich aber vielleicht irre ich mich. Hier noch schnell das Gesamtergebnis von EScan:

Fri Jan 06 04:37:28 2006 => ***** Scanning complete. *****

Fri Jan 06 04:37:28 2006 => Total Objects Scanned: 59145
Fri Jan 06 04:37:28 2006 => Total Critical Objects: 10
Fri Jan 06 04:37:28 2006 => Total Disinfected Objects: 0
Fri Jan 06 04:37:28 2006 => Total Objects Renamed: 0
Fri Jan 06 04:37:28 2006 => Total Deleted Objects: 0
Fri Jan 06 04:37:28 2006 => Total Errors: 43
Fri Jan 06 04:37:28 2006 => Time Elapsed: 00:57:08
Fri Jan 06 04:37:28 2006 => Virus Database Date: 1/6/2006
Fri Jan 06 04:37:28 2006 => Virus Database Count: 165303

Fri Jan 06 04:37:28 2006 => Scan Completed.


Zusätzlich dazu nun die (komplette ):

Logfile of HijackThis v1.99.1
Scan saved at 12:36:34, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\valve\steam\steam.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {27150f81-0877-42e9-af13-55e5a3439a26} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124374354781
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F4ED9A8F-48EC-48FE-A473-7C5C77EBFF1F} (Seagate DiscWizard German) - h**p://www.seagate.com/support/disc/asp/dwiz/de/bin/npdscwiz.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3550DF38-BDE8-4180-BBA4-74CDB12ED19B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3550DF38-BDE8-4180-BBA4-74CDB12ED19B}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Frage also: Wie bekomme ich diese Popup Baloonmeldung wieder weg oder gibt es sonst Viren o.ä., die weg müssen?
Ich freue mich über Hilfe
Gruß
Nick

tja also dein logfile scheint sauber zu sein.
kann jedenfalls nix auffälliges darin finden.

Hm, das ist depri...

Ich hänge noch mal eben ein jpg des desktop an

Gruß Nick

besorg dir ad-aware date es up und lass es drüberlaufen.
lösche alles was er findet..
desweitern besorg dir Clearprog hacken bei alles alles löschen.

Habe ich gemacht. Cleanprog hat ebenso wie Ad-Aware 'Spyware' gefunden und sie auch gelöscht. (nach nochmaligem Durchlauf beider Progs keine neuen Schädlinge) Allerdings bleibt es bei dem Baloon Popup...
Hat also leider nicht funktioniert.

ps. Systemwiederherstellung ist übrigens aus

haste die beiden sachen im agesicherten modus laufen lassen??

eben nicht sry, jetzt aber. hat sich nichts geändert.. : /

dann seh mal in der systemsteuerung unter software nach.
deinstalliere was dir da nicht bekannt ist.
aber vorher versuche mal noch mit reg-seeker die registery zu säubern

Hallo,
mach mal folgendes und poste die vier logs (nur die Dateien der letzten drei Monate abkopieren!).
Hast du mal folgendes gemacht?

Zitat:

Unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info entfernen.

Grüße Wildone

Diesen hier kann ich nicht zuordnen:

HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run\RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

RegSeeker gibt ihn als nvMediaCenter aus ?!

An Software gab es nur den oben beschriebenen Spyware Strike. Den habe ich gelöscht. Auf anderen Seiten habe ich gelesen, dass dieses angebliche Anti-Spyware möglicherweise selbst Spyware ist. Im Sinne von: Wir präsentieren dir hausgemachte Spyware die nun nur noch durch uns wieder entfernbar ist... Naja weisst du was darüber?

Abgesehen davon ist dieses dämliche Baloon-Ding auch weiterhin nicht dazu zu bewegen zu verschwinden..

mach mal das was wildone dir geschrieben hat

@ Wildone: Nein leider auch kein Eintrag dieser Art bei mir..

Mom sry ich habe erst den Desktop gecheckt. melde mich gleich

bei mir is es das gleiche mit dem besch.. ballon

so hier der log:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0480-7AFB

Verzeichnis von C:\WINDOWS\system32

06.01.2006 04:48 43.094 nvapps.xml
06.01.2006 01:41 102.400 netwrap.dll
05.01.2006 20:39 2.206 wpa.dbl
29.12.2005 03:54 280.064 gdi32.dll
27.12.2005 16:38 6.948 jupdate-1.5.0_06-b05.log
20.12.2005 22:25 16.832 amcompat.tlb
20.12.2005 22:25 23.392 nscompat.tlb
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 10:11 127.704 FNTCACHE.DAT
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
11.11.2005 20:14 34.064 lhacm.acm
11.11.2005 14:49 180.224 nvudisp.exe
11.11.2005 14:49 180.224 NVUNINST.EXE
11.11.2005 13:47 1.019.904 nvwimg.dll
11.11.2005 13:47 1.662.976 nvwdmcpl.dll
11.11.2005 13:47 229.376 nvmccs.dll
11.11.2005 13:47 73.728 nvtuicpl.cpl
11.11.2005 13:47 131.139 nvsvc32.exe
11.11.2005 13:47 86.016 nvmctray.dll
11.11.2005 13:47 81.920 nvwddi.dll
11.11.2005 13:47 425.984 keystone.exe
11.11.2005 13:47 573.440 nvhwvid.dll
11.11.2005 13:47 466.944 nvshell.dll
11.11.2005 13:47 1.466.368 nview.dll
11.11.2005 13:47 5.394.432 nvoglnt.dll
11.11.2005 13:47 286.720 nvnt4cpl.dll
11.11.2005 13:47 3.924.992 nv4_disp.dll
11.11.2005 13:47 86.016 nvapi.dll
11.11.2005 13:47 442.368 nvappbar.exe
11.11.2005 13:47 45.056 nvmccsrs.dll
11.11.2005 13:47 1.519.616 nwiz.exe
11.11.2005 13:47 35.328 nvcod.dll
11.11.2005 13:47 35.328 nvcodins.dll
11.11.2005 13:47 147.456 nvcolor.exe
11.11.2005 13:47 7.311.360 nvcpl.dll
11.11.2005 13:47 16.356 nvdisp.nvu
11.11.2005 13:47 1.339.392 nvdspsch.exe
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 17:38 311.604 perfh009.dat
30.10.2005 17:38 39.992 perfc009.dat
30.10.2005 17:38 48.156 perfc007.dat
30.10.2005 17:38 316.594 perfh007.dat
30.10.2005 17:38 723.744 PerfStringBackup.INI
25.10.2005 10:22 102.400 tsccvid.dll
24.10.2005 03:02 45.056 CSvidcap.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 20:17 53.248 pxhpinst.exe
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 23:55 2.272 w95inf16.dll
03.09.2005 23:55 4.608 w95inf32.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

und dieses hier:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0480-7AFB

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

06.01.2006 14:08 2.614.600 sa1C.exe
03.01.2006 18:08 123 3FCA41B8.TMP
2 Datei(en) 2.614.723 Bytes
0 Verzeichnis(se), 26.342.526.976 Bytes frei

Noch was: in einem anderem Thread habe ich gelesen, das andere user Probs mit einem Prog namens SpyAxe haben. Das hier abgebildete Programm sieht vom Design exakt wie Spyware Strike aus...