HeyHo,
hatte seit heute morgen 3 Icons auf dem Desktop, ich habe diese Icons NICHT selber erstellt oder installiert. Habe sie zunächst versucht mit O&O Safe Erase 3 zu entfernen, keine chance, da diese Icons eine URL Weiterleitung sind/waren - Ich habe diese 3 Icons dann ganz normal mit rechtsklick -> löschen "entfernt" und nein, sie wurden nicht in den Papierkorb verschoben, da ich den Papierkorb so eingestellt habe, dass Dateien sofort gelöscht werden!
In der Windows Suche habe ich diese 3 Icons auch noch in den Favoriten im Internet-Explorer 6 gefunden, dort habe ich sie ebenfalls per Hand entfernt.
Ich nutze den VirenScanner G Data InternetSecurity 2008.
Die Foren-Suche habe ich bereits genutzt und habe auch mein problem wiedergefunden, nur mein G Data meint zu den Link von Smidfraudfix, dass dort ein virus lauert, das Bild könnt ihr euch gerne mal anschauen

--> h**p://www.repage6.de/memberdata/jmerker/Website_gesperrt.JPG

Es kommen auch immer 2 Fehlermeldungen im regelmäßigem Abstand

1. Fehlermeldung:

---------------------------
Windows Security Alert
---------------------------
Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful
viruses. Run full system scan now to protect your PC from
Internet attacks, hijacking attempts and spyware! Click here
to download spyware remover for total protection.
---------------------------
OK Abbrechen
---------------------------

2. Fehlermeldung:

---------------------------
Spyware Alert
---------------------------
Security Warning!

Worm.Win32.NetSky detected on your machine. This virus is distributed via
the Internet through e-mail and Active-X objects. The worm has its own SMTP
engine which means it gathers e-mails from your local computer and re-distributes
itself. In worst cases this worm can allow attackers to access your computer,
stealing passwords and personal data.
This process should be removed from your system.

Type: Virus
System Affected: Windows 2000, NT, ME, XP, Vista
Security Risk (0-5): 5
Recomendations: Click Yes to remove it from your PC immediately.

---------------------------
Ja Nein
---------------------------

Zudem öffnet sich auch ab und an eine Internet-Seite mit dem Internet-Expolrer, welche ich aber jedesmal sofort wieder schließe!


Computer-Daten:

Windows XP Professional
Service Pack 2
250 GB Festplatte
2 GB Ram
1,6 GHz


Jetzt zur LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 15:02:10, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\SlySoft\CloneCD\CloneCDTray.exe
D:\Programme\PeerGuardian2\pg2.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll morgenh noc
O3 - Toolbar: The leosrv - {8B6860DE-2CFA-4713-B42F-DC06D008DC54} - C:\WINDOWS\leosrv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [PeerGuardian] D:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WB - D:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: xcvwer - {4DA6E8FA-44B5-4498-9B65-4A1D9FDB8808} - C:\WINDOWS\xcvwer.dll (file missing)
O21 - SSODL: hjoqor - {EADE0B76-96AD-466C-8388-012CA1DCEEEF} - C:\WINDOWS\hjoqor.dll
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Hallo,

bitte führe folgende Programe duch, und Poste anschließend die Berichte:

~> eScan
~> Combofix

Leider 2 Fehlermeldungen bei der eScan Installation!

1. Fehlermeldung
---------------------------
eScan AntiVirus Toolkit Utility
---------------------------
Internal Error!!! This could be because of incorrect system date setting or missing *.AVC/*.SET signature files or corrupt *.AVC/*.SET files. Please send MWAV.LOG file to support@mwti.net.
---------------------------
OK
---------------------------

2. Fehlermeldung
---------------------------
Error
---------------------------
Some files could not be created.
Please close all applications, reboot Windows and restart this installation
---------------------------
OK
---------------------------

... und wie siehts mit Combofix aus?

Versuche nocheinmal eScan zu starten und Poste anschließend den Bericht.

Hi,

falls nicht erkannt, das hier fixen:
Der Eintrag O3 - Toolbar: The leosrv - {8B6860DE-2CFA-4713-B42F-DC06D008DC54} - C:\WINDOWS\leosrv.dll
ist das hier:
http://www.castlecops.com/tk39909-The_leosrv.html
-> ggf. http://siri.urz.free.fr/Fix/SmitfraudFix_De.php einsetzen.

Dann gibt es noch:
O21 - SSODL: xcvwer - {4DA6E8FA-44B5-4498-9B65-4A1D9FDB8808} - C:\WINDOWS\xcvwer.dll (file missing)
O21 - SSODL: hjoqor - {EADE0B76-96AD-466C-8388-012CA1DCEEEF} - C:\WINDOWS\hjoqor.dll

Die kannst Du bitte Online prüfen lassen, damit wir wissen was es ist (der erste ist wohl schon gelöscht)...
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Alles natürlich nur, wenn combofix sie nicht erledigt (by the way: zuerst combfix und dann escan, sonst tauchen im escan-log die sachen auf, die combofix erledigt... doppelte arbeit...)

chris (and out)

O3 - Toolbar: The leosrv - {8B6860DE-2CFA-4713-B42F-DC06D008DC54} - C:\WINDOWS\leosrv.dll
O21 - SSODL: xcvwer - {4DA6E8FA-44B5-4498-9B65-4A1D9FDB8808} - C:\WINDOWS\xcvwer.dll (file missing)
O21 - SSODL: hjoqor - {EADE0B76-96AD-466C-8388-012CA1DCEEEF} - C:\WINDOWS\hjoqor.dll

--> Erfolgreich gefixt


CastleCops® leosrv.dll 257F0149-3042-4F1E-97A1-7602460E97EE
-->

Certified spyware/foistware, or other malware
Field Value
GUID {257F0149-3042-4F1E-97A1-7602460E97EE}
Filename leosrv.dll
Object Name The leosrv
Status X TB
Description Parasite connecting to rogue "security sites", member of the FakeAlert aka SmitFraud malware family


Combofix lädt sich tod, dapassiert leider nichts

Edit -> mein G Data hat noch grad meine nero toolbar als virus entdeckt:
Virus: not-a-virus:AdTool.Win32.MyWebSearch.bm

Es wurde versucht, auf eine infizierte
Datei zuzugreifen.

Datei: Toolbar.exe
Verzeichnis: C:\Dokumente und Einstellungen\TeamSpeak\Lokale Einstellungen\Temp\NERO13890

Da kann aber einiges nicht stimmen, wenn Combofix und eScan nicht gestartet werden kann!

Versuche nochmal eScan und Combofix, nachdem du gefixt hast.

nach langem warten (10 min) ist combofix nun endlich gestartet


->Combofix "Versuche neuen Systemwiederherstellungspunkt zu erstellen"