Werbefenster und Ratlosigkeit...

10.08.2006, 00:10

Hallo,
ich hab mir blöderweise gestern Nacht einen Virus geholt. Spybot hat sofort Alarm geschlagen und ich habe den und AntiVir durchlaufen lassen. Offensichtlich sind nicht alle bösartigen Dateien entfernt worden. Ständig öffnen sich Werbefenster über Mozilla oder Internet Explorer.
Außerdem wird der Taskmanager nicht angezeigt (weder, wenn ich Strg+Alt+Entf drücke, noch, wenn ich per Rechtsklick auf die Taskleiste auf Task-Manager klicke).

Habe mit HijackThis auch schon so eine Kontrolle gemacht und dabei entdeckt, dass der Ordner "D:\Programme\Gemeinsame Dateien\ffwz" anscheinend bösartigen Inhalt hat (außerdem ist das Erstellungsdatum genau die Zeit des Virenbefalls...), ich kann diese Datei aber nicht löschen, weil sie Schreibgeschützt ist und, davon gehe ich aus, auch noch irgendwie verwendet wird.

Habe hier auch dieses Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:52:14, on 09.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\htpatch.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\System32\SxgTkBar.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
E:\ICQLite\ICQLite.exe
D:\Programme\outlook\outlook.exe
C:\dfndrff_8.exe
D:\WINDOWS\System32\RUNDLL32.EXE
C:\nwnmff_8.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC 2.EXE
D:\PROGRA~1\GEMEIN~1\ffwz\ffwzm.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
D:\Programme\NETGEAR\WG311v3\wlancfg5.exe
D:\WINDOWS\explorer.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\Programme\Antivir\AVWIN.EXE
D:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yahoo.de/musik
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "E:\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [outlook] D:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [defender] C:\\dfndrff_8.exe
O4 - HKLM\..\Run: [rkac494b] RUNDLL32.EXE w104be79.dll,n 002c49490000000a104be79
O4 - HKLM\..\Run: [newname] C:\\nwnmff_8.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus C80 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC 2.EXE /P23 "EPSON Stylus C80 Series" /O6 "USB001" /M "Stylus C80"
O4 - HKCU\..\Run: [ffwz] D:\PROGRA~1\GEMEIN~1\ffwz\ffwzm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ZDWlan.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O20 - Winlogon Notify: DateTime - D:\WINDOWS\system32\r2p8lc7u1f.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe

Ich hoffe sehr, dass ihr mir helfen könnt. Danke, Sonja

10.08.2006, 11:11

Ich habe mir mal Dein LogFile angeschaut. An bösen Einträgen ist da nichts zu finden. Allerdings wird auch vermerkt, ob Du eine Firewall im Einsatz hast. Hast Du eine?
Wenn nicht, unbedingt installieren!

Außerdem überprüfe mal ob Du das SP2 ( Sicherheitspaket ) von Microsoft mit allen neuen Updates und Patches runtergeladen hast.
Das letzte große Update war nämlich vorgestern. ( Dienstag )

Versuche doch mal mit der Systemwiederherstellung einen Punkt rausuzusuchen, an dem Du noch keine Schwierigkeiten mit Deinem System hattest.

10.08.2006, 15:11

Danke für die Tipps. Ich hab mir die Kerio Personal Firewall und das Windows Service Pack 2 runtergeladen. Hoffentlich bringts was...

Ist es denn möglich, die Firewall oder den Browser so einzustellen, dass diese Werbeseiten einfach nicht mehr angezeigt werden? Es sind ja immer dieselben Werbungen... vll kann man dann ja die Domains sperren oder so, ohne dass man immer darüber informiert wird?

Besonders nervig ist die Werbung von "WinAntiVirus Pro 2006" und "ErrorSafe", beides angebliche Antivirenprogramme...

10.08.2006, 15:13

Zitat von Sonana

Ist es denn möglich, die Firewall oder den Browser so einzustellen, dass diese Werbeseiten einfach nicht mehr angezeigt werden? Es sind ja immer dieselben Werbungen... vll kann man dann ja die Domains sperren oder so, ohne dass man immer darüber informiert wird?

im prinzip schon...ich habe davon bisher aber auch nie gelesen und es nie selbst probiert. lies mal hier, vorallem der letzte absatz sollte interessant für dich sein.

10.08.2006, 16:04

Hallöchen,

also in dem Logfile wimmelt es aber von zwielichtigen Einträgen. Am besten mal folgende Einträge fixen ( beheben ):

Code:

O4 - HKLM\..\Run: [defender] C:\\dfndrff_8.exe 
O4 - HKLM\..\Run: [rkac494b] RUNDLL32.EXE w104be79.dll,n 002c49490000000a104be79 
O4 - HKLM\..\Run: [newname] C:\\nwnmff_8.exe 
O4 - HKCU\..\Run: [ffwz] D:\PROGRA~1\GEMEIN~1\ffwz\ffwzm.exe 
O20 - Winlogon Notify: DateTime - D:\WINDOWS\system32\r2p8lc7u1f.dll

Anschließend die gefixten .exe Dateien löschen und kontrollieren ob nach einem Neustart die Werbung imemr noch kommt.

10.08.2006, 16:06

Besonders nervig ist die Werbung von "WinAntiVirus Pro 2006" und "ErrorSafe", beides angebliche Antivirenprogramme...

Ein Tipp am Rande: Die Anschaffung eines wirklich guten ( werbefreien ) Schutzprogramms würde ich mal in die Betrachtung mit einbeziehen.
Ich habe mir vor einem Jahr das Kaspersky Security Suite Programm gekauft.

Da hast Du:
- eine exellente Firewall
- ein effizientes Antivirenprogramm mit stündlichen Scan - Updates
- ein Antispamprogramm
- einen Support ( Kundendienst ) der seinem Namen alle Ehre macht. Bei Anfragen bekomme ich innerhalb von Stunden persönlich formulierte Antworten und nicht ein standardisiertes 08/15 Geschwafel. Ich hatte früher Norton drauf, das habe ich wegen absoluter Kundenignoranz runtergeschmissen.

Das Kaspersky Programm kannst Du sogar 1 Jahr kostenlos testen . Auf der alle 2 Wochen erscheinenden Computer Bild liegt diese CD mit bei. Die aktuelle Ausgabe ist vom Dienstag.

Wäre doch mal eine Überlegung wert?
Kaspersky Internet Security

Um lästige Werbeeinblendungen ( Pop Up Blocker ) zu eliminieren kann man per Knopfdruck sich auch noch den Webwasher runterladen:

Webwasher

11.08.2006, 14:57

Zitat von computerdirk

...Anschließend die gefixten .exe Dateien löschen und kontrollieren ob nach einem Neustart die Werbung imemr noch kommt.

Ehmm... hab die via HijackThis gefixt, aber wie lösch ich die dann?? Bzw wo sind die dann?

11.08.2006, 15:26

Hallöchen,

die Pfadangaben werden doch im Logfile angeben, z.b.

Code:

C:\\nwnmff_8.exe

Damit sollte es ja möglich sein sie zu finden. Oder einfach danach suchen lassen...

Werbefenster und Ratlosigkeit...

Werbefenster und Ratlosigkeit...

Ähnliche Themen

abolsute Ratlosigkeit :( BIOS, Graka, freeze... -.-

Werbefenster öffnet sich immer

Werbefenster Hilfe O_o

Störende Werbefenster

kann Werbefenster entfernen