Urplötzlich fremde Icons auf dem Bildschirm für Viagra, Casino u.s.w.

#1 Vielleicht kann mir jemand von Euch helfen. Nach dem Surfen Internet sind auf meinem Rechner auf dem Desktop plötzlich Icons die ich nie heruntergeladen habe. Ich muß gestehen, daß ich bei der Suche nach Hilfe hier in den Foren ehrlich gesagt leider nicht viel verstanden habe. Kann mir jemand sagen was ich jetzt tun kann, um mich von den lästigen Icons und auch Pop-ups zu trennen ? Oder muß ich jetzt meinen gesamten Rechner neu formatieren. Wäre wirklich toll, wenn mir jemand helfen könnte oder sagen könnte auf welchen Seiten ich Hilfe für einen weniger Computerversierten wie mich finden kann.

#2 moin questtonner

als erstes solltest du noch ein paar daten von deinem pc posten, alsdann wäre welches betriebssystem du benutzt, welches sp installt is, mit welchem browser du surfst, ob ne firewall und welche noch am laufen ist, ob das system noch weiter gehärtet ist?

ich denke wäre einfacher in welcher reihenfolge mit suchen anzufangen ist.

mfg fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)

#3 Vielen Dank für die Antwort fake!
Meine Systeminformationen sind Windows XP Home Edition, Version 2002, Service Pack1. Serve mit dem T-online Browser 5.0. Habe nach dem Problem mit dem XP Wurm (ich weiß nicht mehr wie er hieß, Sober kann das sein?) Zone alarm, welches mir ein Freund gegeben hatte, installiert. Habe bislang den Servicepack 2 nicht installiert, da in der Computerbild seinerzeit empfohlen wurde erst das ganze System zu sichern, bevor man es installiert. Soll ich es jetzt einfach installieren oder verfestige ich damit das Problem nur?
Bin weiter über jeden Rat dankbar. Eine wichtige Frage noch: kann ich getrost mit diesem Rechner weiter im Internet surfen oder stellt das ein Sicherheitsrisiko dar, z.B. da ich bis jetzt auch Online-Banking gemacht habe, i.d.S. das jetzt etwas "abgehört" werden kann? Ich könnte alternativ per Laptop in einem öffentlichen Netz etwas herunterladen (Hijack-Programm wie ich gelesen hab) und dann via Memorystick an diesem Rechner nutzen.

Vielen Dank im Vorraus für alle Antworten

#4 Hallo@questtonner

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

--------------------------------------------

wenn du das Log vom HijackThis gepostet hast....sehen wir weiter

C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Casino Palace.lnk
C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Casino.lnk
C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Games.lnk
C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Horoscope.lnk

usw....
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,
vielen DAnk für die Hilfe. Hier ist das Ergebnis:
Logfile of HijackThis v1.99.1
Scan saved at 22:57:28, on 10.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\T-Online\T-Online_Software_5\eMail\MAIL.EXE
C:\Dokumente und Einstellungen\Arndt\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0271/
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\winv.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: &Hilfe und Support.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .AVI: C:\Programme\Netscape\Communicator\Program\PLUGINS\npavi32.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1242DBBE-0FA9-4E4A-AEA7-DEA67DAE58BB}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1242DBBE-0FA9-4E4A-AEA7-DEA67DAE58BB}: NameServer = 217.237.150.97 217.237.149.161
O21 - SSODL: System - {27BEA553-2D42-4076-8087-1219DA2DA22D} - C:\WINDOWS\system32\system32.dll
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#6 Hallo@

TR/small.l.DL in der datei winv.exe

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0271/
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\winv.exe
O21 - SSODL: System - {27BEA553-2D42-4076-8087-1219DA2DA22D} - C:\WINDOWS\system32\system32.dll

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\system32.dll
C:\WINDOWS\System32\serch_hook.dll
C:\WINDOWS\System32\systr.dll
C:\WINDOWS\System32\popup_bl.dll
C:\WINDOWS\System32\param32.dll
C:\WINDOWS\System32\mt.exe
C:\WINDOWS\System32\setup.exe
C:\WINDOWS\System32\toolband_atl.dll
C:\WINDOWS\winv.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein+ url
http://virus-protect.org/temp.html



•CWShredder
http://virus-protect.org/antispywaretools.html
* Double-click on CWShredder.exe.
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!
* Click "Fix ->" und click "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
Log-->"make Report"-->bitte posten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

mache 3 0der 4 Onlinescans + berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina.

vielen Dank zunächst für die Antwort.

Komme leider nicht ganz klar.

1.) Habe zunächst den ersten angegebenen Link angeklickt. http://bilder.informationsarchiv.net..usw
2.)Nachfolgend öffnete sich das Dialogfenster Dateidownloadateiname rkfiles.zip, habe Option speichern gewählt.
3.) Dialogfenster:Speichern unter
Wie angegeben speichern in Desktop, Dateiname rkfile --- habe mit Option Speichern gespeichert
4.) Dialogfenster Download abgeschlossen:
zeigte rekfiles.zip übertragen 17,9 KB in 1 Sek.,Download nach C:\Dateien und Einst...\rkfiles.zip. Habe bei den angegebenen Optionen Öffnen angeklickt.
5.) 2 Dateien werden angezeigt: zum einen strings-Anwendungen zum anderen rkfiles-stapelverarbeitung

#8

Zitat

questtonner postete
Hallo Sabina.

vielen Dank zunächst für die Antwort.

Komme leider nicht ganz klar.

1.) Habe zunächst den ersten angegebenen Link angeklickt. http://bilder.informationsarchiv.net..usw
2.)Nachfolgend öffnete sich das Dialogfenster Dateidownloadateiname rkfiles.zip, habe Option speichern gewählt.
3.) Dialogfenster:Speichern unter
Wie angegeben speichern in Desktop, Dateiname rkfile --- habe mit Option Speichern gespeichert
4.) Dialogfenster Download abgeschlossen:
zeigte rekfiles.zip übertragen 17,9 KB in 1 Sek.,Download nach C:\Dateien und Einst...\rkfiles.zip. Habe bei den angegebenen Optionen Öffnen angeklickt.
5.) 2 Dateien werden angezeigt: zum einen strings-Anwendungen zum anderen rkfiles-stapelverarbeitung

-->entpacken-->

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Liebes Forum,

melde mich mit einigem Abstand wieder, aber immer noch mit dem alten Problem, das mittlerweile sich gesteigert hat.
Hatte seinerzeit beruflich keine Zeit mich mit dem Problem intensiv weiter zu beschäftigen und habe stattdessen bislang wlan-Notebook benutzt. Mittlerweile läßt sich die Situation an unserem Home-Computer aber nicht mehr negieren. Das System scheint von Benutzung zu Benutzung instabiler zu werden und sich aufzuhängen bei z.B. Textprogrammanwendungen (Word). Es hilft dann nur noch ein "Kaltstart". Und ...inzwischen ist auch keine Internetverbindung von diesem Rechner mehr aufzubauen.

Habe inzwischen meine Daten auf CD-Rom gebrannt/gesichert.
Was kann ich jetzt tun? Kann ich mir per WLAN vielleicht noch irgendwelche Anti-Viren oder -Trojaner-Programme herunterladen? Oder sollte ich irgendein spezielles Programm kaufen? Oder sollte ich die Festplatte neuformatieren?
Vielen Dank im Vorraus für jeden Rat.

#10 Wenn du die Daten gesichert hast, ueberpruefe das Backup auf einen anderen Rechner auf funktion und vollstaendigkeit und wenn es in Ordnung ist, formatiere die Platten auf dem befallenen Rechner und setze ihn neu auf.

Siehe dazu auh diesen Thread:
http://board.protecus.de/t13019.htm
__________
MfG Ralf
SEO-Spam Hunter

#11 Vielen Dank raman!
Habe mir gerade den Thread durchgelesen. Steht wirklich sehr gut erklärt darin. Habe noch die Frage wie ich meine gesicherten Daten überprüfen kann,daß sie nicht infiziert sind.

MfG questonner

#12 Wie gesagt, ueberpruefe sie auf einem anderen Rechner mit einem aktuellen AV-Programm(escan). Die meisten DAtendateien sind aber selten infiziert. Makrovirn und co sind eher selten und gepatchte MSOffice Programme, bzw Openoffice sind recht imun gegen solche Malware.
__________
MfG Ralf
SEO-Spam Hunter