Internet Explorer Werbung (Virus ?!)

[hyruler6]

Hi @ all,

ich habe wohl einen Virus auf meinem Win7 64BIT den weder Norten noch Antivir von Avira (Premium) finden. Bei mir öffnen sixh in regelmäßigen Abständen Fenster des Internet Explorers die Werbung anzeigen. (Scrren 2) Diese reicht von T-Mobile über dubiose E-Bay fakes bis hin zu Sexcam flatrates.
Hier einige Links:
- Newsübersicht - Alle Neuigkeiten aus der Welt der PC- und Konsolenspiele, XBOX-PS3-WII-PC - Areagames.de:Heimat der Heimkonsolen
- Shakes & Fidget - The Game
- http://www.yepp-yepp.de/lp/geister2...16e74&am_src_cmp=geister2&am_src_adv=geister2
- http://www.mobilespy.de/lp/freundsu...am_src_cmp=freundsuche&am_src_adv=freundsuche
- Verkehrsrechtsschutz des ADAC - Die Rechtschutzversicherung für Auto, Reise und Freizeit

Das einzige was all diese Seiten gemeinsam haben ist, dass sie die Meldung von Screen III hervor bringen und mit den IE geöffnet werden.
Auch minimiert sich bei mir das Spiel DragonAge extrem oft (alle ein bis zwei Minuten) wobei ich nicht weis ob das damit zusammen hängt, denn das Spiel minimiert sich auch ohne das Werbung aufploppt. Zu guter Letzt ist meine Windows Sidebar "Defekt". Habe mal ein Screen gemacht, beschriftet und hochgeladen.

Hier mal der Report von Avira AntiVir Premium

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Dienstag, 28. Dezember 2010  21:06

Es wird nach 2306293 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Ich
Seriennummer   : xxxxxxxxxx-xxxxxxxxxxx-xxxxxxxxx
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MEIN-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.641     35934 Bytes  13.12.2010 09:21:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  28.12.2010 19:27:53
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  02.08.2010 15:09:45
LUKE.DLL       : 10.0.3.2      104296 Bytes  08.12.2010 12:46:13
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:18:08
VBASE002.VDF   : 7.11.0.1        2048 Bytes  14.12.2010 13:18:08
VBASE003.VDF   : 7.11.0.2        2048 Bytes  14.12.2010 13:18:08
VBASE004.VDF   : 7.11.0.3        2048 Bytes  14.12.2010 13:18:08
VBASE005.VDF   : 7.11.0.4        2048 Bytes  14.12.2010 13:18:08
VBASE006.VDF   : 7.11.0.5        2048 Bytes  14.12.2010 13:18:08
VBASE007.VDF   : 7.11.0.6        2048 Bytes  14.12.2010 13:18:08
VBASE008.VDF   : 7.11.0.7        2048 Bytes  14.12.2010 13:18:09
VBASE009.VDF   : 7.11.0.8        2048 Bytes  14.12.2010 13:18:09
VBASE010.VDF   : 7.11.0.9        2048 Bytes  14.12.2010 13:18:09
VBASE011.VDF   : 7.11.0.10       2048 Bytes  14.12.2010 13:18:09
VBASE012.VDF   : 7.11.0.11       2048 Bytes  14.12.2010 13:18:09
VBASE013.VDF   : 7.11.0.52     128000 Bytes  16.12.2010 17:24:54
VBASE014.VDF   : 7.11.0.91     226816 Bytes  20.12.2010 12:42:24
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 23:10:51
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 14:09:39
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 23:10:50
VBASE018.VDF   : 7.11.0.186      2048 Bytes  27.12.2010 23:10:50
VBASE019.VDF   : 7.11.0.187      2048 Bytes  27.12.2010 23:10:50
VBASE020.VDF   : 7.11.0.188      2048 Bytes  27.12.2010 23:10:50
VBASE021.VDF   : 7.11.0.189      2048 Bytes  27.12.2010 23:10:50
VBASE022.VDF   : 7.11.0.190      2048 Bytes  27.12.2010 23:10:51
VBASE023.VDF   : 7.11.0.191      2048 Bytes  27.12.2010 23:10:51
VBASE024.VDF   : 7.11.0.192      2048 Bytes  27.12.2010 23:10:51
VBASE025.VDF   : 7.11.0.193      2048 Bytes  27.12.2010 23:10:51
VBASE026.VDF   : 7.11.0.194      2048 Bytes  27.12.2010 23:10:51
VBASE027.VDF   : 7.11.0.195      2048 Bytes  27.12.2010 23:10:51
VBASE028.VDF   : 7.11.0.196      2048 Bytes  27.12.2010 23:10:51
VBASE029.VDF   : 7.11.0.197      2048 Bytes  27.12.2010 23:10:51
VBASE030.VDF   : 7.11.0.198      2048 Bytes  27.12.2010 23:10:51
VBASE031.VDF   : 7.11.0.211     53248 Bytes  28.12.2010 19:27:42
Engineversion  : 8.2.4.126 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  02.08.2010 15:09:30
AESCRIPT.DLL   : 8.1.3.48     1286524 Bytes  04.12.2010 00:12:46
AESCN.DLL      : 8.1.7.2       127349 Bytes  24.11.2010 15:24:45
AESBX.DLL      : 8.1.3.2       254324 Bytes  24.11.2010 15:24:47
AERDL.DLL      : 8.1.9.2       635252 Bytes  24.11.2010 15:24:44
AEPACK.DLL     : 8.2.4.5       512375 Bytes  17.12.2010 13:05:51
AEOFFICE.DLL   : 8.1.1.10      201084 Bytes  24.11.2010 15:24:42
AEHEUR.DLL     : 8.1.2.57     3142008 Bytes  17.12.2010 13:05:49
AEHELP.DLL     : 8.1.16.0      246136 Bytes  04.12.2010 00:12:38
AEGEN.DLL      : 8.1.5.0       397685 Bytes  04.12.2010 00:12:37
AEEMU.DLL      : 8.1.3.0       393589 Bytes  24.11.2010 15:24:34
AECORE.DLL     : 8.1.19.0      196984 Bytes  04.12.2010 00:12:36
AEBB.DLL       : 8.1.1.0        53618 Bytes  02.08.2010 15:09:25
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  02.08.2010 15:09:33
AVPREF.DLL     : 10.0.0.0       44904 Bytes  02.08.2010 15:09:33
AVREP.DLL      : 10.0.0.8       62209 Bytes  17.06.2010 14:26:53
AVREG.DLL      : 10.0.3.2       53096 Bytes  02.08.2010 15:09:33
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  08.12.2010 12:46:12
AVARKT.DLL     : 10.0.22.6     231784 Bytes  08.12.2010 12:46:09
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  02.08.2010 15:09:32
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 14:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  02.08.2010 15:09:33
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 14:27:01
RCIMAGE.DLL    : 10.0.0.32    2631528 Bytes  28.12.2010 19:27:31
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  28.12.2010 19:27:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: F:\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 28. Dezember 2010  21:06

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
f:\spiele\combat arms eu\hshield\hsupdate.exe
f:\spiele\combat arms eu\hshield\hsupdate.exe
    [HINWEIS]   Der Prozess ist nicht sichtbar.
f:\spiele\combat arms eu\hshield\update\autoup.exe
f:\spiele\combat arms eu\hshield\update\autoup.exe
    [HINWEIS]   Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'Qvk.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMService.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Engine.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'Qvl.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'tv_w32.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Qxegua.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '80' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '112' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows7 Home Premium 64Bit>
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\35f1045a-686107f9
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnecti.C
--> yid.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnecti.C
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\1c81d1ad-7ff6951a
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\53422bbe-53c29e23
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\494a2d3f-2cc96c49
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'F:\' <1TB Extern (Julian´s)>
F:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\494a2d3f-2cc96c49
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48bedd15.qua' verschoben!
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\53422bbe-53c29e23
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5029f2b4.qua' verschoben!
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\1c81d1ad-7ff6951a
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '026aa80c.qua' verschoben!
C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\35f1045a-686107f9
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnecti.C
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '648fe79c.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 29. Dezember 2010  00:57
Benötigte Zeit:  3:50:05 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  63341 Verzeichnisse wurden überprüft
 1291227 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 1291222 Dateien ohne Befall
   5951 Archive wurden durchsucht
      1 Warnungen
      4 Hinweise
 415283 Objekte wurden beim Rootkitscan durchsucht
      3 Versteckte Objekte wurden gefunden

daraufhin habe ich die JAVA-Dateien in Quarantäne verschoben und die JAVA Application deinstalliert. Hoffe ihr könnt damit was anfangen.

Mein Hauptproblem ist die Werbung die aufploppt, und das das Spiel sich minimiert (sekundär).

Normalerweise Surfe ich NUR mit Mozilla

 

[amdintel]

vielleicht wurde die IE Start Seite verändert
oder die Standard Such Maschinen Einträge ,da ma schauen
und gesammten IE Cache löschnen

 

[hyruler6]

danke habe im IE google als Startseite und bin eigentlich NIE mit dem IE im Netz. habe dennoch mal alles gelöschut und deinstalliere gerade meinen IE.

Vll. bringts was.

 

[hyruler6]

Sooo...
Es hat sich was getan:

Antivir hat den Virus
TR/dldr.Renos.LX873
gefunden und der Windows Defender hat auch etwas gefunden.
Jetzt läuft der Defender durch und Avira tut auch seinen Job. Hoffe danach wars das.

Das ist die Virusbeschreibung vom Defender:
http://www.microsoft.com/security/p...ojanDownloader:Win32/Renos.LX&threatid=150082
kann man damit mehr anfangen als zu erkennen, dass das der Virus ist den ich habe?

 

[amdintel]

kannst auch eine Leer Seite nehmen, das mit google als Start Seite ist Quatsch weil man google ja eh in der Standard suche meinst hat
komisch ich hatte so was noch nie seit dem IE 7 und Vista und jetzt Win IE 8,
dabei treibe ich mich auf mal auf den dunklen Seiten des Webs. rum
wo man mit so was rechnen könnte... das kann dir mit Firefox genauso passieren , wenn man nicht richtig absichert, hab immer auf ein geachtet, so gut es geht Windows und IE immer abgesichert
Tip (nicht jeden donlaod machen der einem angeboten wird und kucken von welcher Seite das kommt, keine Emails Anhänge öffnen und bei Email Java/Flash komplett abschalten z.b noch sicherer ist es wenn man auch HMTL abschaltet, so das nur reiner Text kommt ),

 

[Phony]

Du scheinst viel herunterzuladen und das ist nun mal der Preis dafür.

 

[amdintel]

man kann viel runter laden, nur sollte man stehts darauf achten von welcher Quelle ,
Seiten die mir nicht geheuer vor kommen klicke ich eh gleich weg ,
und geht dann immer lieber auf die Hersteller Seite selber.
das mit den eingeschalteten Skripten (Java/HTML u.a Flash beim Email clent ist immer ein zusätzliches Risiko (Würmer und Trojaner , Viren )
app Win 7 den Regler für Benutzter Steuerung immer ganz nach oben , beim Defander
auch Emails ... mit einschalten .

 

[hyruler6]

naja, wirklich hilfe habe ich hier ja jetzt nicht bekommen aber nach etwa 15 Arbeitsstunden und etlichen virusprüfungen habe ich nun endlich keine Viren mehr. Zumindest merke ich nix mehr. Nur das die Windowssidebar im Eimer ist. Aber eben schnell die Gadgets downloaden und fertig. Java war der eine der ständig alles minimierte und die Werbung kam vom TrojanDownloader. Mit Antivir, Windows Defender und vieeel Fuddelarbeit habe ich dann alles weg. Ein externer Dateischredderer hat mir geholfen den Trojandownloader zu töten .

Naja bis zum nächsten mal.

hy6