Habe seit heute auf einmal ne Menge Schrott auf meinem Pc.

Wie auf dem Pic zu sehen ist, kommen solche Verknüpfungen auf mein Desktop und es erscheinen Pop-Ups.

http://img151.exs.cx/img151/3026/fuckingshit1231wi.jpg


jmd ne idee? adaware und spybot konnten net wirklich helfen...

1. Ein Thread reicht.
2. Mit HijackThis (http://www.hijackthis.de/downloads/hijackthis_199.zip) ein Log erstellen und hier posten.

ok done....hochgeladen

Geht's nicht noch umständlicher ?
Inhalt der Textdatei bitte ins Forum stellen und nicht die Datei anhängen !

Was sagt die automatische Auswertung bei www.hijackthis.de ?

HINWEIS : Hijack-This in eine eigens erstelltes Verzeichnis außerhalb des Temp-Ordners erstellen damit die Backup-Option auch genutzt werden kann !

sie besagt dass einige sachen böse sind, nach fixen kommen sie allerdings wieder :eek:

das problem scheinen ja mehrer zu haben...

keiner ne idee? :( ich bin voll am verzweifeln :(

es tauchen öfter popups auf mit werbungen und und und...

mmm...

C:\WINDOWS\System32\LckFldService.exe <-- Lockfolder?!?

Im Taskmanager abschiessen:
C:\WINDOWS\System32\wsxsvc\wsxsvc.exe <--- Böse, Delfin Media Viewer Adware
M:\NU\nucd.exe <-- Norton Utilities?
M:\NU\WINDOC.EXE <-- Norton Utilities?

O1 - Hosts: 69.20.16.183 auto.search.msn.com <-- komische Einträge, würde ich löschen
O1 - Hosts: 69.20.16.183 search.netscape.com <-- komische Einträge, würde ich löschen
O1 - Hosts: 69.20.16.183 ieautosearch <-- komische Einträge, würde ich löschen
O1 - Hosts: 69.20.16.183 ieautosearch <-- komische Einträge, würde ich löschen
O2 - BHO: (no name) - {265C8777-8B40-3F54-6659-6342FAAACDDE} - (no file) <-- leerer Eintrag, kann gelöscht werden
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll <-- du benutzt die Googletoolbar?

O4 - HKLM\..\Run: [vmss] C:\WINDOWS\System32\vmss\vmss.exe <--- Böse, Delfin Media Viewer Adware
O4 - HKLM\..\Run: [{12EE7A5E-0674-42f9-A76B-000000004D00}] rundll32.exe stlb2.dll,DllRunMain <-- Sieht wie Spyware aus
O4 - HKLM\..\Run: [A70F6A1D-0195-42a2-934C-D8AC0F7C08EB] rundll32.exe E6F1873B.DLL,D9EBC318C <-- sieht nach Sypware aus
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe <-- Böse, Wurm WS32/SDBot.AFS
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE <-- Scheint böse zu sein, Malware
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe <-- Böse, Delfin Media Viewer Adware

O4 - HKLM\..\Run: [ntechin] C:\Dokumente und Einstellungen\Kaaniboy\n20050308.exe <-- shieht wie Spyware aus
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe <-- Böse, Wurm WS32/SDBot.AFS
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe <-- Böse, Wurm WS32/SDBot.AFS
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html <-- Googletoolbar
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html <-- Googletoolbar
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) <-- leerer Eintrag
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) <-- leerer Eintrag
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll <-- sieht komisch aus
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll

??? hast du Einträge entfernt?

Bei Sätzen, die mit sieht anfangen, kannst du die Datei mal bei
http://www.virustotal.com/flash/index_en.html oder
http://virusscan.jotti.dhs.org/
hochladen und selber überprüfen, ob es böse ist ... sollten einige der Sachen nicht von Antivir gefunden worden sein, kannst du die Dateien zippen und bei http://www.antivir.de/de/support/verdaechtige_dateien/index.html hochladen, als Text noch die Einträge zu den einzelnen Dateien hinzufügen und sie sollten was finden. Falls du nicht deine Emailaddi angeben willst, kannst du meine nehmen ( lokadamus@gmx.de ) ...

Wenn Du ganz sicher gehen willst:
http://www.forum-3dcenter.org/vbulletin/showpost.php?p=2676607&postcount=1
Ich weiß, dass das eine Menge Arbeit ist, aber selbst hijackthis findet nicht immer alles.

neee will doch net alles platt machen :eek: :eek: :eek:


hmm ja entfernt schon, aber es geht net alles weg und einige kommen dann wieder

Ohne alles platt zu machen, hast Du keine 100%ige Gewißheit! Ich würde das Risiko nicht eingehen wollen, wenn ich z.B. auch Online-Banking mit meiner Kiste betreibe. Der erste Link in meinem verlinkten Posting (die Hintergrundstory im Security-Bereich bei Heise) zeigt sehr schön, was da alles möglich ist und dass es keine Sicherheit gibt, das System 100% wieder clean zu bekommen.
Lese Dir ruhig mal die ganze Story inklusive der Folge-Teile (insgesamt sind es 4 Stück) durch (ist ne menge Stoff), dann denkst Du evtl. auch anders darüber.
Und danach sollte man tunlichst auch natürlich alle Tipps in diesem Forum (gibt ja einen schönen Sticky) und/oder im zweiten Link berücksichtigen.

Die Auswertung bei www.hijackthis.de sieht auf jeden Fall ganz schön übel aus ... aber kannst ja mal dein Hijackthis aktualisieren, dann findet er vielleicht noch mehr :).

Das gleiche Problem hatte ich auch mal!
Als ich dann x Einträge aus der Registry entfernt und mal einen Reboot gemacht hatte, ging gar nix mehr! :D
Bei solchen Sachen hilft einfach nur format C:.
Am Besten legste dir auch mal eine gute Firewall zu, weil ich denke nicht, dass sich die Programme etc. einfach so beim Besuch von Webseiten installieren...
Oder du hast dir einige Sachen ( z.B. die Programme ) von irgendwelchen Demos oder so eingefangen, die installieren ja auch gerne einige Tools etc...

Es sei anzumerken das er eine NAT Firewall nehmen sollte und keinen PFW shit. Ansonnsten halt das übliche kein IE kein Outlook nicht alles was blinkt anklicken usw usf. und vorallem nicht allen shice installieren.

Dann passiert sowas auch nicht

hab nun mozilla drauf... und ach ja neu installiert ;)

Trotzdem sollteste dir 'ne NAT-Firewall zulegen...

NAT :confused:

NAT :confused:
= Router Firewall - und Finger weg vom IE und Outlook, nimm lieber Firefox!

hab nun mozilla :cool:

= Router Firewall - und Finger weg vom IE und Outlook, nimm lieber Firefox!

Falsch: NAT = Network Address Translation, d.h. jeder Router mit NAT (was in den meisten Fällen Standard ist) leitet den IP-Traffic an "private" IP-Adressen der Clients (in diesem Fall Dein Rechner) weiter. Die IP-Adresse des Clients bleibt somit von außen nicht zugänglich, was Angriffe von außen verhindert bzw. erschwert. Gegen einen bereits installierten Trojaner (der Traffic geht hier vom Client aus) bringt NAT also nichts.

Eine Firewall bzw. ein Paketfilter (was einige Router z.B. noch zusätzlich eingebaut haben) ist etwas anderes.

sicher bringts was gegen installierte trojaner. die müssen von aussen anghesprochen werden damit sie überhaupt was machen ;)

Es ist falsch, dass alle Trojaner erst nach "Aktivierung" von außen in Aktion treten: Es gibt auch einige, die z.B. einen eigenen IRC-Client mitbringen oder auf andere Weise von sich aus den Erstkontakt mit einem Server aufnehmen, da nützt NAT gar nichts.

korrekt die gängigen laufen aber erst nachdem sie der client anspricht.
subseven zum beispiel.

gut man kann sich bei einiegen die sachen schicken lassen aber naja. man kann ports in beide richtungen blocken ;)

Was Du meinst sind die klassischen "Backdoor"-Programme, die am liebsten von Scriptkiddies benutzt werden ;)
Speziell für Spam-Netzwerke gebastelte Trojaner funktionieren allerdings nicht nach diesem Verfahren und Otto Normalverbraucher tut sich bei Portblockaden auch etwas schwer. Gerade die Kommunikation über IRC-Netzwerke ist in dieser Hinsicht schwer in Mode gekommen, da diese Ports in der Regel ja nicht geblockt sind bzw. viele Leute mit PFW zwischen einzelnen "svchost"-Prozessen eh nicht unterscheiden können und diesen Typ freigegeben haben.

Hier gibts ein paar gute Spywareremovaltools:

http://www.spywareinfo.com/~merijn/downloads.html

(probier mal den CWShredder. In vielen Fällen reicht der schon aus)

Lass mal den eScan drüberlaufen und entfern die gefundenen Objekte eben manuell.

www.mwti.net





gruss



PET