Es hört nicht auf !!! - Spyware? <Log>

Dieses Thema im Forum "Sicherheit" wurde erstellt von Notori, 5. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    Hallo allerseits.

    Meine Geduld is allmählich wirklich total am Ende.
    Ich werde sauer wenn mein PC nur noch das tut was er will, was vor 2 Jahren noch anders war.
    Das Internet bereitet mir keinerlei Freude mehr, nur noch wichtiges erldige ich online !

    Nun zu meinem Problem.


    Habe vor 4 Tagen mein System komplett neu gemacht, vorher sämtliche SP 4, updates von Microsoft, Virenscanner, Norton Antivirus 2004 Prof., Adaware 6, Spybot, und und und installiert bevor ich online ging

    Nun lief mein System 3 Tage gut, ich habe nichts gemacht am PC, außer mit Mozilla auf 3 Seiten gesurft.
    Einmal Ebay, Bei der Sparkasse und gmx.

    Emule habe ich installiert, aber alle dateien immer geprüft die fertig waren.
    Und nun geht nichts mehr !!!

    Der PC läuft, aber mein internet ähnelt einem 56k Modem !!!

    Telekom angerufen, Port reseten lassen bis ich dann mal sah was im Taskmanager wieder alles für zeug ist obwohl ich fast nichts installiert habe.

    WEBREBATES0.EXE
    WEBREBATES1.EXE
    ahqtb.exe
    ...
    ...
    ...
    und vieles mehr.

    Was kann ich tun?
    Spybot der sucht und löscht, aber sie kommen direkt wieder !
    Was ist das für eine Welt in der man mehr damit beschäftigt ist sich vor seiten und daten zu schützen als zu surfen?
    Welche Freeware und ich betone Freeware gibt es die ständig sowas mir vom Halse hält?
    Ich sehe es nicht mehr ein mein Geld für das ich hart arbeite ständig in Software zu investieren damit ich nur 20 min am Tag online mein Ebay, Sparkasse und anderes erledigen kann. Ganz zu schweigen von der Zeit die dabei drauf geht, die mir niemand ersetzen kann !
    Sorry wenn das agressiv rüber kommt aber ich bin gerade geladen, habe stunden damit verbracht mein System im Vornerein so gut wie möglich zu schützen :(



    Die Seiten laden sich nur mühevoll.

    Hier die logfile von Hijackthis.

    Logfile of HijackThis v1.98.2
    Scan saved at 18:58:06, on 05.10.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\GEARSec.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Norton AntiVirus\SAVScan.exe
    C:\WINNT\system32\MSTask.exe
    C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\dafoqzre.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINNT\system32\taskmsg.exe
    C:\WINNT\system32\internat.exe
    C:\WINNT\system32\RUNDLL32.EXE
    C:\Programme\Web_Rebates\WebRebates1.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Web_Rebates\WebRebates0.exe
    C:\WINNT\system32\devldr32.exe
    C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.642\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
    O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
    O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
    O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
    O4 - HKLM\..\Run: [sjohelsb] C:\WINNT\sjohelsb.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [lfbxdpnawuofr] C:\WINNT\system32\dafoqzre.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [candynet] taskmsg.exe
    O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
    O4 - HKLM\..\RunServices: [candynet] taskmsg.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
    O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O14 - IERESET.INF: SEARCH_PAGE_URL=
    O14 - IERESET.INF: START_PAGE_URL=
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...e9492e852938:685aa3d566974fee79b844b3bca43e7d
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E850035F-061E-4A3F-8AD1-A9741D1C83DA}: NameServer = 217.237.150.33 217.237.151.161



    PS:

    Habe die Log mal bei Hijackthis.de auswerten lassen, einige böse prozesse sind da drin, die löschen ok, aber ich will sie ja ganz weg haben das sie auch nicht mehr kommen !!!
    Wie am besten löschen, und wie mich davor schützen?
    PC verkaufen und immer zur Bank und in einen Ebay shop rennen, oder gibts noch einen Lichtblick...?
    :)

    Grüße

    Sven
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wie hast du die Windows-Updates und das SP4 installiert? Von CD oder über die Windows-Update-Seite?
     
  3. Scasi

    Scasi Ganzes Gigabyte

    Registriert seit:
    1. August 2004
    Beiträge:
    19.432
    PC verkaufen ist wohl in Deinem Fall das beste ! :p

    solltest Du Dich doch nochmal zu einer Neuinstallation aufraffen, gibt´s hier genug zu den Themen "Dienste konfigurieren", "alternative Browser", "Image erstellen" oder "Platte klonen" usw. ...

    ich bin sicher nicht der einzige hier, aber seit über 6 Jahren schädlingsfrei online - sollte doch mal was passieren, hab´ ich in wenigen Minuten wieder ein sauberes System mit kompletter Peripherie, allen Progs etc. :jump:
     
  4. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    Hallo.

    Ich habe alles über eine CD installiert, diese aber geprüft mit sämtlichen Viren Programmen ect.

    Scasi

    Mal ehrlich

    Ich arbeite seit vielen Jahren mit PC, hatte 1 Jahr Pause, und nun sehe ich so ein schlamassel hier im internet.

    Ich habe Drive Image installiert, habe auch ein Backup gemacht nach neuinstallation, aber ich möchte das umgehen, möchte ja nicht jeden Tag neues Backup aufspielen.

    Ich habe einen alternativen Browser, firefox Mozilla.
    Habe eigentlich alles so konfiguriert das es läuft und geschützt ist, aber mir fehlt so langsam die Geduld.

    Ich apelliere nun an alle Trojaner und Viren Kenner hier, was kann ich nun tun damit das System sauber ist, und sauber bleibt, ohne nochmals zu formatieren ect ?

    danke euch.

    Sven
     
  5. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    denke ein wenig um.

    1. dein ie ist veraltert, aktuell ist die ver. 6.00.2800.1106
    2. jammern über das böse internet ist nur dann effektiv, wenn man sowieso vor hat, auf videotext umzusteigen - was ich dir nicht unterstelle.
    3. trojaner sind kein schicksalsschlag, sondern du hast bei der installation mitgeholfen.
    4. sicherheit kann man nicht kaufen, schon gar nicht bei symantec.
    5. auch mozilla und firefox schützen nicht vor der torheit des users -sorry, klingt hart, ist aber nur ein zitat aus dem usenet

    also was tun?

    vertraue nicht auf das wissen anderer leute, sondern mach dich selber schlau und setze dich zunächst mal ein wenig mit den grundlagen auseinander
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

    nach der lektüre - auch der links - wirst du zu dem schluss kommen, dass es das beste wäre, dein system noch einmal neu aufzusetzen.
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Und was hast du in dem Jahr gemacht? In ner Höhle im Himalaja gelebt? Selbst wenn du die Entwicklung des letzten Jahres verpasst hast, Viren, Trojaner und Browser Hijacker gibts eigentlich schon etwas länger. :rolleyes:


    Da du vielleicht etwas aus der Übung bist hier ne Anleitung zur Neuinstallation:


    -------
    Infiziertes System neu aufsetzen:

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    Auf einem nicht infizierten System alle Service Packs sowie falls in den SPs nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

    Auf dem infizierten System:
    - wichtige Daten sichern (sofern noch möglich)
    - format c:
    - Windows neu installieren (oder ein sauberes Image zurückspielen)
    - die Service Packs und Patches von der CD installieren
    - http://www.ntsvcfg.de/#_download
    - Virenwächter installieren (AntiVir und AVG gibts kostenlos)
    - sämtliche Passwörter ändern
    - Spybot S&D installieren und das System immunisieren
    - die automatische Windows-Update Funktion aktivieren
    - die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar) NIE ausführbare Dateien zurückspielen
    -------
     
  7. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    sorry, aber irgendwie komme ich mir gerade ( vielleicht zurecht) etwas verarscht vor.

    Der eine sagt mir ob ich mit einem veralteten IE den ich nicht nutze wie schon erwähnt, nicht doch auf Videotext umsteigen möchte wobei hier keine Unterstellung vorliegt, was schwachsinn ist da die aussage schon im raume steht, während der andere meint ich hätte im Himalaja mein PC Wissen angeeignet und ein Jahr Pause unter ausschluß der öffentlichkeit bekommen, und die Entwicklung der Viren zugenommen hat was mir aber durchaus bewusst ist nur das es vor 2 Jahren lange nicht so schlimm war mit Spy und Adaware !!!!

    Ich fragte hier nach Fachwissen, da brauche ich keine Ratschläge die mir absolut nicht weiter helfen.
    Es ist keiner verpflichtet zu antworten oder Hilfe zu leisten, aber derartige Kommentare bitte ich doch in einem von mir ernst gemeinten Thread zu unterlassen.

    Ich hoffe auf das verständnis für meine Meinung, da ich derzeit besseres zu tun habe als mir solche Post`s durchzulesen.

    Bin etwas enttäuscht, wobei das durch die fachgerechte kompetente Beratung hier im Forum von einigen Usern oftmals wieder wett gemacht wurde.

    EDIT:

    @ TheDoctor

    Das was Du dort beschrieben hast genau diesen Weg habe ich hinter mir, und dennoch gibt es in irgendeinem Patch eine sicherheitslücke oa.
    ich kann diesen Weg natürlich alle 3 Tage gehen, das ist jedoch nicht mein Ziel unter den vorraussetzungen mit dem PC zu arbeiten.


    Liebe Grüße

    Sven
     
  8. Scasi

    Scasi Ganzes Gigabyte

    Registriert seit:
    1. August 2004
    Beiträge:
    19.432
  9. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    at Notori

    mir lag es fern, dich hochzunehmen, tut mir leid, falls dies so rüberkam.

    mir ging es um folgendes
    du hast dich darüber beschwert, dass dir das i-net keine freude mehr macht - offenbar weil du dir malware eingefangen hast. in der situation gibt es 2 möglichkeiten.

    entweder du suchst dir in irgendeinem forum irgendeinen experten, der dir hilft, dein momentanes problem zu beseitigen. das klappt auch, nur hast du dann nicht lange freude am i-net, sondern bist über kurz oder lang wieder hier mit dem nächsten schädling.

    oder du machst dir die mühe, mal zu überprüfen, warum du dir malware einfängst. das halte ich für sinnvoller und daher mein ernstgemeinter tipp, mal die verlinkte seite zu lesen.
     
  10. Notori

    Notori Kbyte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    249
    Hallo

    genau dies habe ich hier getan, da es hier genug experten auf den verschiedensten gebieten gibt.

    darum erhoffe ich mir auch "normale" antworten.

    Aber ist ok, halb so schlimm , nur fand ich diesen Post etwas unpassend :(

    Habe nun mal alles im Griff, hoffe das bleibt nun so.
    Alles funktioniert wieder einwandfrei.
    Was mich ärgert ist folgendes.

    Ich bezahle im "prinzip" "viel Geld" um online sein zu können.
    Jeder Mensch steckt viel Geld in Hardware, Software ect
    Dafür das man viel Geld bezahlt um einiges online machen zu können finde ich ist der Ärger dennoch viel zu groß.

    Einige User im Internet nehmen sich zu viele Rechte raus, sei es wegen Malaware, blaster, sonstige Würmer Trojaner oder Viren die ja durch user erst ins Netz kommen.

    Das ist es was mich so ärgert, wenn ich nach 10 Stunden arbeit von der Baustelle nach hause komme, und dann noch Stunden lang damit kämpfen muß das mein System erst einmal normal läuft, und dann war ich noch keine minute im internet und ganz zu schweigen von den Aufgaben die ich vor hatte zu erledigen.

    Sowas ärgert mich, und da bin ich nicht der einzige denke ich.
    Leid tun mir nur die user die wirklich gar kein Wissen von der Matherie PC haben, diese Sitzen dann zuhause und wissen weder ein noch aus.

    Ok, genug geschrieben.

    Liebe Grüße

    Sven

    @ Scasi, ich werd das auch noch machen.
    Danke für den tip.
     
  11. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Dazu gehören aber immer zwei, einer der die Viecher abschickt und einer der sie empfängt und ausführt.


    Wenn du das alles in der angegebenen Reihenfolge durchgeführt hast dann ist die einzige Sicherheitslücke dein unsicheres Surfverhalten.


    Mein System (Win2000 SP4) ist genau wie von mir beschrieben abgesichert. Das, in Kombination mit den Zoneneinstellungen des IE und Brain 2.0 ist mehr als ausreichend um meine Signatur noch lange so stehen zu lassen.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen