Hallo zusammen,
bin mittlerweile mit meinem Latein am Ende. Habe diese Einträge w*w.bestweblinks... in meiner registry. Sämtliche Anleitungen aus den Trojaner-Boards habe ich bereits durchgeführt. Aber nach dem Neustart sind die Einträge wieder da. Sie lassen sich zwar mit HijackThis löschen doch entscheidender wäre es den Erzeuger dieser Einträge zu eliminieren.

Wer kann mir helfen ?

Vielen Dank im voraus.

Gruß Ralf

Hallo,

editiere bitte obigen Links (w*w.bestweblinks) damit er nicht mehr anklickbar ist.
Poste dann bitte ein HijackThis-Logfile und wir werden sehen, was zu machen ist.

Hallo Haui45,

erstmal vielen Dank dass Du Dich überhaupt um diese Sache kümmern willst.
Finde ich absolut nicht selbstverständlich.

Und hier das von Dir gewünschte Hijackthis-Log-File:
Logfile of HijackThis v1.99.1
Scan saved at 20:49:03, on 18.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Personal Security Service\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RagTime Privat\Konni\KonniSymbol.exe
C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\Personal Security Service\Common\FSMA32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Personal Security Service\Common\FSMB32.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Personal Security Service\Common\FCH32.EXE
C:\Programme\Personal Security Service\Common\FAMEH32.EXE
C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Benutzername\Desktop\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Konni Symbol Autostart] "C:\Programme\RagTime Privat\Konni\KonniSymbol.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123691481734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123692877062
O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Nochmals danke.
Gruß Ralf

Bitte editiere zuerst deinen Namen

Zitat:

C:\Dokumente und Einstellungen\*Benutzername*\Desktop\Sicherheit\HijackThis.exe

Zitat:

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

Das sieht mir nach einer Smitfraud-Variante aus.
Am besten schaust du erst mal diesen Thread, insbesondere Posting Nr. 4 durch. Tritt eine Besserung ein?
Wenn nein, poste ein neues HjT-Log, dann machen wir das auf einem anderen Weg.

Hallo Haui45,

alle diese Anleitungen aus Posting Nr. 4 habe ich bereits vor 1 oder 2 Tagen ausgeführt. Hat alles nichts genutzt. Bevor ich anderen die Zeit stehle, habe ich schon so ziemlich alles was im Internet an Bereinigungsmassnahmen zu finden ist durchgezogen. Ohne Erfolg. Müssen irgendwie andere Lösungsansätze gefunden werden.

Für heute lasse ich die Tasten aber nun in Ruhe.

Danke und noch einen angenehmen Abend.

Gruß
Ralf

Ok,

machen wir's halt so:

Deaktiviere die Systemwiederherstellung und starte den PC im abgesicherten Modus.

Fixe mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ww.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

Lösche manuell:
C:\WINDOWS\System32\msmsgs.exe

Scanne immer noch im abgesicherten Modus mit eScan und entferne die gefundene Malware manuell.

Neustart.

Windowsupdate durchführen!

Poste ein neues HjT-Logfile und die Virus-Log-Information von eScan. Problem gelöst?
Für den Fall, dass nicht, lassen wir uns was anderes einfallen.

Hallo,
wenn du das alles schon gemacht hast wäre es eigentlich ganz informativ wenn du die Logs von Escan, smitrem und nochmals HijackThis posten würdest (ist übrigens Teil der Anleitung im 4. Posting)


Grüße Wildone