WebRebates/TopRebates

doggy · 10.02.2006, 00:58

hallo
ich brauch auch hilfe ich habe im task manager auch Webrebates.exe kann nicht beenden und mein pc ist auch voll langsam geworden seit dahin kann mir bitte jemand helfen hilfe h

Anm.
----------------------
Beachte den Beitrag von dartus und lass zukünftig die alten Threads in Frieden ruhen!
Beitrag in ein neues Thema verschoben!

Gruß Cidre
Admin TB

dartus · 10.02.2006, 01:10

Hallo doggy,

erstelle ein neues Thema mit einer konkreten Problembeschreibung und poste bitte ein Hijackthis-Logfile.
Editiere bitte sämtliche Links und ev. Persönliche Daten.

dartus

doggy · 10.02.2006, 09:17

Logfile of HijackThis v1.99.1
Scan saved at 09:16:56, on 10.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Winlite.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\MSI TV\WinScheduler.exe
C:\Programme\LIUtilities\WinTasks\wintasks.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\D_DOGGY\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400134&utm_content=leftnav&utm_source=&utm_medium=&utm_campaign=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.glock-industrie.de/gi/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400134&utm_content=leftnav&utm_source=&utm_medium=&utm_campaign=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O1 - Hosts: 65.19.154.99 www.halifax-online.co.uk
O1 - Hosts: 65.19.154.99 ibank.barclays.co.uk
O1 - Hosts: 65.19.154.99 online.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 online-business.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.19.154.99 banesnet.banesto.es
O1 - Hosts: 65.19.154.99 extranet.banesto.es
O1 - Hosts: 65.19.154.99 ebanking.bccbrescia.it
O1 - Hosts: 65.19.154.99 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 65.19.154.99 oi.cajamadrid.es
O1 - Hosts: 65.19.154.99 bancae.caixapenedes.com
O1 - Hosts: 65.19.154.99 banking.postbank.de
O1 - Hosts: 65.19.154.99 meine.deutsche-bank.de
O1 - Hosts: 65.19.154.99 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 65.19.154.99 ibank.cahoot.com
O1 - Hosts: 65.19.154.99 webbank.openplan.co.uk
O1 - Hosts: 65.19.154.99 bancopostaonline.poste.it
O1 - Hosts: 65.19.154.99 mybank.bybank.it
O1 - Hosts: 65.19.154.99 ibank.internationalbanking.barclays.com
O1 - Hosts: 65.19.154.99 welcome7.co-operativebank.co.uk
O1 - Hosts: 65.19.154.99 welcome11.co-operativebankonline.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [Windows TM] Winlite.exe
O4 - HKLM\..\RunServices: [Windows TM] Winlite.exe
O4 - HKLM\..\RunOnce: [Windows TM] Winlite.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows TM] Winlite.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [VoipStunt] "C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [PasswordManagerXP] "C:\Programme\Password Manager XP\PwdManager.exe"C:\Programme\Password Manager XP\PwdManager.dll,
O4 - HKCU\..\RunOnce: [Windows TM] Winlite.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\MSI TV\WinScheduler.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Fill form using Password Manager XP - C:\Programme\Password Manager XP\InsPwd.htm
O8 - Extra context menu item: Generate password using Password Manager XP - C:\Programme\Password Manager XP\GenPwd.htm
O8 - Extra context menu item: Save form data to Password Manager XP - C:\Programme\Password Manager XP\SavePwd.htm
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe
O9 - Extra button: Password Manager XP - {7379d689-cc96-451d-b46e-6bbe4ca6b02d} - C:\Programme\Password Manager XP\PwdManager.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A405875-C4C3-47DB-9847-B3E65DCE7876}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

stupormundi · 10.02.2006, 09:24

Servus!

Bei der Liste von Einträgen in Deiner hosts-Datei und diesem Prozess

Zitat:

C:\WINDOWS\System32\Winlite.exe

(<-- gehört zu diesem Backdoor)
gibt es nur eine einzige sinnvolle Maßnahme, nämlich Dein System umgehend vom Netz zu nehmen und neu Aufzusetzen (am besten nach dieser Anleitung von Cidre)

stupormundi

doggy · 12.02.2006, 01:34

was heist das muss ich jetzt mein festplatte formatieren??????

stupormundi · 13.02.2006, 06:55

Ja - weil das die einzige sinnvolle Maßnahme ist - schau Dir dazu Cidres link ganz genau durch, dann siehst Du es ein!

stupormundi

WebRebates/TopRebates

Log-Analyse und Auswertung: WebRebates/TopRebates