Seit Tagen versuche ich mein PC (Win XP) zu bereinigen, ohne Erfolg. Ich habe verwendet:

Lavasoft Ad-Aware
Microsoft AntiSpyware
SpyBot S&D

Alle auf neuste Stand. Ich habe auch alle in "Safe Mode" durchgesucht und wieder gelöscht. Nach nächten neustart ist aber wieder alles da, wie zB:

- WebNexus (c:\WINDOWS\system32\poemy.dat)
- Avenue A. Inc. (Tracking cookie xy@atdmt.com)
- ErrorSafe (alle cookies @errorsafe.com, @de.errorsafe.com, @www.errorsafe.com)
- Pipas A (registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins

Ich bin ganz neu in Thema, habe einige Posts schon hier gelesen und zB HijackThis ausprobiert. Mein HijackThis log (mir sagt es überhaupt nichts):

Logfile of HijackThis v1.99.1
Scan saved at 16:33:00, on 27.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\DrvMon.exe
C:\WINDOWS\System32\svchost.exe
D:\Download\Apps\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: (no name) - {03EA00EE-92E9-28FD-51FE-2D70F805C856} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\System32\bbgnn.exe
F2 - REG:system.ini: UserInit=userinit.exe,lvnrxye.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hwiper.exe] C:\WINDOWS\System32\hwiper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: *.adgate.info
O15 - Trusted Zone: *.dollarrevenue.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.matcash.com
O15 - Trusted Zone: *.media-motor.com
O15 - Trusted Zone: *.mediatickets.net
O15 - Trusted Zone: *.snipernet.biz
O15 - Trusted Zone: *.snipernet.us
O15 - Trusted Zone: *.systemdoctor.com
O15 - Trusted Zone: *.winantivirus.com
O15 - Trusted Zone: *.adgate.info (HKLM)
O15 - Trusted Zone: *.dollarrevenue.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.matcash.com (HKLM)
O15 - Trusted Zone: *.media-motor.com (HKLM)
O15 - Trusted Zone: *.mediatickets.net (HKLM)
O15 - Trusted Zone: *.snipernet.biz (HKLM)
O15 - Trusted Zone: *.snipernet.us (HKLM)
O15 - Trusted Zone: *.systemdoctor.com (HKLM)
O15 - Trusted Zone: *.winantivirus.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://intranet.mobilkom.at/Citrix/ICAWEB/en/ica32/wficac.cab
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://baratfamily.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040427/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{04558321-2CA5-45BA-8EC6-6F894F43E9FA}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF2306F-EDB4-461A-B751-3ABD1CE42CE1}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA16533-B20C-4C5E-A352-0B903C4320D2}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B14C5B-DBF4-4AD2-8332-18B7A62EBE34}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{04558321-2CA5-45BA-8EC6-6F894F43E9FA}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{04558321-2CA5-45BA-8EC6-6F894F43E9FA}: NameServer = 69.50.168.139,85.255.112.20



Bitte um Hilfe. Was soll ich tun? Wo steckt sich der Prozess, der das immer wieder tut?

cumi

Hier ist Hopfen und Malz schon fast verloren, Du bewegst Dich mit einer ungepatchten Kiste im Internet:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Womöglich surfst Du noch mit dem IE.
Das Logfile sieht mir auch nicht ganz vollständig aus.

Du hast unter anderem den hier im System:

O4 - HKLM\..\Run: [hwiper.exe] C:\WINDOWS\System32\hwiper.exe

Trojan/Backdoor Trojan.Win32.Qhost.df.

Also bitte System neu aufsetzen.

@Cosinus - vollständig genug, um zu sehen, dass er ernsthafte Probleme hat.

@cosinus

Zitat:

Hier ist Hopfen und Malz schon fast verloren

Full-Ack

@cumi

deine ISP sitzt irgendwo in den USA, kann man auch schön zurückverfolgen:

Zitat:

IP:69.50.168.139

Scanne dein System mal mit F-Secure Blacklight, und poste anschliessend den Report!

Dann kannst du dir schonmal langsam folgenden Link "zur Brust" nehmen -> http://www.trojaner-board.de/showthread.php?t=12154

Sorry,
Daniel

Zitat:

Zitat von Darthshoot

@Cosinus - vollständig genug, um zu sehen, dass er ernsthafte Probleme hat.

Ja, das stimmt. Mir ist in erster Linie das niedrige Patchlevel aufgefallen. Und hier sind noch mehr Gründe fürs Neuaufsetzen:

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\System32\bbgnn.exe
F2 - REG:system.ini: UserInit=userinit.exe,lvnrxye.exe

Das sieht wirklich nicht ganz koscher aus.

Danke für eure Vorschläge. Ich werde mit [Gc]Sunnys Vorschlag anfangen und den IE Upgraden (microsoft.com).

Hilft wirklich nur ein Neu-Install von ganzen Win XP? Brrr... Darauf hätte ich jetzt wirklich kein Lust...

Zitat:

Zitat von cumi

Danke für eure Vorschläge. Ich werde mit [Gc]Sunnys Vorschlag anfangen und den IE Upgraden (microsoft.com).

Hilft wirklich nur ein Neu-Install von ganzen Win XP? Brrr... Darauf hätte ich jetzt wirklich kein Lust...

Wer spricht denn hier von IE upgraden?
Patches/Updates einspielen sind wirklich wichtig, machen aber auf diesem jetzigen verseuchten System keinen Sinn mehr.
Glaub mir, diese Schädlinge wirst Du sicher nur mit einem Formatieren und Neuaufsetzen von Windows los. Schau mal in meine Signatur zum Neuaufsetzen.

cosinus, OK, ich werde mein C (nur) installieren.

Wie kann ich sowas im Zukunft vermeiden? Was habe ich falsch gemacht?

F-Secure BlackLight lässt sich nicht starten... Es fehlen ihm die Privilegien...

"Your computer settings may prevent acquiring these privileges"
"A malicius program might have disabled these privileges."

Zitat:

Zitat von [Gc]Sunny

deine ISP sitzt irgendwo in den USA, kann man auch schön zurückverfolgen:

Das kann nicht sein. Ich sitze in Ö, chello.at...

Zitat:

Zitat von cumi

cosinus, OK, ich werde mein C (nur) installieren.

Wie kann ich sowas im Zukunft vermeiden? Was habe ich falsch gemacht?

C, also Deine Systempartition, solltest Du vorher auch formatieren. Eine bebilderte Anleitung findest Du hier.
Schädlinsbefall kannst Du mit einem umfassenden Sicherheitskonzept vermeiden. Virenscanner dienen nur als Unterstützung und sind keine Fundamentbestandteile.

Zitat:

Zitat von cumi

F-Secure BlackLight lässt sich nicht starten... Es fehlen ihm die Privilegien...

"Your computer settings may prevent acquiring these privileges"
"A malicius program might have disabled these privileges."

Ist jetzt auch nicht mehr nötig, da Dein System ja verseucht ist und keine weiteren Beweise dafür notwendig sind.
Was Sunny mit dem Provider meinte ist eigentlich recht einfach: Der bei Dir aktive Schädlinge hat Ip-Adressen bei Dir verbogen, die fortan bei Dir als Nameserver benutzt werden sollen.
Wird alles nach dem Neuaufsetzen behoben sein.

Du kannst sowas vermeiden, indem du dir einen Virenscanner holst, der auch gepacktes scannt. Und wirklich gut ist. Ich empfehle dir Avira: AntiVir PersonalEdition Premium. Kostet zwar ein ganz kleines bisschen Geld, aber er ist sehr zuverlässig. Dann solltest du noch keine E-Mails öffnen, die dir komisch vorkommen und erst recht nichts ausführen, dass von dubiosen Seiten gesaugt wurde. (Es sei denn, du kannst 100 % sicher sein, dass es clean ist.) Dann noch immer mal wieder das ganze System scannen. Ports checken.. das geht, indem du in eine bla.bat das hier reinschreibst:

@echo off
netstat -a
pause

Und suchst dann nach verdächtigen Ports. Um immer auf der sicheren Seite zu sein, was aktive Prozesse angeht, empfehle ich dir CCTASK.EXE, da es Prozesse gibt, die sich vorm Windows Taskmanager verstecken. (Google nach CCTASK.EXE.)

Und wenn du doch mal was drauf haben solltest, was nicht gerade ein Backdoor ist, oder Funktionalität zum Backdoor besitzt, dann verwende das Tool in meiner Signatur.

So solltest du auf der Sicheren Seite sein. Ich persönlich halte ehrlich gesagt nichts von Firewalls. Aber darüber lässt sich streiten. Deswegen bin ich aber bestimmt nicht hier...

Ich hoffe ich konnte dir helfen.

Zitat:

Zitat von Darthshoot

Du kannst sowas vermeiden, indem du dir einen Virenscanner holst, der auch gepacktes scannt. Und wirklich gut ist. Ich empfehle dir Avira: AntiVir PersonalEdition Premium.

Scherzkeks. Gerade Antivir als On-Access-Scanner scannt eben keine gepackten Dateien (bzw. entpackt sie nicht zum Scannen).
Nur der On-Demand-Scanner von Avira scannt innerhalb von gepackten Dateien!

Zitat:

Zitat von Darthshoot

und erst recht nichts ausführen, dass von dubiosen Seiten gesaugt wurde.

Man saugt PRINZIPIELL NIEMALS von dubiosen Seiten!

Vielen Dank Leute!

Ich habe bisher immer aufgepasst, aber offensichtlich nicht genug. Ich lese emails nur in Firma, starte unbekannte exe oder ähnliches (so blöd bin ich doch nicht, ich bin selber Informaitker...), klicke nie auf OK wenn irgendwelche "do-you-want-me-to-install" Fenster kommt... Ich habe warscheinlich was über Explorer geholt, ich habe vor ein paar Tagen in russischen Underground gesurft (gesucht nach serial). Manchmal lade ich über eDonkey irgendwelche kleine spezielle Programchens aber verwende fast nur opensource (Gimp, OpenOffice, etc)....

Grüsse
cumi