Seit Tagen versuche ich mein PC (Win XP) zu bereinigen, ohne Erfolg. Ich habe verwendet:

Lavasoft Ad-Aware
Microsoft AntiSpyware
SpyBot S&D

Alle auf neuste Stand. Ich habe auch alle in "Safe Mode" durchgesucht und wieder gelöscht. Nach nächten neustart ist aber wieder alles da, wie zB:

- WebNexus (c:\WINDOWS\system32\poemy.dat)
- Avenue A. Inc. (Tracking cookie xy@atdmt.com)
- ErrorSafe (alle cookies @errorsafe.com, @de.errorsafe.com, @www.errorsafe.com)
- Pipas A (registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins

Ich bin ganz neu in Thema, habe einige Posts schon hier gelesen und zB HijackThis ausprobiert. Mein HijackThis log (mir sagt es überhaupt nichts):

Logfile of HijackThis v1.99.1
Scan saved at 16:33:00, on 27.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\DrvMon.exe
C:\WINDOWS\System32\svchost.exe
D:\Download\Apps\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: (no name) - {03EA00EE-92E9-28FD-51FE-2D70F805C856} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\System32\bbgnn.exe
F2 - REG:system.ini: UserInit=userinit.exe,lvnrxye.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hwiper.exe] C:\WINDOWS\System32\hwiper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: *.adgate.info
O15 - Trusted Zone: *.dollarrevenue.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.matcash.com
O15 - Trusted Zone: *.media-motor.com
O15 - Trusted Zone: *.mediatickets.net
O15 - Trusted Zone: *.snipernet.biz
O15 - Trusted Zone: *.snipernet.us
O15 - Trusted Zone: *.systemdoctor.com
O15 - Trusted Zone: *.winantivirus.com
O15 - Trusted Zone: *.adgate.info (HKLM)
O15 - Trusted Zone: *.dollarrevenue.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.matcash.com (HKLM)
O15 - Trusted Zone: *.media-motor.com (HKLM)
O15 - Trusted Zone: *.mediatickets.net (HKLM)
O15 - Trusted Zone: *.snipernet.biz (HKLM)
O15 - Trusted Zone: *.snipernet.us (HKLM)
O15 - Trusted Zone: *.systemdoctor.com (HKLM)
O15 - Trusted Zone: *.winantivirus.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://intranet.mobilkom.at/Citrix/ICAWEB/en/ica32/wficac.cab
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://baratfamily.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040427/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{04558321-2CA5-45BA-8EC6-6F894F43E9FA}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF2306F-EDB4-461A-B751-3ABD1CE42CE1}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA16533-B20C-4C5E-A352-0B903C4320D2}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B14C5B-DBF4-4AD2-8332-18B7A62EBE34}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{04558321-2CA5-45BA-8EC6-6F894F43E9FA}: NameServer = 69.50.168.139,85.255.112.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{04558321-2CA5-45BA-8EC6-6F894F43E9FA}: NameServer = 69.50.168.139,85.255.112.20



Bitte um Hilfe. Was soll ich tun? Wo steckt sich der Prozess, der das immer wieder tut?

cumi

Hier ist Hopfen und Malz schon fast verloren, Du bewegst Dich mit einer ungepatchten Kiste im Internet:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Womöglich surfst Du noch mit dem IE.
Das Logfile sieht mir auch nicht ganz vollständig aus.

@cosinus

Zitat:

Hier ist Hopfen und Malz schon fast verloren

Full-Ack

@cumi

deine ISP sitzt irgendwo in den USA, kann man auch schön zurückverfolgen:

Zitat:

IP:69.50.168.139

Scanne dein System mal mit F-Secure Blacklight, und poste anschliessend den Report!

Dann kannst du dir schonmal langsam folgenden Link "zur Brust" nehmen -> http://www.trojaner-board.de/showthread.php?t=12154

Sorry,
Daniel

Zitat:

Zitat von [Gc]Sunny

deine ISP sitzt irgendwo in den USA, kann man auch schön zurückverfolgen:

Das kann nicht sein. Ich sitze in Ö, chello.at...

Du hast unter anderem den hier im System:

O4 - HKLM\..\Run: [hwiper.exe] C:\WINDOWS\System32\hwiper.exe

Trojan/Backdoor Trojan.Win32.Qhost.df.

Also bitte System neu aufsetzen.

@Cosinus - vollständig genug, um zu sehen, dass er ernsthafte Probleme hat.

Zitat:

Zitat von Darthshoot

@Cosinus - vollständig genug, um zu sehen, dass er ernsthafte Probleme hat.

Ja, das stimmt. Mir ist in erster Linie das niedrige Patchlevel aufgefallen. Und hier sind noch mehr Gründe fürs Neuaufsetzen:

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\System32\bbgnn.exe
F2 - REG:system.ini: UserInit=userinit.exe,lvnrxye.exe

Das sieht wirklich nicht ganz koscher aus.

Danke für eure Vorschläge. Ich werde mit [Gc]Sunnys Vorschlag anfangen und den IE Upgraden (microsoft.com).

Hilft wirklich nur ein Neu-Install von ganzen Win XP? Brrr... Darauf hätte ich jetzt wirklich kein Lust...

Zitat:

Zitat von cumi

Danke für eure Vorschläge. Ich werde mit [Gc]Sunnys Vorschlag anfangen und den IE Upgraden (microsoft.com).

Hilft wirklich nur ein Neu-Install von ganzen Win XP? Brrr... Darauf hätte ich jetzt wirklich kein Lust...

Wer spricht denn hier von IE upgraden?
Patches/Updates einspielen sind wirklich wichtig, machen aber auf diesem jetzigen verseuchten System keinen Sinn mehr.
Glaub mir, diese Schädlinge wirst Du sicher nur mit einem Formatieren und Neuaufsetzen von Windows los. Schau mal in meine Signatur zum Neuaufsetzen.

cosinus, OK, ich werde mein C (nur) installieren.

Wie kann ich sowas im Zukunft vermeiden? Was habe ich falsch gemacht?