Uhm ja... ich geb gleich zu, dass ich nicht so der Genie in Computersicherheit bin. Das mal so vorne weg. Normalerweise macht das mein Bruder für mich, den er hat das gelernt. Aber große Brüder sind eben nicht immer ansprechbar. Außerdem, sollte ich es ja langsam auch selbst können... oder lernen.

Ich hab HijackThis auf dem Rechner (auch dank meinem Bruder) und eben die üblichen Antivirenprogramme und Firewalls (AVAntivirenguarrd, Norton Personal Firewall, Spybot, XpAntispy, etc...).

Ich hab mir spaßeshalber mal rausgesucht, was die Kürzel im Taskmanager bedeuten, da es für einen Laien oft nicht ersichtlich ist, was diese bedeuten. Über google hab ich dann auf diversen Foren gelesen, dass die Prozesse Webrebates0.exe und Webrebates1.exe zu einem Trojaner gehören. Also hab ich HijackThis drüber laufen lassen. Er hat die Prozesse auch gefunden. Und diverse andere, die mir etwas seltsam vorkommen

Allerdings wurde es sich nicht besonders klar ausgedrückt, wie ich die vernünftig wieder loswerde. Und da ich meinen PC/Laptop nicht versauen möchte, weil ich irgendwas Unbedachtes mache, von dem ich keinen blassen Schimmer habe, dachte ich, dass ich lieber die Experten frage. Hier ist mein Hijackthis-log:


Logfile of HijackThis v1.97.7
Scan saved at 10:53:56, on 26.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\khooker.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\DesertRose\Eigene Dateien\HijackThis.exe
C:\Programme\Web_Rebates\WebRebates0.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC85462-BA86-4C1A-AC1E-71310ECFFCC4}: NameServer = 195.3.96.67,195.3.96.68

Hallo,

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

ich will deinem Bruder ja nicht zu nahe treten, aber es langt nicht aus, das System nur mit "Sicherheitssoftware" zu zupflastern. Die Grundvoraussetzung für ein sicheres System sind nun mal die Patches und dies solltest du dringendst nachholen.
Weitere Tipps die die Systemsicherheit erhöhen, findest du hier:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

Zur Entfernung:
Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx

Lade LSP-Fix und falls du nach der Bereinigung keine I-net Verbindung mehr herstellen kannst, dann repariere deine WinSocks damit.

Wechsle in den abgesicherten Modus:
Deinstalliere unter Software => New.net oder Newdotnet
Scanne mit Spybot 1.3 dein System

Fixe diese Einträge:
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

Lösche diese Dateien:
Ordner C:\Programme\Web_Rebates

Erstelle danach ein neues Log-File mit der neuen Version 1.98.2 von HJT und poste es.