Hi Leute,
hab mir diese blöde Spyware Webrebates eingefangen und sie dann manuell gelöscht (d.h. ich hab einfach die laufenden prozesse namens webrebates0.exe und webrebates1.exe per task manager beendet und den webrebates-folder dann manuell rausgelöscht)

jetzt hab ich aber folgendes problem:
anscheindend dürfte sich dieses programm irgendwo im startup reingeschrieben haben, denn sobald ich windows starte, kommt bei mir nur ein weißer bildschirmhintergrund (nicht mein normales hintergrundbild) mit folgender quelle: file://C:\WINNT\Web\desktop.html
diesen ordner habe ich gelöscht -> weißer hintergrund
die symbole am desktop sind noch vorhanden
außerdem läuft das system sehr langsam und instabil seitdem

wie bekomme ich das wieder weg? ich hab schon adaware, spybot und adware away durchlaufen lassen -> nichts genutzt.

vielleicht kann mir wer von euch helfen...

mfg
Bernd

mein system: windows 2000 professional

Hallo,

Wende Adware Away an und erstelle danach mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hallo Bernd,

Hatte das gleicher Problem, das Programm an sich ließ sich aber normal über die Systemsteuerung entfernen.

War dann bei mir auch wirklich weg.

Gruß moritzheinz

Hallo zusammen,

habe mittlerweile das gleiche Problem.
Konnte das Programm zwar mit Hilfe von Ad-Aware und Adware Away entfernen, taucht aber nach zwei Tagen automatisch wieder auf.

Beim herunterfahren kommt dann aber eine Meldung über den phyikalischen Speicher und der PC fertigt ein Speicherabbild!!!

Da ich kein Fachmann bin stehe ich nun vor einem Rätsel.

Wer hat evtl. eine Lösung für mich???

Danke im Voraus!!

@wutentbrannt

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Hi, hier das aktuelle log!
P.S. Habe vorhin aber Ad-Aware und Adware-Away drüber laufen lassen!



Logfile of HijackThis v1.97.7
Scan saved at 18:18:41, on 19.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\System32\RunDll32.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
F:\a2\a2guard.exe
F:\Programme\BTTray.exe
F:\Programme\bin\btwdins.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\slserv.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Eigene Datein\Virensoftware\CWShredder.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.web.de
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Olympic] c:\programmi\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winnrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [a²] "F:\a2\a2guard.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {064B603C-FA61-3E77-44E9-5C7D6BC0345F} - http://63.219.178.91/1/rdgDE1342.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c337c1b770adf2
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093018372705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...094.2616203704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Doppelposting mit http://www.trojaner-board.de/showthread.php?t=8602 und in dem Tread gehts auch weiter