Trojaner-Board - Werde laufend mit Software-Müll "bedient"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Werde laufend mit Software-Müll "bedient" - Bitte Abhilfe! (https://www.trojaner-board.de/7695-laufend-software-muell-bedient-bitte-abhilfe.html)

Werde laufend mit Software-Müll "bedient" - Bitte Abhilfe!

Hallo!
Ich kann mir einfach nicht mehr helfen! Ständig installiert sich unterm Surfen im Internet irgendein Programmmüll (istbar, Powersearch, diverse andere Searchbars, usw...), den ich nicht will... Teilweise startet die Installation schon wenn ich "sichere" Seiten wie z.B. web.de oder ebay.de besuche...!
Ich habe mich in diesem Forum angemeldet, da ich hoffe endlich mal Abhilfe zu bekommen. Ich nutze Ad-Aware und HijackThis auf meinem Windows XP SP1 System, bin mir aber dennoch nicht sicher, ob mein System noch vertrauenswürdig ist.
Hier mein HijackThis Log:
Logfile of HijackThis v1.98.2
Scan saved at 11:46:12, on 20.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\Programme\Ad-aware 6\Ad-aware.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\F Nutzer\Tommi\HijackThis.exe
C:\WINDOWS\System32\vpc32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Alarm] vsmon.exe
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [Zone Alarm] vsmon.exe
O4 - Startup: Ad-watch starten.lnk = C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: DSLMON.lnk = ?
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...b45c5e97cf77e6
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095613901573
O17 - HKLM\System\CCS\Services\Tcpip\..\{889606ED-6DD6-4785-81B6-FF2F95F97E4F}: NameServer = 217.237.151.97 217.237.150.33

Und hier der letzte Programmmüll, der sich installierte (Ad-Aware Bericht):

Ad-watch Ereignislog, exportiert am 20.09.2004
Ereignisse insgesamt:2
===============================================
20.09.2004 11:45:05 - Registrierungsmodifikation entdeckt.
Root:HKEY_LOCAL_MACHINE
Schlüssel:Software\Microsoft\Windows\CurrentVersion\Run
Wert:Microsoft Update
Daten:
Neue Daten:vpc32.exe

Versuch den Autostart-Bereich zu modifizieren (Blockiert)

===============================================
20.09.2004 11:45:12 - Registrierungsmodifikation entdeckt.
Root:HKEY_LOCAL_MACHINE
Schlüssel:Software\Microsoft\Windows\CurrentVersion\RunServices
Wert:Microsoft Update
Daten:
Neue Daten:vpc32.exe

Versuch den Autostart-Bereich zu modifizieren (Blockiert)

Ich bitte um Hilfe!!!
Ich danke im Vorraus!! Ciao

Nein, dein System ist wohl nicht mehr vertrauenswürdig, da offensichtlich dieser Schädling mit Backdoorfunktionalität bei dir aktiv war/ist:

http://www.symantec.com.br/avcenter/...pybot.cym.html

Willst du ein definitv sauberes System, solltest du einen klaren Schnitt machen:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Ansonsten:

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Prozess mit Taskmanager beenden:

C:\WINDOWS\System32\vpc32.exe

Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

C:\WINDOWS\System32\vpc32.exe
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...2b45c5e97cf77e6

Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Danke MountainKing! Etwas ähnliches hinsichtlich der vertrauenswürdigkeit habe ich schon verdächtigt... Nun ist alles klar... werde deine Tipps umsetzen!
Danke für dein Engagement! :party: