Tidserv Request 2 > svchost.exe, firefox.exe
 

Guten Tag!

Habe ein größeres Problem.

Noton schlägt immer wieder an und sagt mir, dass ein Angriff auf meinen Computer blockiert wurde.

Die Angriffe gehen jeweils von
-svchost.exe
-firefox.exe
aus und öffnen immer wider neue Tabs zu Seiten mit komischen Adressen.

Malewarebyte, Antivir und Norton schlagen bei einem PC Scan nicht an.

Was soll ich machen?
Firefox lässt sich leicht neu instalieren, aber wo bekomme ich eine passende svchost Datei her, die auf mein System abgestimmt ist?

Vielleich könnt ihr mir helfen und sagen, wie ich reagieren sollte.

Braucht ihr noch mehr Details, dann gebe ich sie auch gern.

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Danke für die Tipps.

Wie kann ich die Logfiles hochladen?
Für den Anhang sind sie zu groß und als Text schreiben überschreitet die Ladezeiten dieser Seite.

Ich hoffe, ihr könnt mir helfen.

PS: Vielleicht relevant: Ich werde häufig auf eine Seite mit dem Namen "directrdr" weitergeleitet. Diese Adresse scheint bekannt zu sein.
Vielleicht hilt das ja auch etwas weiter.

Du kannst alle Logfile zippen und zB bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.

Here you are!

www.file-upload.net/download-2451983/Logs.zip.html

Habe die Zahl meiner Antivirenprogramme jett auf 5 aufgestockt.

Vielleicht finden Blacklight und Trojan Remover ja noch was :D

Leider hat auch Trojan Remover nichts nennenswertes gefunden.

Habe auch mal "DDS" scannen lassen.

Malewarebytes Quick Scan hat heute auch wieder nichts gefunden.

Noton auch nicht.

Antivir habe ich noch nich drüberlaufen lassen. Vielleicht heute Nacht.


Braucht ihr noch mehr, oder neue Logs?
Kein Problem, nur ich möchte endlich wieder in Ruhe schlafen können (und dieses schrecklich Leistungfessende Noton deinstallieren)

Danke!

So, fast hätte ich Deinen Strang übersehen :headbang:
Aber nun schau ich mir die Logs an.

Wasndas für ein Teil?

Hatte leider das Passwort für "Dragoon Naturally Speaking" verlegt.
Deshalb habe ich dieses Programm zur Hilfe gezogen.

Gefährlich?

Konntest du aus den Logs noch weiteres Lesen, oder soll ich noch andere Programme drüberlaufen lassen?

Was für ein Passwort? Sach nicht das Teil ist ein Keygen! :pfui:

Ok. Ich kann verstehen, dass du mir nicht glaubst.

Nur ist das Passwort dieses Programms (Dragon Naturally Speaking > Diktierprogramm) auf einer CD Hülle gewesen, die ich sehr gut verlegt habe, wenn nicht sogar weggeworfen.

Nein, dass Programm ist kein Keygen, sondern sicht nach Passwörtern, was in meinem Fall legal ist.

PS: Kurze Zwischenmeldung:
Mein PC kam eben beinahe zum erleigen. Nichts ging mehr. Musste den Reset Knopf drücken.
Eben (Nach Neustart) wurde wider ein Angriff geblockt. > Svchost

Im Taskmanager 12x Svchost.

Sollte ich den PC über Nacht anlassen und Malewarebytes mal drüberlaufen lassen?
Hast du eine Ahnung, mit was ich befallen bin?

Nagut, ich will Dir auch nichts unterstellen, aber normalerweise wenn ich Keygens und/oder Cracks sehe, gibt nur noch den Hinweis auf format c: ;)

Mach nochmal ein Log mit CF, das Teil nimmt uns Arbeit ab:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe ComboFix mal laufen lassen.

Er hat mir gesaagt, dass ein auf dem PC ein Virus sei und der PC neu gestartet werden müsse.

Habe ich gemacht, aber nach dem Start war nur ComboFix auf, der Hintergrund schwarz.
Ich war so blöd und habe den Explorer von Hand gestartet.
Entgegen der Empfehlung.

Es ist zwar nix passiert und CF ist weitergelaufen, aber ich hoffe, dass der Scan richtig durchgefuhr wurde.

Oh. Hier der Log! hxxp://www.file-upload.net/download-2456631/log-combofix.rar.html

Kannst du daraus etwas wichtiges entnehmen?

Danke!

Melde mich nach anger Zeit mal wieder zurück!

Habe mir inzwischen die Norton Internet Security Vollversion gekauft, die die Angriffe bisher recht zuverlässig geblockt hat.

Nur taucht immoment wieder das Problem auf, dass ich (Neuerding auch in Opera) auf eine Directrdr.com oder andere Seiten Weitergeleitet werde, die aber nie einen Inhalt haben.
Anscheinend kommt Norton nicht nach, oder es merkt diese Angriffe nicht.

Habe mir die Adresse des letzten Angriffs mal aufgeschrieben.
[CODE]hxxp://www.directrdr.com/v3.php?pid=320&cid=1911&crid=667&t=0(0)&cc=276&said=0&params=6fb49e61d38ba871fe578ac6af8a945af217779d-u4.wU4.wuf.w4w%09f.ffwfff%097cKqLvIaL%09ws44SkSSfU%09pTc&pc=0-1911&vurl=http%3A%2F%2Fgoogleads.g.doubleclick.net%2Fpagead%2Fads%3Fclient%3Dca-pub-8680893262071315%26output%3Dhtml%26h%3D60%26slotname%3D6512391699%26w%3D468%26lmt%3D0%26ea%3D0%26flash%3D10.0.42%26url%3Dhttp%3A%2F%2Fwww.dslr-forum.de%2F%26dt%3D1277545505484%26shv%3Dr20100616%26correlator%3D1277545505485%26frm%3D0%26adk%3D1491544556%26ga_vid%3D654164352.1277545505%26ga_sid% 3D1277545505%26ga_hid%3D1644083640%26ga_fc%3D0%26u_tz%3D120%26u_his%3D0%26u_java%3D1%26u_h%3D900%26u_w%3D1440%26u_ah%3D860%26u_aw%3D1440%26u_cd%3D32%2 6u_nplug%3D17%26u_nmime%3D291%26biw%3D1423%26bih%3D777%26fu%3D0%26ifi%3D1%26dtd%3D79&mm=51[/
CODE]

Außerdem findet "Super Anti Spyware" immer wieder bis zu 20 Tracking-Cookies, von denen aber auch nach dem Löschen spätestens nach dem Neustart wieder 5 oder 6 vorhanden sind.

Meine Frage.
Liegt es an den Tracking Cookies?
Wenn Ja: Kann man diese nicht einfach immer blockieren?
Also immer wenn diese Datei versucht wird zu installieren, sie einfach automatisch gelöscht wird?

Ich hoffe, mir kann geholfen werden!

Sry dass ich Dein CF-Log nicht ausgewertet habe, aber manchmal gehen Stränge unter :(

Oh nein bitte nicht!! Warum fragst Du nicht vorher nach, bevor Du Geld für ein weitgehend wirkungsloses Tool ausgibst??
Gerade diese kommerziellen Securitry-Geschichten machen mit irgendwelchen Sinnlosmeldungen stark auf sich aufmerksam und melden dauernd "gefährliche Angriffe", damit der Nutzer denkt, er hätte sein Geld gut angelegt.

Warum Personal Firewall und SecuritySuites wenig bis garnichts taugen kannst Du hier lesen:

=> c't - Vertrauensbrecher
=> microsoft.public.de.security.heimanwender FAQ


Da Du zuletzt Scans vpr über zwei Monaten gemacht hast würde ich vorschlagen, Du machst noch mal ein Updates mit malwarebytes und startest wieder einen Vollscan.