HI, ich hab da mal eine Frage.
Also uch habe mir vor einer Woche den eDonkey Hybriden installiert.(was die neuste vers.) Ich schätze mal dass ich während der Installation ein paar häckhen nicht entfernt habe und mein Rechner mit Spyware verseucht wurde.
Ich habe dann alles mit Ad-Aware entfernt. Aber seitdem erscheint bei mir (immer wenn ich den Rechner hochfahre) oder danach ein Reg.Schlüssel der von Ad-Aware erkannt und entfernt wird. Er kommt aber immer wieder.
Er heißt Topmoxie. Und kommt von: software\Microsoft\Internet explorer\MenuExt\WebRabates.
Und in meinem Tast Manager läuft ein Prozess WebRabates1.exe und WebRabates0.exe
Und die Firewall fragt mich ob Topmoxie ins Internet darf...
Was soll ich machen? Ist das schädlich?Mal mit Spybot den Rechner scannen?
PS. Habs mal in die Plauderecke gepackt, weil ich net wusste wohin damit.

Jo, fang mal mit Spybot an. Danach postest du bitte hier ein Logfile von HijackThis( http://www.majorgeeks.com/download.php?det=3155 ). ACHTUNG-noch nichts mit HijackThis fixen denn dort werden auch wichtige Einträge angezeigt, bitte nur das Log posten.

hyrican

Hier ist der Log:
Logfile of HijackThis v1.98.0
Scan saved at 06:49:34, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0900warner\w0svc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Alex.MEIN-PC\Eigene Dateien\Eigene Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=9767
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Seagate Firewall] C:\\Programme\\Sygate\\SPF\\Smc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4984BD42-7B38-40B1-89BB-55A0F80A9AAB}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{4984BD42-7B38-40B1-89BB-55A0F80A9AAB}: NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL

Und ähmm... diese Prozesse diese WebRabates habe ich vorher manuel mit dem Taskmaneger beendet... Werde dann gleich Spybot runterladen und scannen.

Das kannst du alles fixen:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.traffer.ru 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) 
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Bei Spybot das updaten nicht vergessen.
Hier noch ne Info zu WebRebates: http://www.pestpatrol.com/PestInfo/t/toprebates.asp

hyrican

OK, habe die Sachen gefixt. Und Spybot hat nochmal 18 Objekte gefunden... (mit den neusten updates) wobei Ad-Aware nur 1 fand!!! Haja hoffe dass das Problem gelöst ist.
Danke für die Hilfe.

in der sendung, die ich hier schon einmal beschrieben habe (http://www.mp3-world.net/forum/viewt...14882&start=15), sagten die moderatoren, dass meistens die dateien "unnötig" (also zu fixen) sind, die solche langen nummer davor stehen haben.

meine frage ist nun, wie kann ich erkennen welche ich fixen dürfte. d.h. wie erkenn ich, welche "unnötig" sind.

??? Du redest vom HijackThis-Log? Welche langen Nummern? Man muß sich immer den kompletten Eintrag ansehen, einfach nur fixen weil da ne lange Nummer steht ist absoluter Blödsinn. Du kannst aber dein HijackThis-Log hier: http://www.hijackthis.de/ automatisch auswerten lassen, ist gar nicht schlecht.

hyrican

Zitat:

??? Du redest vom HijackThis-Log?

ja!

Zitat:

Welche langen Nummern?

hat sich ja dann erledigt! s.o

Zitat:

hier: http://www.hijackthis.de/ automatisch auswerten lassen

genau so etwas habe ich gesucht!

danke