wer schreibt 'bestweblinks' in die registry ??
 

Hallo zusammen,
bin mittlerweile mit meinem Latein am Ende. Habe diese Einträge w*w.bestweblinks... in meiner registry. Sämtliche Anleitungen aus den Trojaner-Boards habe ich bereits durchgeführt. Aber nach dem Neustart sind die Einträge wieder da. Sie lassen sich zwar mit Hijackthis löschen doch entscheidender wäre es den Erzeuger dieser Einträge zu eliminieren.

Wer kann mir helfen ?

Vielen Dank im voraus.

Gruß Ralf

Hallo,

editiere bitte obigen Links (w*w.bestweblinks) damit er nicht mehr anklickbar ist.
Poste dann bitte ein HijackThis-Logfile und wir werden sehen, was zu machen ist.

Hallo Haui45,

erstmal vielen Dank dass Du Dich überhaupt um diese Sache kümmern willst.
Finde ich absolut nicht selbstverständlich.

Und hier das von Dir gewünschte Hijackthis-Log-File:
Logfile of HijackThis v1.99.1
Scan saved at 20:49:03, on 18.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Personal Security Service\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RagTime Privat\Konni\KonniSymbol.exe
C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\Personal Security Service\Common\FSMA32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Personal Security Service\Common\FSMB32.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Personal Security Service\Common\FCH32.EXE
C:\Programme\Personal Security Service\Common\FAMEH32.EXE
C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Benutzername\Desktop\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Konni Symbol Autostart] "C:\Programme\RagTime Privat\Konni\KonniSymbol.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123691481734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123692877062
O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Nochmals danke.
Gruß Ralf

Bitte editiere zuerst deinen Namen
Das sieht mir nach einer Smitfraud-Variante aus.
Am besten schaust du erst mal diesen Thread, insbesondere Posting Nr. 4 durch. Tritt eine Besserung ein?
Wenn nein, poste ein neues HjT-Log, dann machen wir das auf einem anderen Weg.

Hallo Haui45,

alle diese Anleitungen aus Posting Nr. 4 habe ich bereits vor 1 oder 2 Tagen ausgeführt. Hat alles nichts genutzt. Bevor ich anderen die Zeit stehle, habe ich schon so ziemlich alles was im Internet an Bereinigungsmassnahmen zu finden ist durchgezogen. Ohne Erfolg. Müssen irgendwie andere Lösungsansätze gefunden werden.

Für heute lasse ich die Tasten aber nun in Ruhe.

Danke und noch einen angenehmen Abend.

Gruß
Ralf

Ok,

machen wir's halt so:

Deaktiviere die Systemwiederherstellung und starte den PC im abgesicherten Modus.

Fixe mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ww.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

Lösche manuell:
C:\WINDOWS\System32\msmsgs.exe

Scanne immer noch im abgesicherten Modus mit eScan und entferne die gefundene Malware manuell.

Neustart.

Windowsupdate durchführen!

Poste ein neues HjT-Logfile und die Virus-Log-Information von eScan. Problem gelöst?
Für den Fall, dass nicht, lassen wir uns was anderes einfallen. ;)

Hallo,
wenn du das alles schon gemacht hast wäre es eigentlich ganz informativ wenn du die Logs von Escan, smitrem und nochmals HijackThis posten würdest (ist übrigens Teil der Anleitung im 4. Posting)


Grüße Wildone

Hallo,

also, im abgesicherten Modus und mit deaktivierter Systemwiederherstellung habe ich folgendes gemacht:

- die von Haui45 aufgeführten Einträge (bestwebslinks etc.) mit Hijackthis gefixt
- C:\Windows\System32\msmsgs.exe war bereits durch HJT gelöscht
- eScan durchgeführt mit folgendem Ergebnis:

[msvLclnt.dll] [0x00000444] 19/08/2005 18:25:22:515 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x00000444] 19/08/2005 18:25:22:531 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000444] 19/08/2005 18:25:25:859 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000444] 19/08/2005 18:25:25:859 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000444] 19/08/2005 18:25:25:859 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000444] 19/08/2005 18:25:25:859 :Priority : NORMAL
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:25:55:734 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:25:55:734 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:25:56:734 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:25:56:734 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:25:56:734 :TimeOut : ffffffff
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:25:56:734 :Priority : NORMAL
[msvLclnt.dll] [0x000004ac] 19/08/2005 18:26:23:078 :VirusCount = 143010 Latest Date = 2005/08/10
[msvLclnt.dll] [0x00000514] 19/08/2005 18:43:30:515 :[00000001] File C:\WINDOWS\System32\COMLOAD.0LL infected by not-a-virus:Porn-Dialer.Win32.Coulomb
[msvLclnt.dll] [0x00000514] 19/08/2005 18:49:42:500 :[00000001] File C:\DOKUME~1\RALFRU~1\LOKALE~1\TEMPOR~1\Content.IE5\672RATID\WINUPDATE56181458[1].0XE infected by Trojan-Dropper.Win32.Small.ue
[msvLclnt.dll] [0x00000514] 19/08/2005 18:50:39:218 :[00000001] File C:\DOKUME~1\RALFRU~1\LOKALE~1\TEMPOR~1\Content.IE5\7LNQMZ4O\WINUPDATE36109052[1].0XE infected by Trojan-Dropper.Win32.Small.ue
[msvLclnt.dll] [0x00000514] 19/08/2005 18:56:14:828 :[00000001] File C:\DOKUME~1\RALFRU~1\LOKALE~1\TEMPOR~1\Content.IE5\SBU12LA5\WINUPDATE90385816[1].0XE infected by Trojan-Dropper.Win32.Small.ue
[msvLclnt.dll] [0x00000514] 19/08/2005 19:00:52:546 :[00000001] File C:\Daten\Allerlei\installationen\waterfree.exe infected by not-a-virus:AdWare.SaveNow.aq
[msvLclnt.dll] [0x00000514] 19/08/2005 19:20:28:890 :[00000001] File C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files\Content.IE5\672RATID\WINUPDATE56181458[1].0XE infected by Trojan-Dropper.Win32.Small.ue
[msvLclnt.dll] [0x00000514] 19/08/2005 19:21:26:765 :[00000001] File C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7LNQMZ4O\WINUPDATE36109052[1].0XE infected by Trojan-Dropper.Win32.Small.ue
[msvLclnt.dll] [0x00000514] 19/08/2005 19:26:57:187 :[00000001] File C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBU12LA5\WINUPDATE90385816[1].0XE infected by Trojan-Dropper.Win32.Small.ue
[msvLclnt.dll] [0x00000514] 19/08/2005 19:59:13:656 :[00000001] File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\teensex.0xe infected by Trojan.Win32.Dialer.e
[msvLclnt.dll] [0x00000514] 19/08/2005 19:59:13:718 :[00000001] File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webcamde.0xe infected by Trojan.Win32.Dialer.cj
[msvLclnt.dll] [0x00000514] 19/08/2005 19:59:14:109 :[00000001] File C:\WINDOWS\Downloaded Program Files\mwsearch.0ll infected by Trojan-Clicker.Win32.Morwill.a
[msvLclnt.dll] [0x00000514] 19/08/2005 19:59:14:484 :[00000001] File C:\WINDOWS\Downloaded Program Files\webcamde.0xe infected by Trojan.Win32.Dialer.e
[msvLclnt.dll] [0x00000514] 19/08/2005 20:42:10:359 :[00000001] File C:\WINDOWS\system32\COMLOAD.0LL infected by not-a-virus:Porn-Dialer.Win32.Coulomb
[msvLclnt.dll] [0x00000514] 19/08/2005 21:01:09:718 :VirusCount = 143010 Latest Date = 2005/08/10
[msvLclnt.dll] [0x000004ac] 19/08/2005 21:03:49:125 :VirusCount = 143010 Latest Date = 2005/08/10

- daraufhin die gefundendenen Malware-Dateien mit der KillBox manuell gelöscht

Nach dem Neustart und einem Lauf von HJT waren alle bestwebslinks-Einträge sowie 'C:\Windows\System32\msmsgs.exe' wieder da. Daher entfällt auch das Posting der neuen HJT-Ergebnisse, denn das Log-File sieht wieder genauso aus wie das, welches ich bereits zu Anfang geposted habe.

@Haui45
Was meintest Du denn genau mit Windowsupdate ?
Es bleibt höchstens noch das Service Pack 2 übrig, denn die ganzen aktuellen Patches habe ich bereits die letzten Tage installiert (28 Stück).

Es ist schon etwas zum Verzweifeln.

Danke an alle, die sich dem Thema annehmen.

Gruß
Ralf

War es nicht, HjT löscht nur die Autostartaufrufe, nicht die Datei selbst.
Sind die Einstellungen so gesetzt?

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Könntest du vielleicht versuchen, das Ergebnis so zu posten, wie es in der Anleitung beschrieben ist? Danke. :)

Das sieht mir so aus, als hättest du eScan nicht aktualisiert.

-> Poste bitte mal folgendes aus der mwav.log (steht ganz am Ende):
Das Service Pack 2 darf eigentlich auf keinem XP-Rechner fehlen.

Hallo,

habe mir zwischenzeitlich die neueste Version meiner Telekom PSS Software aufgespielt und wollte danach mit den Anweisungen aus dem letzten Posting von Haui45 weitermachen.

Leider komme ich nicht dazu, denn mittlerweile habe ich ein neues Problem. Und zwar, dass sich die Internet-Verbindung nicht mehr trennen lässt. Nur noch über das Herunterfahren des Systems. Dabei taucht dann auch noch die Meldung auf, dass sich der "Connections Tray" nicht beenden lässt.

Langsam bekomme ich graue Haare. Irgendwie wird es immer schlimmer.

Kann mir jetzt erstmal jemand bei dem neu aufgetauchten Problem weiterhelfen ??

Danke im voraus.

Gruß
Ralf

hmm ich will dich nicht beunruhigen aber das hört sich für mich wie eine botvariante an. (als ich damals nen bot drauf hatte blockierte er das disconnecten vom internet)
poste also auch wenn er sich nicht vom i-net trennen lässt das log wie bereits beschrieben.

@chris14

Was ist denn ein "bot" ??

Gruß
Ralf

diese bots sind backdoormalware. sie öffnen einen port zu einem irc-channel. in diesem irc-channel kann jemand ohne probleme diese pcs zu bspw DoS (Denial of Service) angriffen gegen bspw sun oder microsoft benutzen. solche bots sind eine ernste bedrohung da dann der rechner meist kompromittiert (nicht mehr vetrauenswürdig ist) und eine neuinstallation dadurch unumgänglich wird.

poste doch trotzdem mal den escan Log ob die diagnose zutrifft. könnte ja auch noch ne andere ursache haben.

Hallo Chris,

ich melde mich dann morgen wieder. Jetzt fahre ich die Kiste runter.

Trotzdem erstmal vielen Dank für Deine Bemühungen.

Schönen abend noch.

Gruß
Ralf

[font=Verdana]Hallo,


http://www.mainzelahr.de/smile/schil...ckstduhier.gifhttp://cert.uni-stuttgart.de/doc/netsec/bots.php