Ständiges aufpoppen von Browserfenstern...

Hallo

Ich habe seit dem heutigen Systemstart ein Schädling drauf der ständig sagt, das ich ein Sicherheitsproblem habe ("You have a security Problem!" steht immer im Systemtray mit dem selben Icon wie dem MS-Sicherheitscenter). Ich habe nach diesem Problem gegooglet und bin hier gelandet bei jemandem der das gleiche Problem hatte. Allerdings hat die Lösung die bei ihm geklappt hat nichts gebracht bei mir.

Der Schädling hat die WindowsFirewall und automatische Updates deaktiviert.
Es tauchen ständig (fast im 60 Sekunden Takt) irgendwelche Browserfenster auf, mit Seiten die ich nicht kenne. Außerdem wurden auf meinem Desktop und im Programme-Ordner (im Startmenü) sechs Verknüpfungen erstellt:
Cheap Pharmacy Online.lnk
Cheap Software.lnk
MP3 Download.lnk
Search Online.lnk
SMS TRAP.lnk
VIP Casino.lnk


Mein HJT-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:48, on 25.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2008 HotKeys] "C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SSS2008 File Redirection Starter] "C:\Programme\Steganos Privacy Suite 2008\fredirstarter.exe"
O4 - HKLM\..\Run: [Win32 Service] C:\WINDOWS\s.exe
O4 - HKLM\..\Run: [58e112e5] rundll32.exe "C:\WINDOWS\system32\nspnthwe.dll",b
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS:updater.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 Service] C:\WINDOWS\s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: lsass.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74F3D92-88BB-40E6-B84D-B2FF2BEF86F0}: NameServer = 212.19.48.14
O20 - AppInit_DLLs: wbwedc.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Steganos Anonym VPN Starter Service (AVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\AVPNStarter.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4796 bytes

PS:
Ich habe den Post im abgesicherten Modus verfasst, und auch im selben mit HJT gescannt. Macht das nen Unterschied ?
Im nicht abgesicherten Modus stürzt Windows sehr oft ab, dank dem Schädling...

 

bitte mache eines aus dem normalen Boot...
damot alles geladen wird und wir uns einen Einblick verschaffen können.....

und heute musst du wahrsch.länger warten, wegen der Feiertage

 

hmm ich mach grad ein winrar-archiv von meinem steam ordner damit ihcs nicht neuladen muss nach dem neuinstallieren von windows...

Das dauert sowieso noch ein bisschen bis ich damit fertig bin (laut winrar 3 stunden)

 

hast du vor dein System neuzumachen?
wenn ja ist der Thread schon fast überflüssig....

Jedoch bei einer Datensicherung von einem befallenen System niemals ausführbare Dateien sichern...wenn möglich ausschl.über ein LiveSystem sichern

 

Ich habs evtl. vor...

Ich sichere nur GCF-Dateien von Steam (das is sone art Archiv), weil es immer ewig dauert die runterzuladen...

Ich sichere das nur präventiv, wenns klappt mein System zu retten mach ich das natürlich. (Ich habs vor 4 Tagen erst aufgesetzt -.-)

 

hier mein log im normalen modus

 

lass bitte folgendes auf Virustotal bzw Jotti scannen und poste hier das Ergebnis:

Code:

C:\WINDOWS\system32\nspnthwe.dll

 

OK habs gemacht:
http://www.virustotal.com/de/analisis/095d2316e6270dde37382d3b7114ca42

Ich hab jetzt bei hijackthis nen haken vor die datei gemacht und fix gemacht...

Mal sehen ob der Schädling noch da ist, nach nem neustart.

 

bitte kein Übereifer
warte bitte bis hier gesagt wird was zu tun ist....

Info vorweg: dein System ist mit Vundo infiziert- welcher ein übler Bursche ist und ich normalerweise ein Neuaufsetzen empfehle....
wenn du dein System f.Onlinebanking und Ebay nutzt würde noch stärker zum Neuaufsetzen tendieren


du kannst dich entscheiden: entweder ganz sicher und neu machen, oder wir versuchen, ihn und seine Helfer zu eliminieren.... Zeitaufwand und keine Garantie

mit HJT allein geht da nichts

 

Hmmmm ich will lieber versuchen das so zu fixen....

EDIT:
was ist mit dem Vundo Removal Tool von Symantec ?
Das gibts hier:
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2004-112210-3747-99

 

also den langen Weg: dann etwas Geduld... ich mach dir ne kleine Anleitung...

 

1.
bitte Systemwiederherstellung deaktivieren:
http://www.bsi.de/av/texte/wiederher.htm

2.
Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

 	O4 - HKLM\..\Run: [58e112e5] rundll32.exe "C:\WINDOWS\system32\nspnthwe.dll",b
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS:updater.exe
O4 - Startup: lsass.exe
O20 - AppInit_DLLs: wbwedc.dll

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\


3.
Start im Abgesicherten Modus:

A)
mittels CCleaner (Standardeinstellungen) bereinigen


B)
bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse alles beheben, und poste hier das log

C)
Vundofix wie beschrieben ausführen und bereinigen- log posten


4.
Neustart in normalen Modus
erneutes HJT und posten



edit:

ganz zum Schluss vielleicht

 

Also ich bin grad bei Schritt 3b

Ich habe 2 mal gescannt, weil so viel gefunden wurde.

Deshalb 2 Logifiles.

edit:
schritt 3c...

edit2:
Fertig!

HJT-log is im anhang

edit3:
Ich werd verrückt:
Ich hab ganz am Anfanf die Systemwiederherstellung deaktiviert, aber ich hab grade wieder nachgeguckt und sie war aktiviert Oo. Ich hab sie nun wieder deaktiviert.

 

- mach einen restart

- anschliessend scannst du nochmals mit Malwarebytes- keine Funde--> ok
...............wenn er etwas findet--> log posten

- und jetzt noch das Symatec Tool--> dürfte auch nichts mehr finden

- falls beide Scanner ruhig bleiben: Gratuliere... aber wie gesagt- überdenke das nochmals wegen der Neuinstallation

das HJT log schau ich mir später an

 

Jippie kein Scanner schlägt mehr an! :-D

Ich hoffe ich bin nun clean, das System staartet jettz jedenfalls erheblich schneller und die ganzen Popups kommen nicht mehr!

Danke vielmals!