Problem mit Links (+ svchost)

#1 Hallo!

Bin in meiner Verzweiflung auf dieses Board gestoßen und hoffe hier kann mir jemand helfen.

Und zwar hab ich seit einigen Tagen meinen Ordner Favoriten voll mit Links. Werbelinks, Links zu Sexseiten,... Außerdem hab ich auf meinem Desktop 2 Links.
Und egal was ich mache, ich bekomm es einfach nicht weg.
Hab jetzt ad-aware 6.0 und Spybot probiert, der findet zwar so einiges auf meinem PC, mein Problem konnte es aber nicht lösen.

Egal ob ich die Links manuell lösche, Cookies lösche, temp. Internet-Files lösche, beim Neustart ist alles wieder da.

Hat jemand einen Tip für mich? Bin wirklich am verzweifeln.

Hab WinXP, Norton 2003 auf neuestem Stand.

Danke!

PS: Hab mir vorhin den Thread über svchost.ex durchgelesen. Hab zwar keine so hohe Auslastung aber die Datei ist bei mir in der Registry auch unter Windows/Run drinnen. Außerdem zeigt mir Norton an, dass diese Datei angeblich vor 2 Tagen isoliert wurde. Und das Problem mit den Links hab ich auch seit genau 2 Tagen. Kann das irgendwie zusammenhängen?

#2 Hi,

könnte ein Hijacker oder auch ein Dialer sein. Poste doch mal die Links mit Hinweis das sie nicht angeklickt werden sollen. Wenn die Links sich immer von alleine aktivieren wird ein Eintrag in der Regsitry bestehen, schau auch mal unter Autostart was dort eingetragen ist. IMHO gehört oder trägt sich die svchost nicht in das von dir genannte Verzeichnis CurrentVersion/Microsoft/Windows/Run, weder unter HKEY_Local_Machine noch HKEY_Current_User und wenn Norton diese isoliert oder unter Qurantäne stellt ist sicherlich was faul. Warte mal bis noch jemand was dazu postet, ich denke wenn du nach dem manuellen löschen der Dateien die Registry aufräumst müsste gut sein.

exp

#3 Also in der Registry ist mir nichts aufgefallen außer eben diese svchost die im Windows/Run steht. Auch im Systemstart und Autostart ist nichts. Deutet nichts auf Software hin, sonst hätte ich was gefunden.

Hier mal ein paar Links... eine kleine Auswahl aus rund 50 die sich da eingeschlichen haben.

NICHT ANKLICKEN!!!!
Adipex - hxxp://www.umaxsearch.com/search.php?aid=86&q=Adipex
Adult Movies - hxxp://www.umaxsearch.com/search.php?aid=86&q=ADULT%20MOVIES
Buy Phentermine - hxxp://www.umaxsearch.com/search.php?aid=86&q=Buy%20Phentermine

Das geht von A-Z und wie ich grad seh sind das überall diese umaxsearch-adressen. Und am Desktop sind auch noch 2 Links - die sind aber derzeit gelöscht und erst wieder beim Neustart da.

Außerdem verändert sich meine Startseite immer wieder bei jedem Neustart.
Einmal wars cool-homepage.com, jetzt ist es eine Pornoseite.

Ich bin wirklich am verzweifeln mittlerweile.

#4 Naja das sind F... Seiten eindeutig, evtl sogar ein Dialer oder Diver der sich dahinter versteckt. Ich würde mal deine Systemordner durchsuchen C:\Windows/system und system32, könnte mir gut vorstellen das dort was drin steht. Außerdem überprüfe mal deinen Systemstart Start->Ausführen->gib msconfig ein und drücke Enter. Wähle die Registerkarte Systemstart was dort alles drin steht. Ansonsten würde ich dir raten mal einen der Moderatoren hier anzuschreiben die sicherlich mehr Ahnung haben wie ich. Viel Glück jedenfalls!

exp

P.S. Solltest du nicht mit DSL ins Netz sondern analog oder per ISDN 190er Warner installieren bis die Sache geklärt ist!

#5 Um dir genauer helfen zu koennen, nutze mal hijackthis: http://www.lurkhere.com/~nicefiles/hijackthis1973.zip
Datei erunterladen, entpacken, die exe starten, "scan" und danach "save log" druecken. Nach dem Speichern "popt" der Editor auf. Den Inhalt davon markieren und hier in deiner Antwort einfuegen.
__________
MfG Ralf
SEO-Spam Hunter

#6 @raman ich glaube der direkte Downloadlink funzt nicht, da muss er auf http://www.lurkhere.com und dort auf Nice Files klicken. Dann kann er hijack laden.

Gruss exp

#7 Stimmt, du hast recht. Ist ja auch nicht die feine Art (direkt zu verlinken).

Tschuldigung.
__________
MfG Ralf
SEO-Spam Hunter

#8 @raman keinesfalls würde ich mir erlauben zu bemängeln das du einen Direktlink gepostet hast oder was du schreibst, ich hoffe mal und gehe davon aus das jeder hier soviel Anstand hat niemandem ein Ei ins Nest zu legen. Mir ist einfach nur aufgefallen das der Link nicht funzt, dass war alles. Außerdem war dein Tipp gut und richtig.

Gruss exp

#9 so, hier der Auszug:


Logfile of HijackThis v1.97.3
Scan saved at 16:52:37, on 06.11.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1973.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://free64all.com/tgp/out.php3?l=207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage.co
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage.co
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sex.free4porno.net/search2.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage.co
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cool-search.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage.co
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage.co
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage.co
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B36FABFC-9BA5-41D6-9C92-D388B42C95DD}: NameServer = 195.3.96.67 195.3.96.68

#10 Im ersten Moment hätte ich gesagt Spybot hätte das killen sollen, bei mir läuft PestPatrol, daher kann ich nicht sagen was Spybot wirklich taugt. Ad-aware in der Lightversion (Freewware) könnte ich mir vorstellen räumt nicht alles weg. Ich bin nach wie vor den Meinung das du mal deine Ordner system und system32 manuell durchkämmst, anschliessend die Registry. Irgendwo muss ja das Sch...teil sitzen, wenn nicht im Autostart wo dann? Stell doch mal um im Falle das du das nicht hast und lass dir deine versteckten mitanzeigen. Evtl. findest du da was. Ansonsten - hoffe ich das dir jemand anderer mehr helfen kann wie ich.

Gruss und viel Glück exp

#11 hab jetzt nochmal alles durchsucht. Weder unter Windows, noch System oder System32 war was. Keine Programme, keine auffälligen Namen etc.

Die Registry hab ich auch durchkämmt. Aber nichts gefunden.

#12 Ein problem ist das :C:\WINDOWS\svchost.exe sieht stark nach Virus aus und du solltest mal die col*.+ Sachen hiermit bearbeiten: http://www.spychecker.com/program/cwshredder.html

Starte deinen Rechnre mal im abgesicherten Modus und starte ueber "Start/Ausfuehren" die msconfig.exe und nehme beim Autostart die c:\windows\svchost.exe raus und starte neu.
__________
MfG Ralf
SEO-Spam Hunter

#13 danke erstmal!

Hab das Programm jetzt gestartet, hat auch 2 Sachen gefunden und gelöscht.
Wenn ich dann "HiJackThis" nochmal drüberlaufen lasse, sind aber diese Sachen nach wie vor oben. Nehme an Du meinst diese URL's oder?

Ganz blöde Frage... aber wie komm ich in den abgesicherten Modus? ESC beim Hochfahren? Mein Hirn...

#14 Vor dem Bootlogo F8 drücken uind dann abgesicherter Modus wählen. Das mit dem msconfig habe ich wie raman empfiehlt gestern schon vorgeschlagen, d.h. da müsstest du noch wissen wie das funzt.

exp

#15 Nein, entweder beim starten die F8 Taste druecken, oder du startest msconfig und waehlst dort bei allgemein "Diagnosesystemstart" und startest den Rechner neu. Nimm es mir nicht uebel, aber wahrscheinlich ist es besser, wenn du dir jemanden dazu holst, der/die sich etwas besser im Umgang mit dem Computer auskennt.
__________
MfG Ralf
SEO-Spam Hunter