Hallo. Ich habe mir irgendwie einen ziemlich lästigen Begleiter eingefangen.
Zunächst wurde meine Browserstartseite ständig im Sekundentakt auf about:blank geändert.
Ich lud mir eine aktualisierte Version von AVir hinuter, und nach kurzer Zeit wurde eine .dll datei, die mit obigem Code infiziert wurde gefunden. Gelöscht, PC neu gestartet, eine andere .DLL Datei mit jenem Code hat sich gemeldet. Das Ganze wiederholte sich ein knappes Dutzend Mal. Dann war Ruhe. Eben hatte sich AV aber wieder mit neuen .DLL Dateien, die erneut den Code enthalten sollen, gemeldet. Das Ganze Spielchen wiederholte sich, momentan ist Ruhe. Ich bezweifle aber, dass ich mein System jetzt "sauberer" habe als vor drei Stunden....

Dann habe ich HjiackThis runtergeladen.

Dies war das Logfile :


==========================
Logfile of HijackThis v1.97.7
Scan saved at 22:59:16, on 24.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.paidboard.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O2 - BHO: (no name) - {F6AF68C6-938B-42D8-B604-D1C8334A9EC0} - C:\WINDOWS\SYSTEM\PPK.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: Yahoo! NBA StatTracker - http://aud7.sports.yahoo.com/java/y/nbast8264_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.interactiv-plus.de/flatcast/NpFv47.dll
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab

==============================

Die R0 / R1 Einträge habe ich gefixt. Was fehlt noch, um möglichst ohne Windoofneuinstallation ein sauberes System zu bekommen?

Vielen Dank im Voraus für eure Hilfe, ihr macht ein tolles Forum [img]graemlins/daumenhoch.gif[/img]

Systemwiederherstellung deaktiviert, temporäre internetdateien gelöscht - nützt alles nix. Irgendwie tauchen aus dem Nichts wieder neue infizierte Dateien in Windows/System auf. Sie sind nicht da, wenn ich online gehe, aber nach wenigen Sekunden online sind sie im Ordner. Versucht zu löschen, dann wird der PC runtergefahren. Erst nach etwa einem Dutzend solcher neuer Anläufe, kommt keine Virenmeldung.

Wäre toll, wenn jemand einen Rat geben könnte, wie ich verfahren soll. Ansonsten bleibt wohl nur, windows neu zu installieren.

Hallo!

Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

-> Das System bzw. der IE sollten dringend (!) auf einen aktuellen Stand gebracht werden. Bitte updaten über http://windowsupdate.microsoft.com .

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank</font>[/QUOTE]Siehe hier:
http://trojaner-info.de/anleitungen/...out_blank.html


F1 - win.ini: run=C:\WINDOWS\svcinit.exe

Das ist ein Trojaner. Eintrag sowie Datei im Windows-Ordner löschen.

O2 - BHO: (no name) - {F6AF68C6-938B-42D8-B604-D1C8334A9EC0} - C:\WINDOWS\SYSTEM\PPK.DLL (file missing)

Fixen (markieren, fix checked).


O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe

Ein weiterer Trojaner-Eintrag. Such mal unter C:\WINDOWS\ nach der svchost.exe. Findest du dort eine Datei mit diesem Namen? Falls ja, bitte hier prüfen:

http://www.kaspersky.com/de/scanforvirus


O8 - Extra context menu item: Web Search - c:\windows\ex.htm

Fixen.

</font><blockquote>Zitat:</font><hr />Was fehlt noch, um möglichst ohne Windoofneuinstallation ein sauberes System zu bekommen?</font>[/QUOTE]Nach einem Befall mit Schadsoftware ist eh das einzig sichere Mittel eine Neuinstallation. Ein sicher "sauberes" System wäre also in allen anderen Fällen eine Illusion.

Allerdings nützt das wenig, wenn es wenig später wieder zu einer oder mehreren Infektion(en) kommt. Daher ist Vorbeugen das A und O. Wie man das umsetzen kann, steht hier recht gut erläutert:

http://www.mathematik.uni-marburg.de...ompromise.html


Viel Erfolg!

Erst mal vielen Dank. Ich finde allerdings auf meinem Rechner weder eine Datei svcinit.exe noch eine namens svchost.exe.

Ich habe jetzt kurzfristig AV abgestellt. Ich bn somit problemlos online, dafür wurde auch bereits nach wenigen Sekunden meine IE Startseite verändert. Wirklich lästig. Das ist nach drei Jahren häufiger online Zeit, der erste Befall, der mich wirklich hochgradig nervt, und den ich nicht loswerde.

Dann freunde ich mich wohl innerlich schon mal mit einem Tag Arbeit und einer Neuinstallation an *seufz*

Hast du denn schon das verlinkte Entfernungstool pobiert? Hier:
http://trojaner-info.de/anleitungen/...out_blank.html

Sowie:
http://www.spywareinfo.com/~merijn/c...tml#cwshredder

Dann die Tipps zur Vorbeugung beherzigen. Siehe dazu den letzten Link in meinem vorigen Posting. Der Seite ist u.a. auch zu entnehmen, dass man mit anderen Browsern sicherer unterwegs ist. Beispiele:

- http://firefox-browser.de
- http://mozilla.kairo.at
- http://opera.com

ja, habe ich. Aber auch nur bedingt erfolgreich, Ich bekomme zwar erst nach dem Neustart die Meldung "System desinfiziert", aber bereits wenige Sekunden später wird wieder eine infizierte .DLL gefunden.

Erneut HijackThis laufen gelassen - die R0 / R1 Prozesse werden nicht angezeigt.

Wieder SpHjifix gestartet - Meldung : Das System ist nicht infiziert. Aber AVir meldet sofort wieder die infizierte .DLL.

Die auch zur Abwechslung mal sichtbar ist und im moment bbe.dll heisst.

Ach ja, in meinem Ordner "Eigene Dateien" sind Unmengen diverser "backup.dat" aufgetaucht, alle 120-150 KB groß. Wo kommen die her?

Wahrscheinlich macht es kaum Sinn sich darüber den Kopf zu zerbrechen. Aber wie gesagt, vielen Dank für die Hilfe. Und das zu der Zeit

Was die anderen Browser angeht : Ich habe mich im Laufe der Zeit so sehr an den IE gewöhnt, ich scheue mich ein wenig umzusteigen. Und 3 Jahre lang gab es auch keine Probleme. Da hofft man natürlich, dass es wieder funktioniert. Vielleicht zu blauäugig, aber irgendwie hänge ich am IE...

</font><blockquote>Zitat:</font><hr />Original erstellt von Legolas1971:
[...] aber bereits wenige Sekunden später wird wieder eine infizierte .DLL gefunden.</font>[/QUOTE]Hattest du...
- den IE und offene Windows Explorer-Fenster dabei geschlossen?
- die Win ME Systemwiederherstellung deaktiviert?

Prüf die dll-Datei bitte mal hier:
http://www.kaspersky.com/de/scanforvirus

Evtl. handelt es sich auch um eine neue, ggf. modifizierte Variante dieser Schadsoftware. Sichere die dll-Datei zudem mal, evtl. kann man sie noch gebrauchen, um das Entfernungstool anzupassen.

</font><blockquote>Zitat:</font><hr />Aber AVir meldet sofort wieder die infizierte .DLL.</font>[/QUOTE]Wo genau?

</font><blockquote>Zitat:</font><hr />Die auch zur Abwechslung mal sichtbar ist und im moment bbe.dll heisst.</font>[/QUOTE]Wie gesagt, kopieren, sichern und zudem bei Kaspersky prüfen. Dazu ggf. temporär AntiVir deaktivieren, sonst klappt die Onlineprüfung nicht! Das Ergebnis dann hier posten.

</font><blockquote>Zitat:</font><hr />Ach ja, in meinem Ordner "Eigene Dateien" sind Unmengen diverser "backup.dat" aufgetaucht, alle 120-150 KB groß. Wo kommen die her?</font>[/QUOTE]Habe im Moment keine zweifelsfreie Erklärung dafür. Evtl. ein installiertes Programm, welches in vorgegebenen Intervallen automatisch Backupdateien anlegt.

</font><blockquote>Zitat:</font><hr />Wahrscheinlich macht es kaum Sinn sich darüber den Kopf zu zerbrechen. Aber wie gesagt, vielen Dank für die Hilfe. Und das zu der Zeit </font>[/QUOTE]Doch, man sollte schon verifizieren, was auf dem System vor sich geht!

</font><blockquote>Zitat:</font><hr />Was die anderen Browser angeht : Ich habe mich im Laufe der Zeit so sehr an den IE gewöhnt, ich scheue mich ein wenig umzusteigen.</font>[/QUOTE]Du kannst ja erstmal temporär und testweise eine der genannten Alternativen installieren. Erstens bereitet ein paralleler Betrieb keine Probleme, und zweitens lassen sich die genannten Browser auch problemlos wieder entfernen. Vorschlag wäre, dass du mit dem Firefox beginnst.

Leider habe ich das zu spät gelesen, und die .DLL, sie war in Windows/System, manuell gelöscht.
Ich startete dann noch mal CWShredder, der zwei weitere Prozesse entfernte. Und mir fortan meldete, mein System sei complete clean.

Dann klickte ich noch mal auf diese Backupdateien, die dutzendfach aufgetaucht waren. Und siehe da - sofort sprang Anti Vir wieder an. Diese Backupdateien enthalten auch den Startpage-Code. Ich habe sie jetzt mal noch nicht gelöscht, sind sie von Interesse?

Du kannst ja evtl. gefundene Samples mal an rokop-security schicken (siehe unten in meiner Signatur).

Und dann: versuchen, die Tipps zum Schutz vor weiteren Infektionen umzusetzen. [img]smile.gif[/img] Viel Erfolg dabei und ggf. auch etwas Mut, von gewohntem abzurücken - es kann sich lohnen!

Gute Nacht!

Achso, vergessen:

</font><blockquote>Zitat:</font><hr />Original erstellt von Legolas1971:
Erst mal vielen Dank. Ich finde allerdings auf meinem Rechner weder eine Datei svcinit.exe noch eine namens svchost.exe.</font>[/QUOTE]Dann sind nur noch die Registry-Einträge übrig. Einfach löschen über Fix checked in HijackThis!