Hallo Robert,

wenn der Start des SpywareBlaster noch immer nicht funktioniert hat das imho nichts mit der Downloadquelle zu tun. Hier habe ich gerade im englischsprachigen 'offiziellen SupportForum' einen entsprechenden Thread gefunden. Scheinbar bist Du nicht der einzige mit dem Problem:
http://www.wilderssecurity.com/showt...0e9639&t=26534

Ich habe den Beitrag jetzt erst einmal nur überflogen, aber es sieht so aus, als wenn der Hijacker, der Dich heimgesucht hat 'irgendetwas gelöscht oder geändert hat, was der SpywarBlaster zum Starten braucht.

Folgendes ist nur 'ein Schuß ins Blaue'!
Der Spywareblaster braucht Microsoft Visual Basic 6.0 run-time dll
siehe hier: http://www.javacoolsoftware.info/kb/idx/2/002/article/
Ich könnte mir vorstellen, dass der Hijacker diese Datei überschreibt, um SpywareBlaster unbrauchbar zu machen.
Such doch mal die Datei MSVBVM60.DLL auf Deinem Rechner.
Bei mir hat sie die Dateiversion: 6.00.9237 und das Erstellungsdatum: May 29, 2001
Wenn bei Dir dort etwas anderes steht, kann das meinen Verdacht bestätigen...

Sorry Lutz, das ich erst jetzt antworte.

Bin schon wieder Opfer eines Hijack-Angriffes geworden.
Diesmal jedoch wurde die Attacke schnell bemerkt, dank der Scanner, die ich schon auf deine Empfehlung hin installiert bzw. geladen hatte.
Die Inst. des Virus wurde zwar nicht verhindert, aber durch SpyGard kam die Meldung, das die Homepage auf about:blank gesetzt werden soll.
Mit Ad-aware und SpyBot hab ich das System sofort wieder bereinigen können.
Überprüfung mit HijackThis, AntiVir und eScan meldeten ein sauberes System.

Mach mich mal auf die Suche nach dieser run time dll.
Muss jetzt schaffen, werde mich später wieder melden.

Gruß
Robert

</font><blockquote>Zitat:</font><hr />Sorry Lutz, das ich erst jetzt antworte.</font>[/QUOTE]Kein Problem!
Pole Pole (mach mal langsam), wie der Kenianer sagen würde...

Ich muss zugeben, wir -die wir uns auch forenübergreifend mit dieser Problematik beschäftigen- 'schwimmen' zur Zeit noch, was eine endgültige Lösung angeht.
Auf der einen Seite wäre sicherlich der Ratschlag, Dein System neu aufzusetzen nicht der verkehrteste. Aber aufgrund der Tatsache, dass Du Dich in China aufhälst und wohl nach einer kompletten Neuinstallation des Rechners wahrscheinlich technisch (nicht vom können her!!) nicht in der Lage sein wirst, alle Anwendungen und Einstellungen (CAD, Mailzugang zum Arbeitgeber,...) wieder einzurichten. Bleibt 'uns' wohl nichts anderes übrig, als auf dem Weg weiterzumachen, den wir bisher eingeschlagen sind.

Ich habe noch ein paar Fragen zum besseren Verstehen und hoffe auf Dein Verständnis, dass ich Dich ein bisschen als 'Versuchskanninchen missbrauche'.

</font><blockquote>Zitat:</font><hr />Bin schon wieder Opfer eines Hijack-Angriffes geworden.</font>[/QUOTE]Passierte dies während des Surfens, so dass der Verdacht nahe liegt, dass Du auf eine entsprechend präparierte Seite geraten bist, oder passierte das ganze offline?
Wenn möglich, versuche mal die Uhrzeiten festzuhalten, wann genau eine Infektion, bzw. ein Infektionsversuch erfolgt. Es gibt eine Reihe von berichten, dass dies nämlich immer zur gleichen Uhrzeit passiert, egal ob on- oder offline. Letzteres würde die Theorie erhärten, dass unsere Säuberungsversuche doch nicht von dauerhaftem Erfolg sind und noch Überreste verbleiben, wo auch immer.

</font><blockquote>Zitat:</font><hr />
Mit Ad-aware und SpyBot hab ich das System sofort wieder bereinigen können.</font>[/QUOTE]Kannst Du bitte mal die Log-Dateien der beiden Programme posten, was genau entfernt wurde?!?

</font><blockquote>Zitat:</font><hr />Überprüfung mit HijackThis, AntiVir und eScan meldeten ein sauberes System.</font>[/QUOTE]Wichtig ist, dass mindestens ein Neustart des System und mehrfaches Starten des Internet-Explorers erfolgt sind, bevor Du eine Überprüfung mit HijackThis machst.
Mit anderen Worten. Wenn Du etwas mehr Zeit hast, fahre Dein Laptop bitte ein paar mal (3-4x) rauf und runter und starte nach jedem booten den Internet-Explorer jedesmal in mehreren Fenstern, ohne das Du online gehst. Die 'entscheidene Frage' ist, ob das Log von HijackThis dann immer noch sauber ist.

</font><blockquote>Zitat:</font><hr />Mach mich mal auf die Suche nach dieser run time dll.</font>[/QUOTE]Wie gesagt, dass ist nur eine Vermutung. Aber eine Überprüfung der Datei ist sicherlich nicht schädlich.

Edit: Nur Zitatfunktion richtig gesetzt.

[ 10. Mai 2004, 13:10: Beitrag editiert von: Lutz (DerBilk) ]

Hi Lutz,
gern bin ich das Versuchskanninchen, wenn es denn anderen und natürlich auch mir hilft.
Gib mir nur etwas Zeit, um die daten zu prüfen und die Einzelheiten zusammenzustellen.
Hier in Shanghai ist es beim Transrapid Projekt augenblicklich etwas hektisch und ich leiste fast einen 24 Stunden Full-Time-job.
Vorab schon mal dies:
Deine Annahme, ein Neuaufsetzen ist technisch nicht möglich, ist absolut richtig. Schon garnicht, wenn es um Netzwerk-Konfiguration geht.

Der 2. Angriff erfolgte während einer Online-sitzung, just als ich ein Update von SpyBot ziehen wollte.

Die Logs poste ich später, bin gerade aus der nachtschicht gekommen und brauch erst mal ne Mütze voll Schlaf. Konzentration läß nach.
ich kann aber schon sagen, es handelte sich wieder um einen E-Group Virus. Einen den ich einen Tag vorher eleminiert habe.

Angriff muss gegen 23 bis 24 Uhr deutscher Zeit erfolgt sein. Können wir aber anhand der Logs genauer sagen, da ich ja sofort reagiert habe.

Es hat, daran kann ich mich noch erinnern, einen Systemstart vor der Prüfung mit HT gegeben. Werde das aber gemäß deiner Vorgabe wiederholen.

Zur MSVBVM60.DLL:
Version:6.00.9690
Erstellt lt. Datei-Info am 01.Sept.2003
Zeile Kommentar, Registerblatt Version: 03.Sept.2002
Sorry Lutz,
ich hoffe du kannst was damit anfangen. Ich muss erst mal eine pause einlegen, mir fallen die augen zu.
Robert

Edit: Zeile Korrigiert

Hi Lutz,

4 Starts gemacht, wie "befohlen". HT zeigt keine unnatürlichen Einträge.

Zur Angriffszeit:
Die AdWare Log wurde am 09.05 um 02:28 erstellt. Deutschland ist 6 St. zurück, d.h., bei euch war es dann 20:28 am 08.05.
Hier das File (ohne die geladenene Prozesse, da dort kein fehlerhafter Eintrag gefunden wurde):
Starte Prüfung der Registrierung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

AdvertBar Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\AdTools, Inc.


Alexa Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}


EGroup Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{2F668A6D-2EC7-4E3A-A485-819E210738D6}


EGroup Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : TypeLib\{83F0D6AA-CD15-46B5-AA4E-BDB506B4AE53}


MainPean Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\MainPean Highspeed


StarInstall(MainPean) Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{B0CE21C5-6A79-45B7-AB9C-0008E75F2DBF}


StarInstall(MainPean) Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{CD6B926C-903F-46A4-9C7D-F3839F081788}


WhenU Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\WhenU


WhenU Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : WUSN.1


CoolWebSearch Objekt identifiziert!
Typ : Reg.Wert
Daten :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\Microsoft\Internet Explorer\Main
Wert : HOMEOldSP


Ergebnis der Registrierungsprüfung:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 10
Objekte insgesamt bis jetzt identifiziert 10


Starte erweiterte Registrierungsprüfung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"


Ergebnis der erweiterten Registrierungsprüfung:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 1
Objekte insgesamt bis jetzt identifiziert 11


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Tracking Cookie Objekt identifiziert!
Typ : Datei
Daten : lippert@as1.falkag[1].txt
Objekt : C:\Dokumente und Einstellungen\LIPPERT\Cookies\

Created on : 03.05.2004 21:21:45
Last accessed : 08.05.2004 18:30:44
Last modified : 04.05.2004 19:57:45


Tracking Cookie Objekt identifiziert!
Typ : Datei
Daten : lippert@mediaplex[1].txt
Objekt : C:\Dokumente und Einstellungen\LIPPERT\Cookies\

Created on : 08.05.2004 07:13:53
Last accessed : 08.05.2004 18:30:44
Last modified : 08.05.2004 07:13:53


Tracking Cookie Objekt identifiziert!
Typ : Datei
Daten : lippert@tribalfusion[1].txt
Objekt : C:\Dokumente und Einstellungen\LIPPERT\Cookies\

Created on : 03.05.2004 18:16:23
Last accessed : 08.05.2004 18:30:44
Last modified : 03.05.2004 18:16:23


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Suche und überpfüfe Dateien intensiv (C
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

EGroup Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : CLSID\{2ABE804B-4D3A-41BF-A172-304627874B45}


EGroup Dialer Objekt identifiziert!
Typ : Verzeichnis
Objekt : c:\programme\Instant Access


EGroup Dialer Objekt identifiziert!
Typ : Datei
Daten : center
Objekt : c:\programme\instant access\

Created on : 21.12.2003 07:48:45
Last accessed : 08.05.2004 18:24:42
Last modified : 21.12.2003 07:49:02


EGroup Dialer Objekt identifiziert!
Typ : Datei
Daten : dialer
Objekt : c:\programme\instant access\

Created on : 21.12.2003 07:48:45
Last accessed : 08.05.2004 18:24:42
Last modified : 21.12.2003 07:48:45


EGroup Dialer Objekt identifiziert!
Typ : Datei
Daten : mseggrpid.dll
Objekt : c:\winnt\system32\

Created on : 21.12.2003 07:48:45
Last accessed : 08.05.2004 18:31:19
Last modified : 21.12.2003 07:48:45


MainPean Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Freeware


CoolWebSearch Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : PROTOCOLS\Filter\text/html


CoolWebSearch Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : PROTOCOLS\Filter\text/plain


CoolWebSearch Objekt identifiziert!
Typ : Reg.Wert
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
Wert : ITBarLayout


Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 9
Objekte insgesamt bis jetzt identifiziert 23


02:31:24 Systemprüfung beendet.

Zussamenfassung der Überprüfung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Gesamte Zeit für Systemüberprüfung :00:02:23:306
Objekte überprüft:42234
Objekte identifiziert:23
Objekte ignoriert:0
Neue Objekte:23


Hier noch der Report von SpyBot:


--- Report generated: 2004-05-09 03:30 ---

AdBreak: Typelib ( (Core 1.0 Type Library)) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\Typelib\{4116AE6F-C376-42E7-9E15-EE109055FC8E}

Alexa Related: What's related link (Datei austauschen, fixed)
C:\WINNT\Web\RELATED.HTM

BDE Projector: File extension link (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\.b3d

BDHelper: Interface (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}

BDHelper: Typelib (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-1474832848-1173774646-184960113-1299\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-1474832848-1173774646-184960113-1299\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=


--- Spybot-S&D version: 1.2 ---
2003-03-16 Includes\Cookies.sbi
2003-03-16 Includes\Dialer.sbi
2003-03-16 Includes\Hijackers.sbi
2003-03-16 Includes\Keyloggers.sbi
2003-03-16 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2003-03-16 Includes\Security.sbi
2003-03-16 Includes\Spybots.sbi
2003-03-16 Includes\Temporary.sbi
2003-03-16 Includes\Tracks.uti
2003-03-16 Includes\Trojans.sbi

Im Moment funktioniert alles gut und macht keine Probleme. Der Rechner scheint sogar wieder etwas flüssiger zu laufen.

Gruß
Robert

Hallo Robert,

fangen wir mal mit der Runtime-DLL an. Da ich hier 'dummerweise' auf meinem Win98-Rechner nachgeschaut habe, habe ich natürlich auch eine ältere Version gefunden. Ich denke, den Part mit der vertauschten MSVBVM60.DLL vergessen wir erst einmal wieder.

Vielmehr gehe ich im Moment davon aus, dass -auch wenn Dein System im Moment 'stabil' ist- der Hijacker noch nicht wirklich entfernt ist.
Vergleiche zum Beispiel hier (in englisch): http://www.wilderssecurity.com/showt...t=26534&page=2
Posting: May 10th, 2004, 06:21 PM
Was dort unter 1-7 beschrieben ist, habe ich gestern auch mal nach einer 'gewollten Infektion' durchgeführt und hier im Board von Rokop-Security dokumentiert:
http://www.rokop-security.de/board/i...ndpost&p=33741

Lade dir hier
http://www10.brinkster.com/expl0iter...t/Find-All.zip
bitte mal das Tool FindAll herunter
und führe die Find-All.bat aus. Anschließend bekommst Du (hoffentlich) eine Log-Datei namens OUTPUT.TXT. Den Inhalt poste hier bitte komplett. Dann schauen wir weiter.

BTW: Hast Du die Sachen, die Adaware gefunden hat alle entfernt? Außerdem solltest Du Spybot mal updaten. Die Definitionsdateien sind recht veraltet...


Ach noch was: China und TransRapid klingt ziemlich spannend. [img]smile.gif[/img] Das wollte ich gestern schon sagen.

Lutz,
ich unterstelle mal, da du dich mit Computern befasst und dich offensichtlich sehr gut mit dem "Müll" drumherum auskennst, stehst du HiTec Dingen offen gegenüber. Der Transrapid ist ein HiTec Gerät und ich bin mit Leidenschaft dabei. Du hast absolut recht: es klingt nicht nur spannend, es ist auch spannend.
Eine besondere Würze ist natürlich die Zusammenarbeit mit den chinesischen Kollegen. Teilweise zum Haareausraufen. Aber gut, das ist OK.
Nicht missen möchte ich die Zeit, die ich mittlerweile in China, also in Shanghai, verbracht habe. Die Kultur, die Menschen, besonders die Verkehrsregeln, einfach irre. Das Leben könnte so einfach sein in Deutschland.
Schluß mit den Träumereien. Back to business.

Du machst mich irgenwie wiedermal stutzig.

"Hast Du die Sachen, die Adaware gefunden hat alle entfernt?"

Hat das nicht Adaware alles selbstständig gemacht?
Ich hab das nicht mehr genau in Erinnerung, aber nach dem Auffinden von Viren, kommt doch die Fixen Abfrage, oder? Und irgendwo bei HijackThis hab ich gelesen, fixen heißt, Datei reparieren oder löschen.
Mach mich nicht schwach, aber ich habe nichts weiter unternommen. Muss ich da noch tätig werden?

Ja, danke für die Erinnerung, wollte ich schon längst erwähnt haben:
"Außerdem solltest Du Spybot mal updaten."

Das Updaten habe ich schon mehrfach versucht. Leider bekomme ich nach minutenlangem Warten eine Meldung, das der Server nicht funktioniert.
Das ist gewesen, als ich noch mit IE als Browser unterwegs war.
Habe gestern Mozilla geladen und bin damit online gegangen.
Die Update-Funktion von SpyBot meldet mir (Mozilla als Browser) ca. 2 Sekunden nach anklicken, es wären keine Updates verfügbar.

Gib mir noch etwas Zeit, um die anderen Prüfungen durchführen zu können.

Übrigens, du hast ja auch ein hochinteressantes Hobby: Kenia!

Grüße
Robert

Hallo Leute,
will Lutz nicht mit solchen Nebensächlichkeiten belasten, deshalb meine Frage an alle:

Wie kann ich Zitate in meine Beiträge einfügen? In der Hilfe finde ich nichts.

Robert

</font><blockquote>Zitat:</font><hr />Hat das nicht Adaware alles selbstständig gemacht?
Ich hab das nicht mehr genau in Erinnerung, aber nach dem Auffinden von Viren, kommt doch die Fixen Abfrage, oder? Und irgendwo bei HijackThis hab ich gelesen, fixen heißt, Datei reparieren oder löschen.
Mach mich nicht schwach, aber ich habe nichts weiter unternommen. Muss ich da noch tätig werden?
</font>[/QUOTE]Adaware macht das nicht ganz automatisch. Am Ende des Scanns bekommst Du ja angezeigt, was Adaware gefunden hat. In dieser Liste gibt es vor jedem Eintrag eine Klickbox, um die Beiträge zu markieren. Nur, wenn Du die markierst und dann auf 'Weiter' klickst, entfernt Adaware auch die Einträge. Also im Grunde genauso, wie bei HijackThis. Da das Log, das Du geposted hast, aber nichts darüber aussagt (das liegt aber am Log, nicht an Dir!), ob Du das gemacht hast, habe ich vorsichtshalber noch einaml gefragt.

Bei Spybot S&D wählst Du als Update-Quelle am besten 'EON (Australia) aus, diese Quelle ist -zumindest von hier aus Deutschland- am besten zu erreichen. Die Auswahl erfolgt 2 Button neben dem Button 'Nach Updates suchen'.


</font><blockquote>Zitat:</font><hr />Wie kann ich Zitate in meine Beiträge einfügen?</font>[/QUOTE]Entweder, Du gehst in dem Posting, das Du zitieren willst auf . Dort hast Du dann den ganzen vorherigen Text mit den entsprechenden TAGS (QUOTE) und (/QUOTE) nur mit eckigen Klammern, anstatt runden.

Wenn Du nur einzelne Passagen in die Zitatfunktion aufnehmen willst, gesht Du am besten auf Antworten und unterhalb der Textbox auf diesen Button
Zwischen den entsprechenden TAGS kannst Du dann den Text den Du zitieren willst hineinkopieren.

Ja. Kenia ist so ein Hobby, für das mir leider im Moment Geld und Zeit fehlen... [img]graemlins/heulen.gif[/img]

Entweder Du klickst auf den Button und kürzst dann den Teil, den Du nicht zitieren willst, raus.

Oder Du fügst ganz einfach folgenden Code in Deinen Beitrag:

</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">

Zitat:

Dies ist ein Zitat!

</pre>[/QUOTE]Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

edit: 1:0 für Lutz! [img]graemlins/party.gif[/img]

Yopie, Lutz,
danke für die Zitat Erklärung, werd ich mal gleich ausprobieren.

</font><blockquote>Zitat:</font><hr />Anschließend bekommst Du (hoffentlich) eine Log-Datei namens OUTPUT.TXT. Den Inhalt poste hier bitte komplett. </font>[/QUOTE]Hier isse:
--===**'FIND-ALL' VERSION 3, 5/11**===--


Thu May 13 03:59:07 2004 -- Results:
*System Info:

Microsoft Windows 2000 [Version 5.00.2195]
C: "WINNT" (4CBE:296B) - FS:NTFS clusters:512
Total: 29 998 047 232 [28G] - Free: 18 399 201 280 [17G]


Locked or 'Suspect' file(s) found...
\\?\C:\WINNT\System32\LOGIKM.DLL +++ File read error
\\?\C:\WINNT\System32\LOGIKM.DLL +++ File read error


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4A368E80-174F-4872-96B5-0B27DDD11DB2}]
@="SpywareGuard Download Protection"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

Class Install Handler
{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}
C:\WINNT\system32\urlmon.dll

deflate
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINNT\system32\urlmon.dll

gzip
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINNT\system32\urlmon.dll

lzdhtml
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINNT\system32\urlmon.dll

text/webviewhtml
{733AC4CB-F1A4-11d0-B951-00A0C90312E1}
%SystemRoot%\system32\shell32.dll

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
no access VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Read VORDEFINIERT\Administratoren
Read NT-AUTORITŽT\SYSTEM

Ich habe die angegebenen Links besucht und kann nun selbst als Laie, feststellen, Lutz, dein Näschen hat dich nicht betrogen. Es gibt eine dll, die auch in der Windows Suche nicht gelistet wird.
Der Übertäter heißt wohl: LOGIKM.DLL

Habe auch die Reglite laufen lassen, hat ebenfalls diese dll lokalisiert.
Aber irgendwie kommt die mir bekannt vor. Die hab ich doch letzte Woche schon mal auf meinem Rechner gesehen, in irgendeinem Log file war die drin.


 </font><blockquote>Zitat:</font><hr /> In dieser Liste gibt es vor jedem Eintrag eine Klickbox, um die Beiträge zu markieren. Nur, wenn Du die markierst und dann auf 'Weiter' klickst, entfernt Adaware auch die Einträge.</font>[/QUOTE]Ja, jetzt kommt es mir wieder so langsam.
Das Anklicken habe ich selbstverständlich gemacht.
Sorry, für meinen Blackout. Bin wohl etwas überfordert.

Lutz, sag mir aber bitte nicht, ich soll nach der Anleitung wie sie bei wilders security steht, vorgehen.
Uuhhä, das geht ins Eingemachte.

Gruß
Robert

Lutz,
jetzt weiß ich woher ich die Datei LOGIKM DLL kenne.
Bin nochmals alle Postings durchgegangen und in einem der ersten hast du 2 Vorgehensweisen gelistet.
Hier sollte ich xfind durchlaufen lassen.
Da Vorschlag 1 aber schon half, war Nr. 2 ja nicht mehr notwendig.
Der Mensch ist ja aber neugierig und da ließ ich dann halt xfind mal scannen und siehe da, in der file.txt ist genau diese dll aufgeführt und daher kam die mir bekannt vor.
Habe der Sache damals keine Bedeutung beigemessen.
OK, thats life. Sorry for that.

Mal noch so allgemein angemerkt, habe in den letzten Tagen so ungewöhnliche Verhaltensweisen am LapTop beobachtet.
Also zunächst ist er ziemlich langsam geworden. Besonders als ich noch IE als Browser verwendete, mit Mozilla geht das alles irgendwie zwar schneller, aber immernoch mit kleinen Stockungen.

Öffne bzw. schließe ich eine Anwendung bauen sich häufig die Icons in der Schnellstartleiste neu auf.
Auch sonst baut er den Bildschirm gelegentlich total neu auf.
Ganz besonders fällt auf, das in den letzten Tagen, öfters die Meldung kommt, die Auslagerungsdatei ist nicht ausreichend und wird vergrößert.

Betroffen sind auch die "normalen" Anwendungen wie Excel und Word. Hier wird recht lange zeit benötigt, um eine Datei zu öffnen. Wird die Anwendung in der Sitzung erstmalig geöffnet, braucht der Rechner Ewigkeiten, war sie auf, geht es etwas schneller. Ich denke, das hängt auch mit der Auslagerung zusammen.

Ich wollte das hier nur mal erwähnen.
Vielleicht ist das ja alles auf den Hijacker zurückzuführen, der Systemressourcen blockiert.

Liebe Grüße
Robert

Hallo Robert,

</font><blockquote>Zitat:</font><hr />... sag mir aber bitte nicht, ich soll nach der Anleitung wie sie bei wilders security steht, vorgehen. Uuhhä, das geht ins Eingemachte... </font>[/QUOTE]'Wir' sind gerade fieberhaft dabei, eine Lösung zu entwickeln. Im Moment bin ich recht optimistisch, dass wir in ein -spätestens zwei- Tagen etwas anbieten können, was Dir und natürlich allen anderen Betroffenen die Arbeit bis auf ein paar Klicks abnehmen kann. Bis dahin schlage ich vor, dass Du erst einmal nichts weiter unternimmst. Ich melde mich hier, sobald es etwas 'Entscheidenes' zu berichten gibt.

Hi,

ich klink' mich mal hier ein, ohne den gesamten Thread gelesen zu haben. Lediglich auf die Ausgangsfrage will ich Bezug nehmen: Sieht aus wie StartPage-CZ aka StartPage.gv. Wird von der aktuellen Virendefinition von McAfee, Kapersky und F-Secure erkannt und gebannt. Mehr Infos s. hier.

Gruß, Mäc

Hi Mäc,
sieht ganz so aus als hätten wir eine Gemeinsamkeit:
</font><blockquote>Zitat:</font><hr /> StartPage-CZ aka StartPage.gv. </font>[/QUOTE].

Hab mir deinen Thread angesehen und muss sagen, vieles davon kommt mir sehr, sehr bekannt vor. Leider kann ich deine Vorgehensweise nicht ganz nachvollziehen, wegen der vielen Fachausdrücke.
Wie geht z. B.:
</font><blockquote>Zitat:</font><hr /> Mit regedt32 nehme ich die Sicherheitsberechtigungen für Search ganz raus - der Key ist leer, also nehme ich jede Berechtigung weg. </font>[/QUOTE]Ok, wie auch immer.
Kannst du mal nachsehen, ob bei dir eine "LOGIKM.DLL" vorhanden war oder gar noch ist?
Kennt jemand anderes diese dll?
Konnte die dll mit find all bzw. xfind sichten.

Übrigens, dank Vorschlag 1 von Lutz, habe ich seit über 1 Woche Ruhe. Der zweite Befall, ist wohl auf Schädlingsreste und Neuaktivierung dieser zurückzuführen. Mit den empfohlenen Scannern und Removern konnte die Sch..... beseitigt werden.
Ich warte nun noch auf die "Lösung", um absolut clean zu werden.

Danke und Gruß
Robert