Hallo liebe Trojaner!

Ich habe ein Riesenproblem mit dem Hijacker "about: blank": Der verhindert nämlich schon beim booten (sogar im abgesicherten Modus!), daß sämtliche meiner Programme, die normaler Weise unten rechts in der Taskleiste angezeigt wurden (z.B. AntiVirus, Drucker, ATI usw.), überhaupt geladen werden.

Auch kann ich kein einziges meiner Sicherheitsprogramme mehr öffnen: Anti Spy, Spybot Search & Destroy, Spyware Blaster, BHO Demon, FreeScan, Spy Protector, Stinger, Win Patrol, Zone Alarm- alles nutzlos!

Und wenn ich mir neue Programme aus dem Netz herunterlade, wie z.B. Shredder, Start up List, Search Smart Killer od. Hijackthis gilt das gleiche. Dadurch kann ich auch kein Logfile erstellen.

Darüber hinaus läßt sich aus der Systemsteuerung auch nicht mehr "System" öffnen, also kein früherer Systemwiederherstellungspunkt einstellen, ich komme nicht mehr in die "Registry" rein (" Ausführen" keine Funktion, "Eingabeauf- forderung" erscheint erst gar nicht) und jedesmal, wenn ich die Microsoft Support- Seiten anwähle, um etwas down zu loaden, erscheint "about: blank".

Das einzige, was ich durch einen Online- Security Check bei Symantec heraus gefunden habe, ist, daß folgende Dateien mit einem Trojaner infiziert sind:

C:\system32\dlldmt.exe
C:\system32\SetHomepage.exe (infiziert mit "trojanischer Startpage")
C:\Dokumente und Einstellungen\Lokale Einstellungen \Temp\iexplorer.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen \Temp\wnk34.exe u. wnk98.exe

Da ich ja in die Registry nicht rein komme, weiß ich nicht, wie ich sonst an diese Dateien gelangen kann (über das Ordnerverzeichnis waren sie nicht zu finden). Wisst ihr wie? Oder ganz was anderes? Ich bin langsam aber sicher am Verzweifeln, deshalb:

Bereits im voraus vielen Dank für eure Hilfe!

Eure Sinderella

Hallo Sinderella,

hast Du den Inhalt der Temp und 'Temporary Internetfiles' bereits gelöscht?

C:\Dokumente und Einstellungen\Lokale Einstellungen \Temp\iexplorer.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen \Temp\wnk34.exe u. wnk98.exe

Versuch mal bitte, ob Du Dir den eScan runterladen kannst, erstelle dazu - wenn es geht - einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083

Wenn es nicht geht, dass Du den eScan im abgesicherten Modus durchführst, führe ihn erstmal im normalen Modus durch. Teile uns dann bitte, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit.

Sollte das auch nicht gehen, versuch einen Online-Scan zu machen: eine Auswahl Online Scan's.

Wenn Du das geschafft hast, poste bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html. Sollte das alles nicht funktionieren, lass es uns bitte wissen.

Gruss
Shadowdance

Hallo Shadowdance,

vielen Dank für Deine schnelle Antwort!

Zu Punkt 1.: Nein, ich habe die Temp u. Internet Temporary Files nicht gelöscht, u. da ich in die Registry nicht rein komme, weiß ich auch nicht, wie ich das machen soll.

Zu Punkt 2.: Ich kann mir so ziemlich alles herunter laden, es nützt mir bloß nichts, da es sich anschließend nicht öffnen läßt. Habe es auch mit Deinen Vorschlägen versucht- e Scan u. Hijackthis (letzteres sogar unter einem empfohlenen Tarnnamen)-, aber die lassen sich ebenfalls nicht öffnen. Dadurch wiederum kann ich auch kein Logfile erstellen.

Zu Punkt 3.: Habe auf Deinen Rat hin heute einen erneuten Online- Scan ausführen lassen, u. zwar mit BitDefender. Der hat allerdings keine einzige infizierte Datei gefunden, was jedoch nicht sein kann, da ja Symantec gestern fündig geworden ist- siehe erstes Schreiben.

Zu Punkt 4.: Symantec beschreibt die Viren nur als "Trojan Horse" u. einmal als "Trojan.StartPage". In den Temporary Internet Files sind zusätzlich noch "Trojan.Bookmarker.Gen", "Bloodhound.Exploit.6", "MHTMLRedir.Exploit", "Downloader Harnig" u. "Download.Trojan" vertreten.

Ich bin mit meinem Latein wirklich am Ende, fällt Dir/ Euch noch was ein?

Jedenfalls schon mal vielen Dank für Eure Mühe!

Eure Sinderella

Hallo,

anzunehmen ist, daß sich auf deinem System härtere Kaliber wie die Backdoor Trojaner aus der bot-Familie befinden, die diese Symptome aufweisen.
Daher tendiere ich zu einem Neuaufsetzen deines Systems.

Hallo Cidre,

erstmal vielen Dank für Deine prompte Antwort.

Habe mich nach langem Zögern nun endlich dazu durchgerungen, XP Home neu zu installieren u. da passiert das Unglaubliche: Beim booten wird es ignoriert u. stattdessen mein altes System hoch gefahren. Und wenn ich es dann manuell starte, läßt es sich genau wie viele andere Programme erst gar nicht öffnen!

Darüber hinaus komme ich auch nicht mehr ins DOS (wie sonst immer über F2) u. wenn ich F8 drücke erhalte ich zwar die Seite mit dem abgesicherten Modus, kann ihn aber nicht anwählen, da die Pfeiltasten keine Funktion mehr haben!

Ich stehe kurz vor dem Nervenkollaps, weiß jemand Rat?

Vielen Dank im voraus,

eure Sinderella

Du musst eventuell erst im BIOS die Bootreihenfolge umstellen, so dass zuerst von CD gebootet wird, falls da die Festplatte zuerst steht, startet er natürlich sofort dein altes System.

Wichtig ist, dass du mit dem frischen XP nicht gleich ins Netz gehst, sondern einige Dinge vorher beachtest, ich kopiere mal meine Liste:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Hallo MountainKing,

vielen Dank, daß Du so schnell geantwortet hast!

Genau wie Du es beschrieben hast, hatte ich es gemacht: Im DOS (oder BIOS) hatte ich eingestellt, daß ausschließlich das CD- ROM- Laufwerk geladen werden soll- es wird aber ignoriert u. statt dessen das alte System geladen.

Und inzwischen komme ich über die F2- Taste nach Neustart nicht einmal mehr dort hin, kann also keine Veränderungen mehr vornehmen.

Was soll ich nun machen?

Viele Grüße

Sinderella