Ne, wie es ausschaut ist die Krise bei mir wirklich überstanden. Auch nach einem neustart sind die Einträge in der Registry nicht wiedergekommen.

aaalsooo...

diese Windll-Datei konnte ich recht problemlos löschen, nachdem ich den Prozess im Taskmanager beendet hatte.

Das Gleiche habe ich dann auch bei der SCVHOST-Datei versucht.

Hier gibt es im Taskmanager ca. 5 Prozesse mit diesem Namen. Die meisten davon kann ich auch recht einfach beenden. Doch um die Datei zu löschen, muss ich einen bestimmten Prozess beenden. In diesem Moment erscheint ein Fenster, dass mein PC innerhalb einer Minute runtergefahren wid.
Nach dieser Meldung ist es auch nicht mehr möglich, Dateien zu löschen.

und nun? ;)

Öh auf passen! im Taskmanager gibt es Prozesse die heißen fast! gleich, sind aber Windowsprozesse.
Die Windowsprozesse heißen svchost.exe, die nicht(!) beenden. Die Datei die gelöscht werden muss heißt aber scvhost.exe.

Björn

Hello again

Also die 2 Dateien sind gelöscht und auch nicht wiedergekehrt.

Doch diese Startseite ist dennoch nicht verschwunden. Hat jemand ne Idee, wie's weitergehen kann?

Hallo Mark,

hast Du schon mal deinen Rechner im abgesicherten Modus mit dem CWShredder gescannt? Wenn nein, mach das bitte einmal.
Den CWShredder findest Du hier:
http://filepony.de/download-cwshredder/

zu erkennen an diesem Icon http://www.bul-online.de/av/cwshredder.gif

Eine Hilfestellung zum 'abgesicherten Modus' findest Du hier:
http://www.trojaner-board.de/63335-w...s-starten.html

Anschließend poste bitte ein neues HiJackThis-Log.

Gruß,
Lutz

ok - gemacht...


</font><blockquote>Zitat:</font><hr /> Logfile of HijackThis v1.97.7
Scan saved at 23:55:27, on 20.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Winamp\winampa.exe
C:\program files\lotus\notes\ntmulti.exe
C:\Programme\QuickTime\qttask.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\dokume~1\abc\anwend~1\update.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Dokumente und Einstellungen\abc\Eigene Dateien\Downloads\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WIN_XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [windll32] C:\WIN_XP\System32\windll32.exe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [COMDRV32] C:\WIN_XP\svchost.exe
O4 - HKLM\..\RunServices: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WIN_XP\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update] c:\dokume~1\abc\anwend~1\update.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...092.4275231482
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

</font>[/QUOTE]

Hallo,

bitte als erstes diese beiden Dateien
</font><blockquote>Zitat:</font><hr /> C:\WIN_XP\System32\RUNDLL32.EXE
C:\dokume~1\abc\anwend~1\update.exe
</font>[/QUOTE]bei Kaspersky online überprüfen: http://www.kaspersky.com/de/remoteviruschk.html

Schau mal bitte nach, ob Du diese Datei im angegebenen Pfad auf Deinem Rechner findest, wenn ja, bitte ebenfalls bei Kaspersky überprüfen:
</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
</font>[/QUOTE]Wenn ein Virenbefund festgestellt wird, bitte mitteilen, was genau gefunden wurde und dann anschließend die Einträge mit HiJackThis fixen.

Folgendes ebenfalls fixen:
</font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [windll32] C:\WIN_XP\System32\windll32.exe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
...
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
</font>[/QUOTE]Achtung: Wichtig ist, dass Du uns mitteilst, was bei der Analyse von Kaspersky heraus gekommen ist. Ich hab die Befürchtung, dass Du ein viel größeres Problem hast, als 'nur' eine umgeleitete Startseite...
Schau Dir mal diese Seite an, da findest Du Dateien von Deinem System wieder:
http://www.sophos.de/virusinfo/analy...ojdasmine.html

Alternativ bzw. zusätzlich kannst Du auch mal einen Online-Virenscan machen: http://www.bul-online.de/av/onlinescan.shtml
Ich schlage hier Bitdefender, TrendMicro oder RAV vor...

Gruß,
Lutz

Hi und ganz großen Dank!

Ich habe den Test bei Kaspersky gemacht und alle 3 Dateien waren demnach ok. Dann habe ich eben auch noch den BitDefender durchlaufen lassen und auch der hat wohl nichts gefunden.

So weit so gut...

Doch was mir Sorgen macht, ist, dein einer Link, denn damit liegst du schon wohl sehr richtig.

Als ich das letzte Mal AntiVir durchlaufen ließ, stieß das Programm immer wieder auf "Dasmin.B"

Allerdings meldete AntiVir, dass sie ihn entfernt hättten...

Was nu [img]graemlins/zzwhip.gif[/img] ?

Marc

Hallo Marc,

</font><blockquote>Zitat:</font><hr />Was nu ?</font>[/QUOTE]Ehrliche Antwort?
Ich würde das System neu aufsetzen.
Oder Du wählst Dir einen Wiederherstellungspunkt bei dem Du Dir sicher bist, dass zu diesem Zeitpunkt Dein Rechner clean war.

Gruß,Lutz

hey... ich habs befürchtet...

derzeit äußert sich dieses Problem ja aber nur in Form dieser Startseite. Würdest du mir definitiv davon abraten, esceinfach dabei zu belassen?


</font><blockquote>Zitat:</font><hr />Oder Du wählst Dir einen Wiederherstellungspunkt bei dem Du Dir sicher bist, dass zu diesem Zeitpunkt Dein Rechner clean war.

</font>[/QUOTE]Das wäre aber schon noch eine Alternative, da ich den Zeitraum relativ gut eingrenzen kann...

Wie würde ich denn da vorgehen...?

Hallo,

die Systemwiederherstellung (so diese aktiv ist!) funktioniert folgendermaßen:

Unter Start -&gt; Hilfe und Support gibt es den Punkt 'Computeränderungen mit der Systemwiederherstellung rückgängig machen'. Dort wählst Du 'Computer zu einem früheren Zeitpunkt wiederherstellen' -&gt; Weiter.
Als nächstes bekommst Du links einen Kalender angezeigt. Jeder fett markierte Tag zeig an, dass an diesem Tag mindestens ein Wiederherstellungspunkt erstellt wurde.

Im rechten Fenster kannst Du den/die Wiederherstellungspunkte auswählen, die an dem vorher im Kalender ausgewählten Tag erstellt wurden. Danach musst Du 'nur' noch ein paar Mal mit 'Weiter' bestätigen...

Bitte denk dran, das auch alle von Dir gewollten Veränderungen/Installationen (z. B. Windowsupdates!) die Du nach dem ausgewählten Zeitpunkt vorgenommen hast gelöscht werden.


</font><blockquote>Zitat:</font><hr />Würdest du mir definitiv davon abraten, es einfach dabei zu belassen?</font>[/QUOTE]Ja, bei so ungeklärter Malware-Lage auf jeden Fall.

Gruß,
Lutz

Hey
Also, ich habe eben die Systemwiederherstellung durchgeführt. Leider kam bei den verschiedenen Daten immer die Meldung, dass es an diesem Datum nicht möglich sei.
Nun läufts dann wohl doch auf eine völlige Neuinstallation hinaus.

Wie siehts hierbei mit meinen Word-Daten etc. aus? Bleiben die bestehen oder sollte ich sämtliche Daten zuvor sichern?

Und natürlich: wie mache ich es am besten?

Danke!

</font><blockquote>Zitat:</font><hr />Also, ich habe eben die Systemwiederherstellung durchgeführt. Leider kam bei den verschiedenen Daten immer die Meldung, dass es an diesem Datum nicht möglich sei.</font>[/QUOTE]Ich muss zugeben, dass ich bei der Systemwiederherstellung selber noch nicht viel praktische Erfahrung nachweisen kann. Da gibt's hier bestimmt Leute, die da mehr zu sagen können...

Wurden Dir denn überhaupt Wiederherstellungspunkte angezeigt? Wenn ja, kannst Du es einmal im abgesicherten Modus von WinXP versuchen.
Link hierzu: http://www.trojaner-board.de/63335-w...s-starten.html


</font><blockquote>Zitat:</font><hr />Wie siehts hierbei mit meinen Word-Daten etc. aus? Bleiben die bestehen oder sollte ich sämtliche Daten zuvor sichern?

Und natürlich: wie mache ich es am besten?
</font>[/QUOTE]Du musst vorher sämtliche Dateien sichern, die Du noch brauchst. Bei einer Formatierung der Festplatte ist diese anschließend leer! Es sind also alle Daten 'weg'. Wie Du am besten sicherst, kommt darauf an, was für Hardware vorhanden ist. Am Einfachsten ist es, wenn Du einen Brenner in Deinem Rechner hast und alle wichtigen Daten auf CD brennst. Wenn kein CD-Brenner vorhanden ist, musst Du auf andere Speichermedien ausweichen. Entweder eine 'handvoll' Disketten oder zum Beispiel ein USB-Stick.

Tipps rund ums formatieren findest Du mit ein bisschen googlen.
Z.B. hier: http://www.formatieren.de/home.htm

Gruß,
Lutz

ja, Mögliche Wiederherstellungsdaten wurden mir genügend angezeigt - fast jeder 2. Tag.

Nen Brenner habe ich, daher könnte ich die betreffenden Daten schon alle sichern. Hatte ich ohnehin mal wieder vor.
Ein wenig problematisch ist es natürlich eher mit installierten Programmen, da ich diese nicht so einfach sichern kann und ein wenig Sorgen mache ich mir auch, ob ich sämtliche Treiber etc. danach wieder hinbekomme - war teilweise auch nicht alles so einfach.

Zu der Formatierung habe ich noch eine Frage:
Ich mein, derzeit läuft bei mir ja bis auf die Startseite eigentlich alles fehlerfrei.

Da ich zudem auch keinerlei heikle Daten auf meinem PC habe, die ich zwingend vor trojanischen Pferden schützen müsste, ist die Gefahr nicht all zu groß.

Was könnte im schlimmsten Fall passieren, wenn ich es jetzt doch einfach ignoriere und den Schritt hin zur Formatierung erst dann in Angriff nehme, wenn das Problem doch größer werden sollte?