Hi,

habe auch das lästige about:blank-Startseitenproblem (IE Windows XP). Probiere seit Tagen verzweifelt alle guten Tipps aus (CWS Shredder, HijackThis, spybot, Systemwiederherstellung deaktivieren, abgesicherter Modus, Windosw Update, ZoneAlarm uswusw.) Bisher leider alles erfolglos.

Auch die hier im Forum vorgestellte real-yellow-page-Lösung und eScan habe ich ausprobiert. Auch nix! Meine letzte Hoffnung: Die xfind-Variante. Allerdings habe ich nicht wirklich verstanden, wie die funktioniert (erbärmlicher Computerlaie). Deshalb meine große Bitte: Kann mir jemand verraten, was ich mit folgendem Ergebnis
der xfind-Suche anfangen soll?

--===**'FIND-ALL' VERSION 2, 5/04**===--


Tue May 11 21:50:30 2004 -- Results:
*System Info:

Microsoft Windows XP [Version 5.1.2600]
C: "SYSTEM" (A0DB:9126) - FS:NTFS clusters:4k
Total: 16 105 062 400 [15G] - Free: 8 296 685 568 [7.7G]


Locked or 'Suspect' file(s) found...
\\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error
\\?\C:\WINDOWS\System32\CDAE.DLL +++ File read error


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2BBD3D0B-93EC-41A3-BF94-331092075F59}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

Class Install Handler
{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}
C:\WINDOWS\system32\urlmon.dll

deflate
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

gzip
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

lzdhtml
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

text/html
{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}
C:\WINDOWS\System32\cdae.dll

text/plain
{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}
C:\WINDOWS\System32\cdae.dll

text/webviewhtml
{733AC4CB-F1A4-11d0-B951-00A0C90312E1}
%SystemRoot%\system32\SHELL32.dll

{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll
{2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll
{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll
{2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll

_______________________________

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

{2BBD3D0B-93EC-41A3-BF94-331092075F59}
C:\WINDOWS\System32\cdae.dll


Bin dankbar für jeden Tipp!
Habe inzwischen zwar auf Firefox umgestellt, will aber nach soviel vergeblichen Versuchen den verdammten Virus endlich loswerden.

Gruß
Aendru

PS: Übrigens findet CWSShredder im absicherten Modus jedes Mal CWS.searchx und CWS.msconfig, im normalen Modus immer nur CWS.searchx. Führt das irgendwie auf die Spur?

Hi,

es wird davon berichtet, dass mehrmaliges scannen und bereinigen mit Cwhsredder einige der hartnäckigen fälle löst..

dito probier mal den ESCAN/KAV-Scanner von microworld

und poste doch mal ein hijackthis-log hier..

Hast du für alle Zonen im IE activeX & scripting deaktiviert ?

(Links zu o.g. durchgeführten Lösungsvorschlägen können auch nie schaden)

Hallo Aendru und Willkommen im Board,

da hast Du Dir wirklich die bisher hartnäckigste Variante eines Hijackers eingefangen. Eine 'Knopfdrucklösung' gibt es meines Wissens immer noch nicht. :(

Im Board von Rokob-Security habe ich gestern mal schrittweise dokumentiert, welche Schritte ich nach einer bewussten Infektion durchgeführt habe. Ich muss allerdings zugeben, dass das noch nicht 'anfängertauglich' ist.
Hier kannst Du es einmal nachlesen.
Wenn Du es Dir zutraust, kannst Du versuchen, die einzelnen Schritte (ab Punkt 2) einmal durchzuführen. Ich weise aber ausdrücklich darauf hin, dass das nur auf eigene Gefahr erfolgen kann!!

In meinem Beitrag von heute im gleichen Thread bei Rokob habe ich mal meine OUTPUT.TXT mit Deiner verglichen. Die 'interessanten' Einträge habe ich da blau markiert. Um diese Einträge loszuwerden schlage ich folgendes vor.
Starte den Editor und kopiere folgendes hinein:
</font><blockquote>Zitat:</font><hr /> REGEDIT4

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
"{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"="%SystemRoot%\system32\SHELL32.dll"
</font>[/QUOTE]Speichere die Datei (am besten direkt auf dem Desktop) unter dem Namen clean.reg. Bei Dateityp musst Du 'Alle Dateien' angeben, damit die Datei auch wirklich als reg-Datei und nicht als reg.txt gespeichert wird.
Wenn Du die Datei auf dem Desktop gespeichert hast, führe sie (im abgesicherten Modus) mit einem Doppelklick aus. Damit sollten die 'bösen' Einträge in der Registry entfernt/überschrieben werden.

Nochmal der Hinweis: Dies geschieht auf eigene Gefahr! Mach am besten zuerst eine komplette Sicherung der Registry. Dazu gehst Du auf Start -&gt; Ausführen, gibts bei Öffnen regedit ein und bestätigst dies mit der [ENTER]-Tast. Im Registrierungs-Editor gehst Du auf Datei -&gt; Exportieren. Bei 'Speichern in' gibst Du einen Pfad an, den Du Dir gut merken kannst, damit Du die Sicherung bei Bedarf schnell wiederfindest. Auch hier bietet sich imho der Desktop an.
Bei 'Dateiname' gibst Du beispielsweise Komplett_12_05_04 an. Unter 'Exportbereich' wählst Du 'Alles' und klickst dann auf 'Speichern'. Wenn etwas schief gehen sollte, kannst Du mit einem Doppelklick auf 'Komplett_12_05_04.reg' den vorherigen Zustand wieder herstellen.

Bevor Du etwas unternimmst, möchte ich Dich allerdings bitten, erst einmal ein Log von HijackThis hier zu posten.

Hallo Lutz,

erstmal vielen Dank für die schnelle Antwort.

So sieht der aktuelle Scan-Log von HijackThis aus:

Logfile of HijackThis v1.97.7
Scan saved at 12:08:22, on 12.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\D-Link AirPlus\AIRPLUS.EXE
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...100.0333912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Normalerweise hätte ich jetzt alle Einträge mit cdae.dll gefixt. Habe bisher aber noch nichts unternommen, falls ich vielleicht bisher immer etwas übersehen habe.

Gruß
Aendru

Hallo,

folgendes muss raus:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing) </font>[/QUOTE]Das Entfernen allein wird dir nichts nützen, da die Einträge spätestens nach 24 Stunden unter einem anderen Namen wieder auftauchen.
'Traust' Du Dir das zu, was ich vorhin geschrieben habe?

Ich probier's einfach mal. Wahrscheinlich taucht dabei noch die eine oder andere Frage auf. Werde mich dann vertrauensvoll an Dich wenden.

Danke und bis dann
Aendru

[ 12. Mai 2004, 14:56: Beitrag editiert von: Aendru ]

Hallo Lutz,

bis Punkt 7) bin ich noch gekommen. Habe den Wert c:\windows\system32\wdmbch.dll wie angegeben gelöscht. Leider tauchte die Datei unter Windows\system32 nicht auf (Ordneroption: Alle Ordner und Dateien anzeigen).

Habe im abgesicherten Modus nochmals CWSShredder, adaware und HijackThis durchlaufen lassen und alles Böse eliminiert.

Bei der Überprüfung mit Find-All war c:\windows\system32\wdmbch.dll natürlich noch da.
Bin mir sicher, das spätestens ab morgen das alte about:blank-Spielchen wieder losgeht.

Hast Du noch einen Tipp?

Gruß
Aendru

Mhmm, so spontan nicht. ;(

Eher eine Frage, anders als bei meiner 'Test-Infektion' sind bei Dir ja zwei dll's angegeben. Wird die CDAE.DLL jetzt auch noch mit Find-All angezeigt?
Poste doch noch einmal bitte eine aktuelle OUTPUT.TXT, vielleicht fällt mir dann noch etwas auf bzw. ein...

So sieht das aktuelle Ergebnis aus:

--===**'FIND-ALL' VERSION 2, 5/04**===--


Wed May 12 15:38:34 2004 -- Results:
*System Info:

Microsoft Windows XP [Version 5.1.2600]
C: "SYSTEM" (A0DB:9126) - FS:NTFS clusters:4k
Total: 16 105 062 400 [15G] - Free: 8 275 591 168 [7.7G]


Locked or 'Suspect' file(s) found...
\\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error
\\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

Class Install Handler
{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}
C:\WINDOWS\system32\urlmon.dll

deflate
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

gzip
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

lzdhtml
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

text/webviewhtml
{733AC4CB-F1A4-11d0-B951-00A0C90312E1}
%SystemRoot%\system32\SHELL32.dll


_______________________________

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx


Gruß
Aendru

Kannst Du mal in der Registry (entweder mit regedit oder mit dem Tool RegAlyzer) die komplette Registry im abgesicherten Modus nach folgendem durchsuchen: WDMBCN.DLL

Wahrscheinlich ist ein evtl. Aufruf zwar wieder 'superversteckt', aber vielleicht haben wir ja Glück. Wenn wir den finden, können wir evtl. auch diese dll killen.

Ansonsten versuch mal die Killbox
http://download.broadbandmedic.com/VbStuff/KillBox.zip

Eine Anleitung hierzu findest Du hier:
http://www.trojaner-info.de/anleitun...llow_page.html
Dort unter Schritt 5

Das kam dabei raus:

Als RegAlyzer etwas fand, wurde das Programm merkwürdigerweise automatisch geschlossen. Ich habe die einzelnen Reg-Hauptordner dann einzeln untersuchen lassen, mit folgendem Ergebnis:

In folgenden Keys fand RegAlyzer den Eintrag wdmbcn.dll (jeweils an Position 000 REG_SZ):

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5604

An den anderen Positionen dieser Keys tauchten auch ziemlich verdächtige Einträge auf (z.B. Position 014 REG_SZ TR/Java.ByteVerify).

Leider fand sich unter HKLM/Software (...) Current Version/Windows auch wieder der alte Eintrag c:\windows\sytsem32\wdmbcn.dll, den ich eigentlich schon gelöscht hatte.

Mit Killbox bin auch auch wie vorgegeben verfahren. Danach AppInit Clean mit Process-Viewer wie beschrieben. Im Moment sieht der Hijack-Scan auch noch sauber aus. Im Moment...

Gruß
Aendru

PS: CWSShredder hat danach (im abgesicherten Modus) wieder CWS.msconfig gefunden!

[ 12. Mai 2004, 17:45: Beitrag editiert von: Aendru ]

Hallo Aendru,

im Moment möchte ich Dich um ein bisschen Geduld bitten, falls Dein Problem noch nicht endgültig gelöst ist.
'Wir' arbeiten gerade an einer Lösung. Aber das braucht natürlich seine Zeit, denn es soll ja auch sauber funktionieren.

Wenn Du die Datei wdmbcn.dll noch auf Deinem Rechner hast und sie nicht versteckt ist, schick sie mir doch bitte mal per Mail. Ich würde die gerne zu einer genaueren Analyse weitergeben.

Hi Lutz,

im Moment sieht noch alles sauber aus. Vielleicht hat's diesmal tatsächlich geklappt. Ganz traue ich dem Frieden allerdings noch nicht. Ich werde Dir morgen nochmal eine Rückmeldung geben.

Gruß
Aendru

Hallo Aendru,

einen gleich (oder zumindest ähnlich) gelagerten Fall findest Du hier. Sieht für mich aus wie StartPage-CZ/StartPage.gv: Ersetze den DLL-Namen des BHO durch einen (beliebigen) anderen, dann passt's!
Welchen Virenscanner verwendest Du? Ist die Virendefinition aktuell? F-Secure Anti-Virus, Kaspersky Anti-Virus und McAfee VirusScan sollten ihn mittlerweile erkennen. Ansonsten probier' mal meinen Workaround und mach mal 'ne Testsuche nach "searchx".

Moin, das Remove-Tool ist da: Rokop Security - aber wie gesagt, ein aktuelles Antiviren-Update tut's mittlerweile auch... ;) Trotzdem: Hut ab, Rokop! [img]graemlins/daumenhoch.gif[/img]

Hi zusammen,

noch immer alles im grünen Bereich! Sieht tatsächlich so aus, als wär der lästige Virus endlich eliminiert.

Lutz, Du bist der Beste!! Vielen Dank für Deine kompetente und nette Hilfe!

Nur noch eine Frage: Kann ich die verdächtigen Keys HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 (und ...5604) einfach löschen? Hier taucht nämlich noch immer ein Eintrag mit wdmbcn.dll sowie weitere trojanermäßige Geschichten auf.

Gruß
Aendru

Hallo Aendru,

ich würde nicht die gesammten Schlüssel löschen, sondern nur die einzelnen Werte, in denen die wdmbcn.dll und die anderen suspekten Einträge stehen. Auf alle Fälle solltest Du vorher zur Sicherheit ein Backup der Registry machen.

Edit: Wort Registry eingefügt

[ 14. Mai 2004, 19:55: Beitrag editiert von: Lutz (DerBilk) ]

Hallo
Ich habe den gleichen Trojaner.
Hat das vielleicht auch was mit pan.dll zu tun?
Mein Norton zeigt mir den immer als risikobehaftete Datei an, löscht ihn aber nicht.


Gruß Fogerty