HAI Who
im OP steht:
</font><blockquote>Zitat:</font><hr />
CWShredder entfernt mir auch immer folgende Dateien:

CWS.Smartsearch
CWS:MSconfig
CWS:SVchost32

</font>[/QUOTE]EDIT: noch ein Link http://www.antivir.de/vireninfo/mimaili.htm, unter "Symptome" lesen...

ok Rene, ich bin blind, aber:

Merijn sagt:
CWS.Svchost32
Variant 7: CWS.Svchost32 - Evading detection
Approx date first sighted: August 3, 2003
Log reference: http://boards.cexx.org/viewtopic.php?t=1027
Symptoms: Redirections to slawsearch.com when accessing Google, searching on Yahoo or mistyping an URL
Cleverness: 10/10
Manual removal difficulty: Involves a process killer
Identifying lines in HijackThis log:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.slawsearch.com
O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\SYSTEM\svchost32.exe"

This variant of CWS was focused on only evading existing detection tools. What was visible in a HijackThis log wasn't nearly all of it. The hijack installed dozens of redirections from international Google domains, MSN and Yahoo search engines to a webserver running at the user's own machine. The webserver even had the seemingly unsuspicious filename of 'svchost32.exe' to look like the Windows system file 'svchost.exe'. Anytime a user accessed Google, searched with Yahoo or mistyped an URL, he was redirected to slawsearch.com.

Fixing this hijack involved using a process killer to stop the webserver process, and editing the Hosts file to remove the Google/Yahoo/MSN redirections.


*** außerdem meine ich, dass diese cws-Meldung imho bei bestimmten Versionen IMMER kam, z.b. nach Update ?

Wenn nicht Cwshredder auf ALLE Dateien svchost32 anspringt
--&gt; Ein HIJACKER: Wohl kaum so gefährlich wie agobot/mimail, gelle ?


Evtl sollte DV mal sein System mit HijackThis scannen, wenn irgendwelche Symptome auftreten/nach reboot, bzw. generell mehr Info liefern...


Aber ich will niemand davon abhalten, sein System neu aufzusetzen: Das bringt Platz und macht die Kiste schneller, wenn er es schafft, die entsprechenden Patche (offline) vor dem ersten Einschlag der RPC-Würmer einzuspielen

HAI
</font><blockquote>Zitat:</font><hr />
Aber ich will niemand davon abhalten, sein System neu aufzusetzen: Das bringt Platz und macht die Kiste schneller, wenn er es schafft, die entsprechenden Patche (offline) vor dem ersten Einschlag der RPC-Würmer einzuspielen </font>[/QUOTE]...eben. Wenn man sich richtig benimmt und alles von http://winfuture.de/news,12394.html mittels eines gepatchten PCs herunterlädt, gibt es keine Probs.
PS: Wir haben uns immer gut verstanden, oder? .

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:

PS: Wir haben uns immer gut verstanden, oder? . </font>[/QUOTE]Klar doch..
aber wir haben ja auch keine Probleme mit Malware... [img]smile.gif[/img]

EDIT: Ich hab grad mit der aktuellsten CWshredder-Version folgendes Ergebnis bekommen:


"
Done!
Removed from your system:
- CWS.Xmlmimefilter"

Und tatsächlich, war die Seite weg. Ich hab Google als Startseite eingerichtet und selbst nachdem ich den IE beedndet hab und wieder geöffnet hab, war google noch Startseite. Schaut gut aus....
Ich werd jetzt mal meinen Rechner Neustarten und schauen was passiert.


-------------------------------------------------

Schön, dass mein Problem so eine Diskussion auslöst.

Ich versuche nochmal Klarheit zu schaffen:

also, "about:blank" steht zwar in der Explorerleiste, trotzdem kommt diese blöde Suchmaschinenseite. Ich hab schon xmal versucht unter Optionen das Ding zu ändern auch da steht nämlich unter Startseite "about:blank". und beim nächsten IE-Start steht das dann da wieder! ICh kann hier keinen Screenshot der blöden Startseite uppen, aber wer ihn will, ich kann ihn gerne per email schicken! (den Screenshot mein ich)
Naja, ich hab die seite halt "Search the web" genannt, weil dieser Text oben am Seitenrand steht! Alles sehr komisch, ich weiss.

CWSSvchost32 macht CWshredder immer weg: "Removed"
Bei den anderen beiden habt Ihr Recht, da heisst es "if present"
Und am Ende im Report, dass mein System clean ist. CWshredder erkennt den Schädling also nicht! Wie gesagt, ich bin nicht blöd, das letzte Mal, hab ich CoolWebsearch auch wegbekommen. Diese "about blank-seite" die aber nicht blank ist, sondern die Suchmaschine anzeigt, ist auch ohne Neustart bei jedem mal IE öffnen wieder da!

Ich hab jetzt 1.97.7 HijackThis drüberlaufen lassen und hab folgendes Ergebnis:


Logfile of HijackThis v1.97.7
Scan saved at 16:54:18, on 03.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\PROGRA~1\EZButton\CP51NBtn.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\RepliGo\RepliGoMon.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\PROGRA~1\EZButton\CPHKCnt.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\EZButton\DtcEMail.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Capman.exe
C:\PROGRA~1\Nokia\PCSUIT~1\ARCHIV~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.lrz-muenchen.de:8080;http=proxy.lrz-muenchen.de:8080;https=proxy.lrz-muenchen.de:8080;socks=socks.lrz-muenchen.de:1080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Programme\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\PLUGINS\npchime.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...887.6317824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}


Nochmal zum Thema Datensicherung:

Ich bin kein Depp, mir ist schon klar, das das machbar ist. Hab ich auch erst vor ein paar Monaten gemacht. Und trotzdem, bzw deswegen muss ich sagen, dass ich mein System im Moment ganz gern mag. Und die X kleinen Einstellungen und alles Mögliche schrecken mich halt vor einer Neuinstallation ab. Vielleicht versteht mich ja jemand. Wegen dieser sch... Startseite jetzt alles platt machen?


@Rene-Gad: Weisst Du wie ich
W32.HLLW.Gaobot besiegen kann?


Danke Euch allen nochmal.

Basti

[ 03. M&auml;rz 2004, 17:10: Beitrag editiert von: DerVerzweifelte ]

Auch auf die Gefahr, mich unbeliebt zu machen...

Ich sehe im Moment immer noch keinen konkreten Anlass, das System platt zu machen. Das würde im konkreten Fall imho erst dann Sinn machen, wenn bekannt ist, womit genau das System infiziert ist. Sonst schwindet die Chance, die nächste Infektion zu verhindern. Mit anderen Worten. Du machst Dein System neu, nach wenigen Minuten online den gleichen 'Fehler' noch einmal und bist dann genauso weit wie in diesem Moment.

</font><blockquote>Zitat:</font><hr />..AFAIK diese Datei weist auf W32.HLLW.Gaobot hin...</font>[/QUOTE]AFAIK würde SCVHOST.EXE auf Gaobot hinweisen...
Ich tippe vielmehr auf eine Mimail-Variante und würde nachschauen (google) ob zu Mimail gehöhrende Symptome auf dem Rechner vorhanden sind. Was der eine oder andere meint ist aber imho völlig nebensächlich... Wichtig sind Fakten!

Welche Version von CWShredder hast Du im Einsatz? Ist das die aktuellste? Wenn ja ist das in meinen Augen dennoch ein (unbekannter) Hijacker und kein gewöhnlicher Trojaner, solange nicht weitere Symptome bekannt werden...


tschööö, DerBilk

</font><blockquote>Zitat:</font><hr />Original erstellt von DerVerzweifelte:
EDIT: Ich hab grad mit der aktuellsten CWshredder-Version folgendes Ergebnis bekommen:


"
Done!
Removed from your system:
- CWS.Xmlmimefilter"

Und tatsächlich, war die Seite weg. Ich hab Google als Startseite eingerichtet und selbst nachdem ich den IE beedndet hab und wieder geöffnet hab, war google noch Startseite. Schaut gut aus....
Ich werd jetzt mal meinen Rechner Neustarten und schauen was passiert.</font>[/QUOTE]Na bitte, da haben wir es doch (vermutlich) schon!

Ok, das wars! CWshredder 1.52.1. hat mich und mein System gerettet. Ich werd nichts neuinstallieren. Selbst wenn ich weiß, wie das geht...

Danke Euch allen für die überwiegend freundliche Hilfe!

Basti

</font><blockquote>Zitat:</font><hr />
CWshredder 1.52.1....</font>[/QUOTE]Es gibt mindestens schon die Version 1.52.2:
http://filepony.de/download-cwshredder/
Also bitte immer erst prüfen, ob es eine neuere Version gibt, auch wenn 'Check for Update' leider immer noch nicht funktioniert.

Tschööö, DerBilk

@DerBilk
</font><blockquote>Zitat:</font><hr />
...Auch auf die Gefahr, mich unbeliebt zu machen...
</font>[/QUOTE]
..so ein Quatsch! Ich finde dich toll - egal, ob du pro oder contra mich postest .
</font><blockquote>Zitat:</font><hr />..Ich sehe im Moment immer noch keinen konkreten Anlass, das System platt zu machen.
</font>[/QUOTE]
...eben : "im Moment"
</font><blockquote>Zitat:</font><hr />
AFAIK würde SCVHOST.EXE auf Gaobot hinweisen...
</font>[/QUOTE]
SVCHOST.exe ist im Grunde genommen eine äußerst wichtige Systemdatei (keine Entdeckung), kann aber u.U. auch ein Pferdchen darstellen ( http://www.klake.org/~jt/malware/svchost/ )aber kein Gaobot ( http://www.vsantivirus.com/gaobot-dc.htm)
</font><blockquote>Zitat:</font><hr />
Wichtig sind Fakten!
</font>[/QUOTE]
FULL ACK. Du gehst aber vom &lt;the best case&gt; aus, ich - nicht.
</font><blockquote>Zitat:</font><hr />
Welche Version von CWShredder hast Du im Einsatz? Ist das die aktuellste?
Wenn ja ist das in meinen Augen dennoch ein (unbekannter) Hijacker und kein gewöhnlicher Trojaner, solange nicht weitere Symptome bekannt werden...
</font>[/QUOTE]
...und was soll man jetzt untrenehmen? Warten, bis der "Unknown Trojan" seine Arbeit bis zum bitteren Ende tut?

Abschließend (vielleicht) noch Info:

Variant 34: CWS.Xmlmimefilter - About:blank hacked v2.0
Approx date first sighted: February 29, 2004
Log reference: http://computercops.biz/postt21263.html
Symptoms: IE homepage changed to about:blank, which is changed to a search engine named 'Microsoft Search the Web', mistyped URLs being redirected to this same search engine
Cleverness: 10/10
Manual removal difficulty: Involves quite some Registry editing
Identifying lines in HijackThis log:
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll

Though the hijacking of the about:blank page was also done by the CWS.Winres variant, this new variant accomplishes it in a much more elegant way. The DLL itself used for handling the 'about:' protocol is changed to a malicious msxmlpp.dll one, displaying a search engine instead of a blank page filled with links to 66.117.38.91.
Changing the CLSID of the about protocol back to the default {3050F406-98B5-11CF-BB82-00AA00BDCE0B}, deleting the file and removing the hosts file hijack fixes this.


Steht ja eigentlich alles drin..: Aber man kann halt auch nicht ALLES auswendig wissen [img]smile.gif[/img]

Hi Rene,

</font><blockquote>Zitat:</font><hr />...Du gehst aber vom &lt;the best case&gt; aus, ich - nicht...</font>[/QUOTE]Nein, nicht ganz. Ich gehe von den mir zur Verfügung stehenden Informationen aus.
Was hatten wir:
Eine veränderte Startseite, die ich -zugegebnermaßen- in der Form bisher nicht kannte und drei Meldungen vom CWShredder, von denen sich am Ende des Threads herausstellte, dass nur noch eine zutreffend war.
</font><blockquote>Zitat:</font><hr />Zitat DerVerzweifelte:
...CWSSvchost32 macht CWshredder immer weg: "Removed"
Bei den anderen beiden habt Ihr Recht, da heisst es "if present"...</font>[/QUOTE]Was mir aber für einen Trojaner-/Wurmbefall im Log fehlte war -um beim Beispiel Mimail-J zu bleiben beispielsweise folgender Reg-Eintrag:

</font><blockquote>Zitat:</font><hr />
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SvcHost32"="%WINDOWS%\svchost32.exe"</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />Zitat Rene-gad:
...und was soll man jetzt unternehmen? Warten, bis der "Unknown Trojan" seine Arbeit bis zum bitteren Ende tut? </font>[/QUOTE]Nein, aber erst einmal den genauen 'Befund' erstellen, bevor man Aktionen vorschlägt.
Gehen wir mal weiterhin von einem fiktiven Mimail-J - Befall aus. Selbst wenn so ein Befall 'bewiesenermaßen' vorgelegen hätte, würde ich personlich von einer Neuinstallation abraten, sofern nicht ein zeitnahes, aber 'cleanes' Image zur Verfügung steht!
Was richtet Mimail-J lt. diverser Beschreibungen verschiedener AV-Hersteller an?
</font><blockquote>Zitat:</font><hr />Beispielhaft aus der Bitdefender-Beschreibung:
Symptoms:
- Folgende Dateien sind in dem %WINDOWS% Ordner vorhanden:
svchost32.exe (12,832 Bytes)
- Folgende Dateien sind in dem Wurzelverzeichnis des C-Laufwerks vorhanden:
PP.GIF
PP.HTA
- Folgende Registry Schlüssel oder Einträge sind vorhanden:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SvcHost32"="%WINDOWS%\svchost32.exe"
...
4. Erstellt die Dateien:
%WINDOWS%\EE98AF.TMP (eine Kopie des Virus)
%WINDOWS%\EL388.TMP (wo die eingesammelten E-Mails gespeichert werden)
%WINDOWS%\ZP3891.TMP
ebenfalls erstellt er die Datei C:\PPINFO.SYS, where the credit card details are stored
5. Sammelt E-Mail Adressen, die er in den Dateien auf dem infizierten Rechner findet und ignoriert Dateien mit folgenden Erweiterungen:
avi, bmp, cab, com, dll, exe, gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip
6. Versucht sich an die eingesammelten E-Mail Adressen zu verschicken. </font>[/QUOTE]Imho alles Punkte, denen ich auch ohne eine relativ aufwendige Neuinstallation Herr werden kann!

Gut, man könnte jetzt herkommen und sagen:
"Wer weiß schon, ob man diesen Analysen trauen kann!"
Wenn ich aber so denke, darf ich mich eigentlich gar nicht mehr online bewegen. Wer sagt mir denn, dass nicht x Versionen von Malware existiert, von denen noch kein AV-Hersteller auch nur die Spur einer Ahnung hat...

Ich finde in einem Board wie diesem sollte man so tief in die Materie eindringen können ohne 'vorschnell' zu einer Neuinstallation zu raten.
Damit will ich gar nicht in Abrede stellen, dass es viele Situationen gibt, in denen eben dieser Weg der einzig Vernünftige ist. Aber eine Neuinstallation ist imho nicht nur manchmal 'ein schießen mit Kanonen auf Spatzen' sondern -wie sich im nachhinein hier herausgestellt hat- auch kontraproduktiv.
Was hätte 'DerVerzweifelte' mit einer Neuinstallation gewonnen? In meinen Augen nichts, außer, dass sein System vielleicht wieder etwas schneller rennt...
Die eigentliche Gefahr durch den Hijacker wäre aber nicht gebannt gewesen. Ich unterstelle jetzt einmal, dass er nicht mehr weiß, auf welcher Seite er sich das Ding eingefangen hat. Also ist die Gefahr einer Reinfektion durchaus gegeben und er hätte nach einer 'mühsamen' Neuinstallation schon wieder vor dem gleichen Problem stehen können, wenn er die gleiche Seite noch einmal besucht hätte...

Irgendwer hat einmal sinngemäß gesagt: "Du kannst einen 'Feind' nur bekämpfen, wenn Du ihn kennst"...

In diesem Sinne,
tschööö, DerBilk

Hi DerBilk
</font><blockquote>Zitat:</font><hr />
erst einmal den genauen 'Befund' erstellen, bevor man Aktionen vorschlägt.
</font>[/QUOTE]
...womit? Kannst du mir ein Tool nennen, dass mit 100% Sicherheit Malware identifizieren kann? (Vom Entfernen/Säubern ist hier nicht die Rede). Du und noch 50-60 Leute im TB und AVPE-Board schaffen es, falls notwendig ist, mit den primitivsten Tools, wie HJT und SSD, und auch mit dem Regedit.exe. Diese bekommen aber keine Malware an PC, weil...Du weißt selbst, warum.
</font><blockquote>Zitat:</font><hr />
...5. Sammelt E-Mail Adressen, die er in den Dateien auf dem infizierten Rechner findet und ignoriert Dateien mit folgenden Erweiterungen:
avi, bmp, cab, com, dll, exe, gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip
6. Versucht sich an die eingesammelten E-Mail Adressen zu verschicken. </font>[/QUOTE]..also wird zu einer Müllscheuder.
</font><blockquote>Zitat:</font><hr />
Imho alles Punkte, denen ich auch ohne eine relativ aufwendige Neuinstallation Herr werden kann!
</font>[/QUOTE]...wer denn? s.o.
</font><blockquote>Zitat:</font><hr />
Ich finde in einem Board wie diesem sollte man so tief in die Materie eindringen können ohne 'vorschnell' zu einer Neuinstallation zu raten.
</font>[/QUOTE]Ich schlage es keinem vor, wenn der OP ungefähr so aussieht: "Ich habe NAV. Er hat den Trojaner Dings/Bums@trams -in Ordner D:\C\B gemeldet. Ich habe die Datei gelöscht. Was ist ...". Der benimmt sich bewusst und weiß (ungefähr) was er tut. Wenn man "seit ein Paar Tagen" (s.OP) gegen Malware erfolglos kämpft...Na ja, in ein Paar tagen hätte er schon 2 X Paar Neuinstallationen gemacht und gelernt, dass nicht auf alles, wo Click Me steht, man klicken muss
</font><blockquote>Zitat:</font><hr />
Was hätte 'DerVerzweifelte' mit einer Neuinstallation gewonnen? In meinen Augen nichts, außer, dass sein System vielleicht wieder etwas schneller rennt...
</font>[/QUOTE]1. Das finde ich auch gut .
2. Die Erfahrungen, die man beim Neuaufsetzen des Systems sammelt, kann man nicht unterschätzen. Früher musste man es beim Kauf eines neuen PCs immer tun. Heutzutage sind fast alle PC mit dem vorinstallierten Windows, alsio kein Spaß - Stecker rein-Zig-Zag -"Willkommen".
</font><blockquote>Zitat:</font><hr />
Also ist die Gefahr einer Reinfektion durchaus gegeben und er hätte nach einer 'mühsamen' Neuinstallation schon wieder vor dem gleichen Problem stehen können, wenn er die gleiche Seite noch einmal besucht hätte...
</font>[/QUOTE]..ein kluger Mensch lernt sich auf den Fehlern der anderen, ein dummer - auf den eigenen [img]smile.gif[/img]
</font><blockquote>Zitat:</font><hr />
Irgendwer hat einmal sinngemäß gesagt: "Du kannst einen 'Feind' nur bekämpfen, wenn Du ihn kennst"...
</font>[/QUOTE]Mit dem format C:\ braucht man es gar nicht: alle Feinde sind auf einmal weg.

hier entwickelt sich -leider eigentlich Off-Topic' eine spannende Diskussion, zu deren Weiterführung ich mich leider erst morgen wieder 'in der Lage' fühle...

Aber heute ist nicht alle Tage - ich komm wieder, keine Frage...

tschööö, DerBilk

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
mit den primitivsten Tools, wie HJT und SSD
</font>[/QUOTE]Immer dieser AKüFi !!!

was ist denn "SSD" ?