Hallo und Guten Tag!

Erstmal möcht ich sagen, dass ich froh bin, hier so ein forum gefunden zu haben! Hab inzwischen ein paar Tage damit verbracht, meinen PC wieder Trojaner - frei zu bekommen. Leider vergeblich. Ist jetzt kein Unsinn, aber Ihr seid jetzt tatsächlich meine letzte Hoffnung.
Ich hab eine Startseite mit der Adresse "about:blank" im IE6. Die Seite nennt sich "Search the web". Sonst kommt man an keine Infos ran.
Hatte vor ein paar Wochen mal das Cool-Websearchproblem. Allerdings hat mir da der CWShredder.exe gut geholfen.
Hab auch schon aktuellste Ad-Aware und Spybot Xmal drüberlaufen lassen. Die entfernen auch immer alles, aber sobald ich (selbst ohne Neustart!!!) den IE wieder aufmache, ist die gleiche Sache wieder da... Zum Verrückt werden!!!

CWShredder entfernt mir auch immer folgende Dateien:

CWS.Smartsearch
CWS:MSconfig
CWS:SVchost32

Allerdings sind die auch wieder sofort wieder da. (auch ohne Neustart!)

Logischerweise hab ich nen immer aktuellen AV-Virusscanner, der hilft aber auch nicht. Und künftig muss ich mir echtmal den Mozilla genauer anschauen!

Naja und mit dem HijackThis 1.97.5 komm ich leider nicht alleine klar. Hab auch Schiss, den PC zu schrotten...

Also, wenn irgendwer irgendeine Hilfestellung für mich hat wär` ich sehr dankbar!!!

Die Logfile ist:

Logfile of HijackThis v1.97.5
Scan saved at 12:40:46, on 02.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\PROGRA~1\EZButton\CP51NBtn.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\RepliGo\RepliGoMon.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\EZButton\CPHKCnt.EXE
C:\PROGRA~1\EZButton\DtcEMail.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.lrz-muenchen.de:8080;http=proxy.lrz-muenchen.de:8080;https=proxy.lrz-muenchen.de:8080;socks=socks.lrz-muenchen.de:1080
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Programme\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\PLUGINS\npchime.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...887.6317824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}


Ach ja: Gestern hab ich nen Check gemacht und da stand ganz oben zweimal irgendwas von Startseite und "About blank". Hab ich dann gefixed. Das ist heute nicht mehr da. Allerdings ist mein Problem mit der blöden Startseite immer noch das gleiche!

Und: Progamme wie xcleaner und was es so zum download gibt haben alle nix geholfen!

Vielen Dank im Voraus!

Euer Basti

Hallo DerVerzweifelte
Willkommen An Board
</font><blockquote>Zitat:</font><hr />
forum gefunden zu haben! Hab inzwischen ein paar Tage damit verbracht, meinen PC wieder Trojaner - frei zu bekommen. Leider vergeblich. Ist jetzt kein Unsinn, aber Ihr seid jetzt tatsächlich meine letzte Hoffnung.
Ich hab eine Startseite mit der Adresse "about:blank" im IE6. Die Seite nennt sich "Search the web". Sonst kommt man an keine Infos ran.
Hatte vor ein paar Wochen mal das Cool-Websearchproblem. Allerdings hat mir da der CWShredder.exe gut geholfen.
Hab auch schon aktuellste Ad-Aware und Spybot Xmal drüberlaufen lassen. Die entfernen auch immer alles, aber sobald ich (selbst ohne Neustart!!!) den IE wieder aufmache, ist die gleiche Sache wieder da... Zum Verrückt werden!!!
</font>[/QUOTE]...ist nicht nötig. Du hast ein Paar Tage verbracht, um zum Nix zu kommen, statt in ein Paar Stunden deinen PC neu aufzusetzen. Du hast auch selbst schon verstanden, dass dein System sehr stark kompromittiert ist, also - Daten sichern und Win CD rein.
ToDo am neuen System:
SOFORT
die unnötigen Dienste abschalten, AV-Programm drauf (AVPE z.B.) , dann ins Netz und alle verfügbaren Patches draufspielen.
Mehr kann ich dir nicht sagen.
Ach, ja: IE nicht mehr benutzen: www.firefox-browser.de + http://thunderbird.diepause.de/ als Mail/Newsreader

Da hab ich nur das Problem der Datensicherung und das das System ansonsten erstaunlcih stabil ist im Moment. Und da das nicht immer so war, gefällt mir das auch sehr gut.
Hm.

Trotzdem Danke für den Vorschlag. Muss ich wenn sich nix ändert wohl machen...

Gruss, Basti

Hi!
Ich denke auch mal, dass Renegad recht hat. Ich würde ggf. die Kosten für eine gutes Antiviren-Programm investieren, z. B. Kaspersky AV.

Ansonsten schaue doch bitte einmal in den ersten Beitrag dieses Threads:
http://www.trojaner-board.de/forum/u...443;p=1#000001

Gruß!
MyThinkTank

</font><blockquote>Zitat:</font><hr />
Da hab ich nur das Problem der Datensicherung
</font>[/QUOTE]Quatsch! Welches Problem? CD-Brenner? Rohlinge bei ALDI für 3.49 10Stück? Problem ist wenn ein PC zum Virenschleuder wird oder gehackt wird.

@Renegad:

Na na , ganz so banal ist das ja nicht. Erstens müssen mal alle zu sichernden Daten gefunden werden (Mails, Favoriten/Bookmarks, eigene Dateien, Downloads etc.). Und dann sollte man noch aufpassen, das man nicht irgendwelche Haustiere mit auf das Backup bekommt (auch wenn KAV die vielleicht beim Zurückspielen findet).

Ansonsten ist aber das Toasten sicher der einfachste Weg, nur halt etwas mühselig.

Gruß!
MTT

Ok, ich geb auf, danke trotzdem!
Das mit dem Datensichern ist schon klar. Und mit den billigen Rohlingen auch. Aber ganz so einfach ist es wie oben beschrieben eben auch nicht. Outlook, Bluetoothserver etc. muss ja alles wieder funktionieren. Darum hätt ich mich halt gefreut, wenn ich das Problem (so wie damals das Collwebsearch und dem CWShredder) einfacher hätte lösen können!

Cheers, Basti

</font><blockquote>Zitat:</font><hr />Ich hab eine Startseite mit der Adresse "about:blank" im IE6.</font>[/QUOTE]Das ist ja für sich betrachtet erst einmal nichts schlimmes. Bedeutet es doch nur, dass Dein IE mit einer leeren Startseite startet... Zumindest dann, wenn im IE unter Extras -&gt; Internetoptionen -&gt; Allgemein -&gt; Startseite -&gt; 'Leere Seite' ausgewählt wurde.

</font><blockquote>Zitat:</font><hr />Die Seite nennt sich "Search the web".</font>[/QUOTE]Wo bitte steht denn diese Info?


So ganz verstehe ich Dein Problem noch nicht!


@Rene-gad
warum empfiehlst Du hier ein Neuaufsetzen des Systems? Nur weil es gerade 'hype' ist oder habe ich etwas entscheidenes verpasst in diesem Thread???

tschööö, DerBilk

[ 03. M&auml;rz 2004, 14:01: Beitrag editiert von: DerBilk ]

Hi,

wir schießen aber hier nicht etwas über's Ziel hinaus, odääh ?

a) about: blank -&gt; leere Standard-startseite... so gesetzt, oder evtl war der PC noch Offline ?
hast du schon mal manuell versucht, die Startseite im IE zu setzen (Optionen);
evtl kann die Startseite auch durch die Einwahl/Provider erzeugt werden..
was steht denn in der Startseite so drauf ?

b) CWShredder entfernt mir auch immer folgende Dateien:
CWS.Smartsearch
CWS:MSconfig
CWS:SVchost32

soso.. es kann nicht sein, dass da immer eine Meldung kommt, mit dem Zusatz (if present), z.b. bei Version 1.5.0 ?!?
Was steht denn im Protokoll von Cwshredder explizit drin, NACH dem Scan ?

c) Spybot & Ad-Aware: da wäre mal wichtig, was gemeldet/entfernt wird, das können ja auch nur cookies oder Tracks sein

d) Hast du denn irgendwann mal gefährliche Trojaner gefunden, sowas in der Art von Backdoors/Keyloggern/pwsteal/IrcBots ?
Was sagen Kaspersky bzw Onlinescanner von RAV & Trendmicro zum PC ?

e) es gibt imho eine neuere Version von Hijackthis, probier mal hier:
www.lurkhere.com -&gt; nicefiles

Korrigiert mich, wenn ich was übersehen habe, aber auf den 1. flüchtigen Blick sehe ich im oberen Beitrag/logs nix wirklich Bedenkliches, was ein Neuaufsetzen des Systems nötig machen würde..

Ansonsten wären detaillierte Info über frühere (Trojaner)Infektionen nötig

Browserwechsel/Absicherung ist natürlich trotzdem anzuraten



[ 03. M&auml;rz 2004, 14:02: Beitrag editiert von: Who Cares ]

@Who Cares:

Na, das beruhigt mich ja, dass ich nicht so ganz allein mit meiner Meinung da stehe...

tschööö, DerBilk

menno... zu spät [img]graemlins/crazy.gif[/img] [img]graemlins/lach.gif[/img] [img]graemlins/kloppen.gif[/img]

@MyThinkTank
</font><blockquote>Zitat:</font><hr />
...Erstens müssen mal alle zu sichernden Daten gefunden werden (Mails,
</font>[/QUOTE]
...im OE/MSO - Datei /Exportieren..usw. Schwierig?
</font><blockquote>Zitat:</font><hr />
Favoriten/Bookmarks
</font>[/QUOTE]
...im IE - Datei/Importieren und Exportieren. Unlösbar?
</font><blockquote>Zitat:</font><hr />
eigene Dateien, Downloads etc.
</font>[/QUOTE]
...einen Ordner erstellen, der "Daten" heiß, und dorthin alles Notwendiges und Wichtiges kopieren. Für einen HomoSapiens unerreichbar?
</font><blockquote>Zitat:</font><hr />
...Und dann sollte man noch aufpassen, das man nicht irgendwelche Haustiere mit auf das Backup bekommt ...
</font>[/QUOTE]
...das in jedem Fall.

@DerBilk
@WhoCares
</font><blockquote>Zitat:</font><hr />
warum empfiehlst Du hier ein Neuaufsetzen des Systems? Nur weil es gerade 'hype' ist oder habe ich etwas entscheidenes verpasst in diesem Thread???
</font>[/QUOTE]...ich sehe von HJT- Logfile keine Malware-Anzeichen. De facto fuktioniert das System seit einigen Tagen nicht richtig ( s. OP) und einen Grund dafür muss existieren. Wenn schon einen (od. mehrere?) Trojaner gefunden/gemeldet wurden, und
</font><blockquote>Zitat:</font><hr /> CWShredder entfernt mir auch *immer* folgende Dateien:

CWS.Smartsearch
CWS:MSconfig
CWS:SVchost32

Allerdings sind die auch wieder sofort wieder da. (auch ohne Neustart!) </font>[/QUOTE]heißt es für mich nur
</font><blockquote>Zitat:</font><hr /> dass ...System sehr stark kompromittiert ist, also - Daten sichern und Win CD rein.</font>[/QUOTE]

HAI Who
</font><blockquote>Zitat:</font><hr />

...SVchost32.exe....

...d) Hast du denn irgendwann mal gefährliche Trojaner gefunden, sowas in der Art von Backdoors/Keyloggern/pwsteal/IrcBots ?
</font>[/QUOTE]...AFAIK diese Datei weist auf W32.HLLW.Gaobot hin .

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:

...SVchost32.exe....
...AFAIK diese Datei weist auf W32.HLLW.Gaobot hin . </font>[/QUOTE]HAI Rene,

bin ich blind ?
wo steht die oben ? Oder das das System nicht läuft ?



CWS: s.o. vermute Bediener-Fehler