Ich habe einen echt hartnäckigen Burschen auf meinem Rechner - about blank oder bei Trendmicro auch Troj-agent.ac genannt.
Mein System: Win XP SP1 und Internet Explorer SP1.

Ich habe in der letzten Woche schon viel über Browser Hijacking und die "klassische" Reinigung des Rechners bei euch und anderen Boards gelesen und viel probiert, aber irgendwie habe ich das Gefühl, dass ich mit AdAware, Spybot, XP Antispy u.a. sehr schön die Symptome bekämpfe (sprich die Registryeinträge lösche), aber alles nach dem Reboot wieder zurückgesetzt ist und der Übeltäter immer noch aktiv ist!

Meine Startseite ist neuerdings immer "about blank" und mit vielen Links versehen.
Mein Trendmicro Virenscanner meldet mir ständig, dass er "TROJ_AGENT.AC" im Pfad "C:\WINDOWS\SYSTEM32\WDMBKD.DLL" gefunden hat.
Anfangs habe ich gedacht, dass ich ihn einfach löschen könnte, was natürlich nicht funktioniert hat. Ein Umbenennen und Verschieben war auch nicht möglich, wobei er nach dem "zurückbenennen" plötzlich verschwunden ist.
Trendmicro findet ihn aber trotzdem noch!

Auch das "Backdoor Agent AC Removaltool" von Kaspersky hat nicht funktioniert. [img]graemlins/crazy.gif[/img]

Ich finde, dass das HiJack log auch nicht mehr so umfangreich aussieht und ich finde auch nichts mehr, was ich mit ruhigem Gewissen löschen würde.

Hat vielleicht noch jemand einen heißen Tipp für mich was ich noch probieren könnte?
Ich bin am Ende mit einem Latein, möchte aber nicht durch ein "Format C:" kampflos aufgeben.
Jeder Tipp ist mehr als willkommen!!!
Spinnt vielleicht mein Virenscanner?

Hier noch mein HiJack This Log:

Logfile of HijackThis v1.97.7
Scan saved at 22:33:35, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
D:\WUTemp\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Brorsen\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Brorsen\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.acer.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winspool.exe
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\brorsen\anwend~1\services.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7926.274212963
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hallo!

Du hast es prinzipiell bereits richtig erkannt: die Schutz- und Entfernungssoftware ist in weiten Teilen einfach wirkungslos.

Geh nun wie folgt vor:

1.) Den Internet Explorer und alle Windows Explorer Fenster schließen.
2.) In HijackThis die unten genannten Einträge markieren, dann "Fix checked" wählen.
3.) Systemwiederherstellung deaktivieren. http://www.systemwiederherstellung-d...indows-xp.html
4.) Windows im abgesicherten Modus (dazu Taste F8 nach dem Einschalten des PC's gedrückt halten und anschl. Start im abgesicherten Modus auswählen) starten.
5.) Dort alle unten genannten Dateien löschen!
6.) Neustart im normalen Modus.
7.) Prüfen mit HijackThis, ob alles entfernt wurde.
8.) Browserwechsel. Mit dem IE wirst du immer wieder mit solchen Trojanern "beglückt" werden. Tipp: Mozilla Firefox: http://mozilla-europe.org/de/

Folgende Einträge sind gemeint:

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winspool.exe
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\brorsen\anwend~1\services.exe

Und diese Dateien:

C:\WINDOWS\System\winspool.exe
c:\dokume~1\brorsen\anwend~1\services.exe
C:\WINDOWS\SYSTEM32\WDMBKD.DLL

Prüf zudem im abgesicherten Modus in der Reigistry diesen Eintrag:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Windows
AppInit_DLLs = "<%Malware Path%>"

Quelle der Info:
http://www.trendmicro.com/vinfo/viru...ENT.AC&VSect=T