Hallo zusammen,

die Startseite meines IE wurde von einem Hijacker heimgesucht und öffnet jetzt immer mit "Smart Search". Nachdem CW Shredder, Ad-aware 6.0 und Spybot SD keine Besserung gebracht haben, habe ich hier im Forum nachgelesen, daß man es mit eScan AntiVirus versuchen sollte und die auslösende Datei wohl die "msxword.dll" wäre. Also habe ich eScan AntiVirus drüberlaufen lassen - und siehe da, es wurden tatsächlich einige infizierte Dateien gefunden, darunter auch die Verdächtige. Da diese allerdings nicht wie der Großteil der befallenen Dateien automatisch gelöscht, sondern mit dem Zusatz "No Action Taken" versehen war, wollte ich jetzt mal nachfragen, ob ich die "No Action Taken"-Dateien und die "File Renamde"-Dateien selber löschen kann bzw. welche der gefundenen Dateien ich eben selber löschen soll/darf/muß. Hier mal mein eScan-Log:

Sun Jun 20 21:25:24 2004 => Total Number of Files Scanned: 15201
Sun Jun 20 21:25:24 2004 => Total Number of Virus(es) Found: 16
Sun Jun 20 21:25:24 2004 => Total Number of Disinfected Files: 0
Sun Jun 20 21:25:24 2004 => Total Number of Files Renamed: 2
Sun Jun 20 21:25:24 2004 => Total Number of Deleted Files: 8
Sun Jun 20 21:25:24 2004 => Total Number of Errors: 0
Sun Jun 20 21:25:24 2004 => Time Elapsed: 02:02:52
Sun Jun 20 21:25:24 2004 => Virus Database Date: 2004/06/20
Sun Jun 20 21:25:24 2004 => Virus Database Count: 95252

Sun Jun 20 21:25:24 2004 => Scan Completed.

File C:\WINDOWS\SYSTEM\wmscrop.exe infected by "TrojanDownloader.Win32.Small.np" Virus. Action Taken: File Deleted.
File C:\WINDOWS\SYSTEM\msxslab.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: File DeletedFile C:\WINDOWS\SYSTEM\msproto3.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: File Deleted.
File C:\WINDOWS\SYSTEM\sysapp.exe infected by "TrojanDownloader.Win32.Donn.m" Virus. Action Taken: File Deleted.
File C:\WINDOWS\SYSTEM\appsys.exe infected by "TrojanDownloader.Win32.IstBar.cq" Virus. Action Taken: File Deleted.
File C:\WINDOWS\SYSTEM\msxword.dll tagged as not-a-virus:AdvWare.Toolbar.XmlMimeFilter.c. No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\SYSTEM32\rundll32.vbe infected by "Trojan.VBS.StartPage.e" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\login.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\setup.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\setup.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1015.dll tagged as not-a-virus:AdvWare.Gator. No Action Taken.
File C:\WINDOWS\gato.dll tagged as not-a-virus:AdvWare.AdBreak. No Action Taken.
File C:\WINDOWS\msswf.com infected by "TrojanDropper.DOS.Rute" Virus. Action Taken: File Deleted.
File C:\Programme\FunWebProducts\Installr\1.bin\F3EZSETP.DLL tagged as not-a-virus:RiskWare.Downloader.FunWeb. No Action Taken.
File C:\WIN98\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

Wie kriege ich die verseuchten Dateien dauerhaft weg bzw. wie kann ich die Dateien unter Windows löschen? Ich würde mich über fachkundige Unterstützung sehr freuen und bedanke mich schon mal vorab für jede Hilfe.

Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von Vilstaler:
die Startseite meines IE wurde von einem Hijacker heimgesucht und öffnet jetzt immer mit "Smart Search".</font>[/QUOTE]Auch jetzt noch, nach der Löschaktion mit eScan?

</font><blockquote>Zitat:</font><hr />Da diese allerdings nicht wie der Großteil der befallenen Dateien automatisch gelöscht, sondern mit dem Zusatz "No Action Taken" versehen war, wollte ich jetzt mal nachfragen, ob ich die "No Action Taken"-Dateien und die "File Renamde"-Dateien selber löschen kann</font>[/QUOTE]Nicht alle, aber diese bitte löschen, nötigenfalls zuvor ein HijackThis-Logfile erstellen und zum Löschen in den abgesicherten Modus wechseln.

Diese löschen:

File C:\WINDOWS\SYSTEM\msxword.dll tagged as not-a-virus:AdvWare.Toolbar.XmlMimeFilter.c. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\login.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Downloaded Program Files\setup.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1015.dll tagged as not-a-virus:AdvWare.Gator. No Action Taken.
File C:\WINDOWS\gato.dll tagged as not-a-virus:AdvWare.AdBreak. No Action Taken.
File C:\Programme\FunWebProducts\Installr\1.bin\F3EZSETP.DLL tagged as not-a-virus:RiskWare.Downloader.FunWeb. No Action Taken.


</font><blockquote>Zitat:</font><hr />Wie kriege ich die verseuchten Dateien dauerhaft weg bzw. wie kann ich die Dateien unter Windows löschen?</font>[/QUOTE]Start im abgesicherten Modus (nach dem Einschalten des PC's und VOR Erscheinen des Win 98-Logos die Taste F8 drücken und gedrückt halten, dann den abgesicherten Modus zum Start auswählen).


Und dann für die Zukunft eine dringende Empfehlung: Borwserwechsel! Entweder Opera oder Mozilla Firefox würde ich für Win 09 empfehlen (auch diese Browser sind aber stets aktuell zu halten!)

- http://opera.com
- http://mozilla-europe.org/de

Hallo Markus,

vielen Dank für deine Hilfe, es war wirklich so, daß nach der automatischen Löschaktion des eScan der Hijacker immer noch da war, ich habe dann die Datei

File C:\WINDOWS\SYSTEM\msxword.dll tagged as not-a-virus:AdvWare.Toolbar.XmlMimeFilter.c. No Action Taken.

im abgesicherten Modus gelöscht - und schon war auch der Hijacker weg. Ich habe jetzt heute nochmals einen eScan gemacht, jetzt wurden "nur" noch 5 Dateien bemängelt, nämlich:

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1015.dll tagged as not-a-virus:AdvWare.Gator. No Action TakenFile C:\WINDOWS\gato.dll tagged as not-a-virus:AdvWare.AdBreak. No Action Taken.
File C:\Programme\FunWebProducts\Installr\1.bin\F3EZSETP.DLL tagged as not-a-virus:RiskWare.Downloader.FunWeb. No Action Taken.
File C:\WIN98\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

Drei davon kann/soll ich ja deinem Rat zufolge noch löschen, was ist mit

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
und
File C:\WIN98\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.,

soll ich die bestehen lassen? Außerdem wurden beim heutigen eScan die beiden Dateien

File C:\WINDOWS\Downloaded Program Files\login.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Downloaded Program Files\setup.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: File Renamed.,

also die mit dem Zusatz "File Renamed" nicht mehr bemängelt, hat sich dieses Problem vielleicht von selbst gelöst? Nochmals vielen Dank für deine und jede weitere Hilfe!

Gruß