Hallo Zusammen,

ich habe ein wirklich bizarres Problem mit Hijacking:

1.) Browser hat gelegentlich 'ne andere Startseite (irgendeine Suchseite) - kennt man ja...

2.) Jetzt kommt's aber: Wenn z.b. Trojaner-Info.de oder die die Site von PestPatrol aufgerufen wird, dann wird der IE gnadenlos beendet - ohne Kommentar!!

3.) Programme zur Hijacker Bekämpfung lassen sich nur mit Mühe und Tricks (Rename) installieren!!! Adaware und Pestpatrol laufen OK, CWShredder und HijackThis werden aber von unbek. beendet (daher erstmal kein Logfile)!!!!! CWShredder erkennt die Attacke und läuft dann doch mit der Meldung daß CWS.Smartsearch.2 am Werk sei.

4.) Reinigungsversuche schlagen fehl... Es werden zwar diese CWS Sch***dinger erkannt, und entfernt, die scheinen aber unsterblich zu sein.

Zum Glück habe ich einen "sauberen" Rechner, sonst könnte ich hier nix posten und wäre echt verraten und verkauft...


Bitte, bitte, Hilfe! 'bin leider zu unbedarft, um das noch selber zu regeln.

Danke

Schneideru

Hallo,

könntest du trozdem ein Log-File von HJT posten, wenns nicht funktioniert, dann den Tipp im roten Kästchen anwenden.
http://www.trojaner-board.de/51130-a...ijackthis.html

'habe ich probiert - geht auch nicht. HJT startet zwar, geht aber nach einigen Sek. in die Knie. Manchmal geht es bis zum Speichern des Logfiles dann aber geht IE auf und versucht 213.159.118.226/tinstall.php?owner=freesearch anzuwählen!!! Es wird überhaupt kein File gespeichert.

Sollte man irgendwas im abgesicherten Modus versuchen?

Gruß

Schneideru

Im abgesicherten Modus ein HJT Log-File zu erstellen bringt nicht viel, da die meiste Malware nicht mitgeladen wird und somit auch nicht im Log erscheinen würde.

Versuch mal das:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach ein Log-File von HijackThis und die Virus Log Information von eScan posten.

Hallo Cidre - erstmal vielen Dank für Dein Engagement!

'habe hier einige Screenshots vom HJT Scan gemacht und in ein PDF gepackt dabei habe ich mit zunutze gemacht, daß der Parasit wohl erst nach unterschiedlichen Zeiten den HJT Prozess beendet, man also etwas Zeit hat - das PDF ist mit 500kB leider zu groß für dieses Forum....

Noch eine Merkwürdigkeit: Ich habe das File über ein Jumpdrive auf den sauberen Rechner geladen; auf dem infizierten Rechner sehe ich zwar das Drive, kann auch Dateien rüberziehen, DIE BLEIBEN ABER UNSICHTBAR!!! ...und sind aber alle auf der sauberen Maschine wieder sichtbar. Was ist da nur los???

eScan werde ich machen, fürchte aber den gleichen Effekt wie bei allen anderen Tools dieser Art

Gruß
Schneideru

MAch trotzdem mal ein Logfile aus dem abgesicherten Modus, ein paar Dinge kann man vielleicht aus den RUN-Einträgen schon herausfinden, auch wenn die Prozesse fehlen.

@ Alle,

'habe Cidres Rat befolgt (vielen Dank!!!, s.u.) und eScan laufen lassen und ALLE Dateien untersucht - sorry Logfile ist dadurch 11MB geworden.

Befund: HJT läuft wieder PestPatrol findet keine Pests & Adaware findet ca 100 "critical objects", die aber Dauerhaft entfernt werden können - so weit so gut...

Aber: HJT kann kein Logfile abspeichern, Editor geht auf, mit der Meldung: "Die Datei C:\[PFAD]\hijackthis.log kann nicht gefunden werden. Möchten Sie eine neue Datei erstellen?" bei JA wird kein File gespeichert oder erstellt...

Außerdem können Files auf meinem Jumpdrive nicht gelesen sind (sind immer noch unsichtbar).

Gruß

schneideru

Was hat E-Scan denn gefunden? Zum Schluss steht zumindest die Zahl der gefundenen Viren und wir brauchen auch nicht das komplette Logfile, sondern nur die Namen der gefundenen Schädlinge.

Hast du mit HJT mal versucht, die logdatei in einem andern Ordern als dem vorgeschlagenen zu speichern? Hast du du HJT in ein eigenes Verzeichnis entpackt? Versuche es mal im abgesicherten Modus, einmal zum Test und zweitens besser als gar keins.

Nochmals an Alle:

'habe 2 Screenshots von HJT gemacht, NACHDEM ich unten beschriebene Prozedur mit eScan, Adaware und PestPatrol durchgeführt habe. Log von eScan folgt.

Das Log ist nach Adaware & Co. deutlich kleiner, d.h. alle diese Hinweise auf Porno- & Suchseiten sind jetzt weg....

Trotzdem ist irgendwo noch der Wurm drin, da ich immer noch keine Files auf USB Laufwerken handeln kann.

Gruß & Danke

schneideru

beitrag gemeldet-

Bitte nicht auf den Link klicken!

Danke cronos!

Aufgrund des Verstosses gegen die NUBs (Anbringung von Werbung) wurde der User rosapink soeben dauerhaft gesperrt!

LG Cidre
S-Mod TB

Sehr schön, das war echt penetrant!