beim Scan über Ad-Aware SE bekomme ich immer wieder auch folgende Meldung:

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info
obj[1]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info "*"

ist nach dem löschen beim neuen Scan auch immer wieder zurück

@ Ronald,

Information zu diesen Trojanern bzw. den Familien zu denen sie gehören: Troj/Winshow-AL, TrojanDownloader.Win32.Esepor.i, TrojanSpy.Win32.Conspy.e, Troj/Qhosts-, Troj/Zapchas-.

Sie sind nicht so schlimm, dass Du unbedingt formatieren musst, es wäre aber besser. Du solltest die Malware zunächst vom System entfernen: von Hand löschen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre].

Folgendes ist dabei vielleicht wichtig: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Dies wäre zu überlegen: ein umfassender Rat - Cidre.

Erstelle bitte noch ein Hijack Thisl Logfile und poste es.

SD

@ Ronald,

bitte noch folgendes beachten: die infizierten Dateien müssen je nach Betriebssystem im abgesicherten Modus (VGA-Modus) und bei deaktivierter Systemwiederherstellung (Windows XP und ME) gelöscht werden.

SD

bis auf einen konnte ich die Einträge erfolgreich löschen. Es geht um den File C:\svchost.exe infected by "Trojan.Win32.StartPage.js" Virus. Action Taken: No Action Taken. Hängt leider nach dem ersten Löschversuch immer noch im C:\WINNT\system32. Dieser läßt sich auch im abgesicherten Modus nicht löschen weil Zugriff verweigert, Quelldatei möglicherweise geöffnet. Das scheint auch der Übeltäter zu sein, da ich nach wie vor im Browser den Link habe. Bei mir ist Win 2000 Prof. installiert.

@Ronald

bei hartneckige programme hilft amok delay
http://www.amok.am/
schau aber vorher nach ob es auch bei win 2000 geht.
chaosman

Habe das Programm installiert, traue mich aber nicht die Datei zu löschen da er anzeigt, das die Systemstabilität beeinträchtigt werden könnte wenn ich die Datei scchost.exe löschen würde.
Hier noch mein letztes Protokol von hijackthis:

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100

Vor allem die erste Meldung kommt immer wieder (F2 - REG:system.ini: UserInit=Userinit.exe,) Da scheint das Problem mit drin zu sein.

@ Ronald

erstelle bitte ein komplettes Hijack This Logfile und poste es.

Überprüfe Deinen Rechner mit einem Online-Scan, lass bestehende Probleme beheben und teile uns das Ergebnis mit.

SD