Hallo,

ich denke nicht, dass die DNS Gefahrenpotenzial haben, das sind Einträge von Call by Call Anbietern die einen BT Backbone verwenden, siehe z.B. hier.

Ansonsten kann man bei meiner Anleitung auch den Kaspersky Scan herausnehmen, das war damals sinnvoll, wie es jetzt ist weiß ich nicht, da ich mich mit dem Thema nicht mehr beschäftige.

Falls übrigens jemand die Anleitung verbesern/erweitern/aktualisieren will so hat er jederzeit meinen Segen dazu.


Grüße Wildone

hallo Yule,
ich bin weiterhin der Ansicht, dass es nicht normal ist, dass deine Verbindung über einen Server in London geleitet wird. (kann auch falsch liegen, siehe was Wildone geschrieben hat....)
Zumal dein Rechner verseucht war/ist (siehe was Combofix rausgeholt hat)
-----------
habe ich bei google-Suche nur einmal gefunden ...und auch dort war der Rechner verseucht....
{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

1.
scanne mit windowsdefender + berichte
Windows Defender

2.
bitte fixe noch mal den 017-Eintrag mit HijackThis

3.
wende bitte smitfraudfix an , Option 2 (im abgesicherten Modus) + poste den report
SmitfraudFix

4.
poste, was nun im HijackThis unter 017-erscheint

Hallo Sabina!

Ich finde den London-Server auch sehr seltsam. Den WindowsDefender konnte ich nicht installieren, trotz Original Windows-Xp und trotz mehrerer Versuche. Es erscheint nach jedem Anklicken immer "Ungültiges Laufwerk M:\" (ein solches hab ich gar nicht!).

Den Rest habe ich gemacht, wie Du mir empfohlen hast, mit dem Ergebnis, das sich nix verändert hat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

Wie kann ich sicher gehen, dass keine Gefahr von diesem Server droht? Was kann ich sonst tun, um sicher zu gehen?

Nochmal herzlichen Dank für Deine bisherige Hilfe, Sabina!! - Yule

Hallo Yule

boote nach laden von smitfraudfix in den abgesicherten modus
scanne mit option 2 + poste den report
SmitfraudFix

scanne Online mit F-secure/Onlinescan + poste den report
Online Virenscanner

Hallo Sabina!

Habe gemacht, wie Du mir empfohlen hast. Mit folgendem Ergebnis:


SmitFraudFix v2.315

Scan done at 7:56:21,21, 21.04.2008
Run from C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Antispy\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


F-Secure Online Scan
Scanning Report
Monday, April 21, 2008 08:27:11 - 11:28:51

Computer name: ACER-5J0JDWIJ8Z
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 1 malware found
RiskTool.Win32.Reboot (spyware)

* System

Statistics
Scanned:

* Files: 47869
* System: 3586
* Not scanned: 8

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\HIBERFIL.SYS
* C:\PROGRAMME\O2\SURF BOX MINI\VWTP.MDB
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Blacklight: 1.0.64
* F-Secure Hydra: 2.8.8110, 2008-04-21
* F-Secure Pegasus: 1.20.0, 2008-02-28
* F-Secure AVP: 7.0.171, 2008-04-21

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Hallo

eigenartig, dass der Windowsdefender nicht installiert werden konnte
wende bitte folgendes Diagnostiktool an
Microsoft Diagnose Tool

poste mir den Report als PN, nicht hier,bitte.

---------------------------------------------------

Dann berichte auch, wie es um den 017-Eintrag bestellt ist.
Hast du ihn die anderen Male genau nach Anweisung gefixt mit HijackThis ? + den PC neugestartet ?

und:
hast du das hier ausgeführt ?

Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

-----------------------------------------------------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lade Combofix neu + poste den Report
combofix


«

Hallo Yule,

Danke für die PN ..es ist alles in Ordnung. Umso komischer, dass sich der Defender nicht installieren lässt...welche Fehlermeldung erscheint ?

dann beantworte bitte noch meine Fragen im vorigen Beitrag - deinstalliere Combofix, lade neu + poste den Report

Hallo Sabina!

Nochmal herzlichen Dank für Deine großartige Unterstützung!!

Der 017-Eintrag bleibt in der Tat der gleiche:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

Habe ihn nochmals genau nach Deinen Anweisungen gefixt wie auch noch einmal die Internet-Einstellungen (Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken) kontrolliert.

Ist und war alles, wie Du mir empfohlen hast!

Wenn ich den Windefender zu downloaden versuche, erscheint immer - so auch eben nochmal - die Meldung: "Ungültiges Laufwerk M:\" - Ein solches besitze ich aber nicht. Ich habe die Installation mit verschiedenen Methoden probiert, aber immer ohne Erfolg. Keine Ahnung, woran das liegt.
Mittlerweile bin ich mir selbst nicht mehr sicher, ob überhaupt noch ein Trojaner bei mir drauf ist, weil die verschiedenen, von mir zuletzt angewandten Scanner und v.a. Malware Bytes einiges gefunden und entfernt haben (auch eine exe.Datei, die mir stark nach der Zlob selbst aussah - genauen Namen habe ich mir blöderweise nicht notiert. Auf jeden Fall wird allem Anschein nach keine neue Malware nachgeladen. Die Guards finden jedenfalls keine mehr), jetzt aber offensichtlich nichts mehr finden. Oder irre ich hier?
Allerdings habe ich auch das Gefühl, dass mein Rechner seit den ganzen Scan-Prozeduren der letzten Tage langsamer geworden ist.

Was meinst Du nun zu dem Fall mit dem London-Server? Ich habe nun selbst mal gegoogelt und gesehen, dass der von Dir erwähnte andere Fall {49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A} ich selbst war!
Am Tage des Trojanerangriffs habe ich mich in der ersten Aufregung an jenes Forum gewandt, die mir auch einige wertvolle Tipps gaben. Ich selbst glaubte, dass Problem damit gelöst zu haben. Da aber neue Malware nachgeladen wurde, war es mir eine Herzenangelegenheit, mich hier an dieses Forum, das ja gerade auf solche Probleme spezialisiert ist, zu wenden.

Herzliche Grüße - Yule.

Anbei der Combofix-Report:
ComboFix 08-04-20.2 - Besitzer 2008-04-21 14:59:43.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.126 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 14:33 . 2008-04-21 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-04-21 08:23 . 2008-04-21 08:23 <DIR> d-------- C:\fsaua.data
2008-04-18 16:21 . 2008-04-18 16:22 <DIR> d-------- C:\fixwareout
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-18 06:47 . 2008-04-18 07:03 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-18 06:47 . 2008-04-18 07:03 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-18 06:43 . 2008-04-18 06:43 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-16 21:31 . 2008-04-16 21:31 <DIR> d-------- C:\Programme\CleanUp!
2008-04-16 20:47 . 2008-04-16 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-04-16 20:35 . 2008-04-16 20:35 5,632 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-04-16 18:47 . 2008-04-16 18:47 <DIR> d--hs---- C:\FOUND.001
2008-04-02 08:15 . 2008-04-02 08:16 <DIR> d-------- C:\kav
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-01 19:32 . 2003-06-23 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-01 19:32 . 2008-04-01 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-01 19:32 . 2008-04-21 14:59 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-03-30 20:37 . 2008-03-30 20:37 <DIR> d-------- C:\!KillBox
2008-03-30 19:56 . 2008-04-21 07:56 2,648 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-30 16:52 . 2008-03-30 16:52 <DIR> d--hs---- C:\FOUND.000
2008-03-30 13:32 . 2008-03-30 13:32 <DIR> d-------- C:\Programme\Trend Micro
2008-03-30 11:09 . 2008-03-30 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
3 Datei(en) . 787,646 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 09:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
1999-03-11 17:22 99,840 ----a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 19:55 55296 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 10:35 88267 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-07-25 04:49 151552]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 11:38 49152]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40 118784]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-07-03 01:07 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-07-02 21:50 700416]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 08:16 528384]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-07-20 12:29:55 110592]
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 05:37:56 217194]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^StarOffice 7.lnk]
path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\StarOffice 7.lnk
backup=C:\WINDOWS\pss\StarOffice 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2003-06-30 16:49 1130546 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\DPLAYSVR.EXE"=
"C:\\Programme\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c700-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c701-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 13:16:06 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 15:15:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 15:19:04
ComboFix2.txt 2008-04-18 13:59:20
ComboFix-quarantined-files.txt 2008-04-21 13:18:54

28 Verzeichnis(se), 7,216,660,480 Bytes frei
34 Verzeichnis(se), 7,265,206,272 Bytes frei

143 --- E O F --- 2008-04-11 11:07:13

Hallo Yule,

mir ist aufgefallen, dass beim 2.Durchlauf von smitfraudfix, die Tcpip nicht mit angeführt wurde, im Gegensatz zum ersten Mal. Also wahrscheinlich ist der Eintrag (017) raus....siehe HijackThis
Aber leider schreibst du, dass er noch da ist

Man könnte nun natürlich sämtliche betreffende Einträge aus der Registry rausholen, die mit diesem vermaledeiten Tcpip zu tun haben, aber irgendwie ist mir nicht ganz wohl dabei, auch weil fixwareout nichts gefunden hat und die verstellten Verbindungen normalerweise nach San Franzisco gehen (im Moment)

Im anderen Forum tippte man auf Amsterdam, aber laut Whois ist es eindeutig London.
Was hälst du davon, wir machen erst mal nichts weiter ..und du schreibst O2 eine nette Mail und fragst nach, ob es normal ist, dass deine Verbindung über einen Server in London geleitet wird.
Dann berichte bitte, was die antworten.

Hallo Sabina!

Hab Dank für Deine beruhigenden Worte! Ist wahrscheinlich das beste, sich erstmal an den Anbieter zu wenden, bevor ich Dich und andere damit verrückt mache. Ich werde mich hier wieder melden, sobald die Antwort von O2 da ist.
Denn ansonsten kann ich, wie geschrieben, keine ungewöhnlichen Ereignisse mehr feststellen.

Sei ganz herzlich gedankt bis hierhin!!

Liebe Grüße - Yule

Hallo Sabina!

Soeben erreichte mich die Antwort von o2, die meine Angaben geprüft und die Richtigkeit der IP-Adressen des DNS-Servers bestätigt haben.
Wie Wildone schon meinte, hat der Trojaner hier offenbar keinen Schaden angerichtet. Zum Glück!!!

Vielen Dank an Dich, Sabina, und auch an Wildone für die gute Anleitung! Vergelt's Gott!!! - Yule