Hi,
spywarebot wurde von Malwarebytes gelöscht.
Ist Spywareblaster noch auf deinem Rechner? Von wo hast du Spywareblaster denn geladen gehabt?

lg myrtille

Also spywareblaster ist nocht drauf. hatte das glaub ich von dieser seite www.majorgeek. oder greek oder so ähnlich. weiß nicht mehr genau.

also es ist auf jeden fall noch drauf. hab gerade nochmal nachgeschaut. das brauch ich dann nicht löschen, oder?
lg, irie

Ok,
Spywareblaster ist eigentlich ein "normales" Antispywareprogramm. Ich wollte nur sicher gehen, dass du nicht einen bösartigen Namensvetter installiert hast. (Spwareb1aster, SpywarebIaster, etc )Majorgeeks ist an sich ne vertrauenswürdige Seite.

SpyBot war nicht "aktiv" auf deinem Rechner, es scheint zwar installiert worden zu sein, allerdings lief offenbar kein Wächter im Hintergrund oder Ähnliches. Könnte das Programm von jemand anderem auf deinem Rechner installiert worden sein?
Ich gehe nicht unbedingt mit der Meinung konform, dass SpywarBot wirklich ein Rogue ist, also ein Programm, dass nur vorgaukelt deinen Rechner zu sichern.

Führe bitte mal auf Verdacht folgendes Tool durch: Smitfraudfix
Einfach die Schritte für "Suche" durchführen.

lg myrtille

Also während ich das dieses smitfraudfix runtergeladen und gestartet habe, kam die folgende nachricht von antivir: C:\...\smitfraudfix.[1].exe enthält erkennungsmuster des droppers dr/Tool.Reboot.F91. Bin auf Ignorieren gegangen. war richtig? als ergebnis kommt das raus:

SmitFraudFix v2.319

Scan done at 21:11:58,21, 06.05.2008
Run from C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\HP_Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\HP_Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HP_BES~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Teledat 300 USB - Paketplaner-Miniport
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.151.205
DNS Server Search Order: 217.237.148.70

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5400A455-17F6-46FE-8C87-F53098BFC5F0}: NameServer=217.237.151.205 217.237.148.70
HKLM\SYSTEM\CCS\Services\Tcpip\..\{74037B92-63E7-40CD-96A6-F0EF1D14DABA}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5400A455-17F6-46FE-8C87-F53098BFC5F0}: NameServer=217.237.151.205 217.237.148.70
HKLM\SYSTEM\CS1\Services\Tcpip\..\{74037B92-63E7-40CD-96A6-F0EF1D14DABA}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{74037B92-63E7-40CD-96A6-F0EF1D14DABA}: DhcpNameServer=15.243.128.51 15.243.160.51


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Das sieht gut aus.
Antivir erkennt potentiell gefährliche Programme, in diesem Fall ein Programm, dass den Rechner zum Booten bringen kann. Das werden wir allerdings nicht brauchen, da Smitfraudfix keine Infektion gefunden hat, und wir daher die bereinigenden Tools von Smitfraudfix nicht brauchen.

Einen letzten Scan hätte ich noch:
Blacklight

Dann würde ich sagen du bist sauber.
Wir haben hier auf die gängigsten Befälle geprüft und nichts gefunden, der gefundene TR ist meines Erachtens ein Fehlalarm. Darüber würde ich mir keine Gedanken machen.
Wenn deine Mutter außerdem beim JS/Redirector während des Surfens auf "Zugriff verweigern" geklickt hat, dann sollte auch nichts passiert sein.
Bleibt das Mysterium des SpywareBots... allerdings lässt sich da im Nachhinein schlecht beurteilen wie lange das Programm schon installiert war und von wem es ursprünglich kam.

lg myrtille

So, den letzten Scan hab ich auch gemacht und der hat auch wieder nix gefunden hört sich doch gut an!!! supi! ja und dieses spywarebot...keine ahnung, wo das hergekommen ist. vtl wars mein bruder...meine eltern trauen sich an solche sachen eh nicht ran aber das dingen ist ja jetzt eh weg.
dann sag ich mal herzlichen dank für die mühe und die tolle und schnelle hilfe!!!

lg, irie

Schön.
Dann ist ja nochmal alles gut gegangen

Wenn du Malwarebytes nicht behalten willst kannst du es wieder über die Systemsteuerung deinstallieren.

Falls ihr nochmal über den JS/Redirector stolpert bitte irgendwo Bescheid geben. Entweder dem Admin sagen, oder hier im Forum oder bei Avira melden.
Derzeit werden sehr viele Seiten gehackt und zum Vertrieb von Malware missbraucht, ohne das ihre Besitzer&Besucher das wissen, daher ist es wichtig, dass die Besitzer der gehackten Seiten informiert werden.

lg myrtille