Hard-/Software:
XP Home von Medion, SP3, ständig geupdatet,
eTtrust Antivirus
Windows Defender
Fritz!Box 7170
Firewall
--------------------------------------------------

Hallo @All,

es dürfte so sein, dass jeder von uns irgendwann mit Virus-fangen dran ist.
Es ist enorm gemein, was da passiert und sehr viele, so wie ich, sind machtlos und sehr hilfsbedürftig dabei.

Bei mir scheinen einige auf ein Mal da zu sein.
Ich fange mal mit dem Gemeinsten an:

Mein Desktop hat sich insofern geändert, dass mein Hintergrundbild (es war in der Mitte plaziert) durch ein
fast so großes Bild mit "Warning! Spyware detected on your Computer" usw. ersetzt wurde (s. Bild1).

Auch die Hintergrundfarbe wurde in weis abgeändert.
Das Schlimmste dabei ist, dass dieses nicht geändert werden kann.

Beim Rechtsklick am Desktop und aus den "Eigenschaften der Anzeige" sind die zwei Reiter Desktop und Bildschirmschoner verschwunden, so dass man das alte Hintergrund-Bild nicht mehr zuweisen kann.

Der WINDOWS-DEFENDER bringt bei jedem Neustart die Meldung:

Name: Trojan: WIN32/Meredrop, Warnstufe: Schwerwiegend, Aktion entfernen.....
--------------------------------------------
Kategorie: Trojaner
Beschreibung:
Dieses Programm installiert andere potenziell unerwünschte Software.
Empfehlung:
Entfernen Sie diese Software unverzüglich.
Ressourcen:
process:
pid:5500
file: C:\WINDOWS\system32\drivers\781lozjc.exe
process: pid:5516
file: C:\WINDOWS\System32\lanmanwrk.exe
regkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\lanmanwrk.exe clean
runkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\lanmanwrk.exe clean

Zusammenfassung:
Es ist eine Änderung an Anwendungsausführung aufgetreten.
Dieser Agent überprüft die Software unmittelbar vor ihrer Ausführung. Es wird eine Warnung angezeigt, wenn ein hohes Risiko besteht, dass die Software Ihren Computer schädigt.
Prüfpunkt: Ausgeführte Prozesse
----------------------------

Nach dem Klicken auf Entfernen wird die Löschung bestätigt, aber bei dem nächsten Start ist der Meredrop wieder da !!!

Der Panta Active-Scan zeigt folgende Ergebnisse (s. Bild2):

Der AD-Aware SE
findet 3 Elemente von Antivirus XP 2008 mit Risikostufe:Niedrig
Beschreibung:Antivirus XP 2008 is a rogue anti-spyware application. It may give exaggerated threat reports on the compromised computer then ask the user to purchase a registered version to remove those reported threats.

Der Hijackthis zeigt dieses:

--------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:25, on 20.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Hardware\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Utils\INTERNET\IE5MAX\ie5max.exe
C:\Hardware\Cherry\CDI\CDI.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\Utils\INTERNET\HijackThis\HiJackThis-202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/
F1 - win.ini: load=c:\elsa-mod\commpro\bin\01comm32.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\programme\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar3.dll

O3 - Toolbar: FBFBar - {982E186D-7E13-45ac-9789-50B535246E28} - C:\Programme\FRITZ!Box Monitor\fbfbar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Hardware\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" - osboot

O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: ie5max.exe.lnk = C:\Utils\INTERNET\IE5MAX\ie5max.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Send to Keyman - C:\Hardware\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: h**p://www.citibank.de
O15 - Trusted Zone: *.civ-versicherung.de
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135192205250

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Hardware\Cherry\CDI\CDI.exe

O23 - Service: Indexdienst CiSvcRpcSs (CiSvcRpcSs) - Unknown owner - .exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home
Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Fehlerberichterstattungsdienst ERSvcRSVP (ERSvcRSVP) - Unknown owner - .exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe

O23 - Service: NAP-Agent (Network Access Protection) napagentwinmgmt (napagentwinmgmt) - Unknown owner - .exe (file missing)

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

O23 - Service: SSDP-Suchdienst SSDPSRVnapagent (SSDPSRVnapagent) - Unknown owner - .exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Windows Media Player-Netzwerkfreigabedienst WMPNetworkSvcdmserver (WMPNetworkSvcdmserver) - Unknown owner - .exe (file missing)

O23 - Service: Sicherheitscenter wscsvc0190_0900_Warner_MonitorService
(wscsvc0190_0900_Warner_MonitorService) - Unknown owner - .exe (file missing)
O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCPolicyAgent (WZCSVCPolicyAgent) - Unknown owner - .exe (file missing)

O23 - Service: X10 Device Network Service (x10nets) - X10 -
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10246 bytes
--------------------------------------------------------------


Ich bin total verwirt, was hier alles passieret ist!!!

Wie soll ich bloß hier weiter machen? Wie komme ich zu den alten Desktop ohne das Warning-Bild?
Wo und wie soll ich was löschen, um die Plagegeister los zu werden?


Für jede Hilfe bin ich sehr dankbar...

Hi,
gehe die Anleitung wie folgt durch:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

3.)
SUPERAntiSpyware:

• Lade dir SUPERAntiSpyware und installiere es
• Folge den Anweisungen und poste das entstandene Logfile

mfg

Hi dark Viruz,

danke für die schnelle Hilfe.


Habe alle 3 geladen.

1) Die Logfile von SmitfraudFix schon erstelt.

2) MalwareBytes Anti-Malware :

es gibt 27 Treffer.

Soll ich sie sofort entfernen, oder muss vorher die Logfile geprüft werden?

3.) SUPERAntiSpyware: noch nicht gestartet...

soll ich die gefundenen Treffer entfernen,
oder muss vorher die Logfile geprüft werden?

Anbei die zwei Logfiles:

SmitFraudFix v2.338

Scan done at 20:15:20,09, 20.08.2008
Run from C:\TROJANS-VIREN\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\TROJANS-VIREN\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Papa

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Papa\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Papa\EIGENE~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

############################################################
Malwarebytes' Anti-Malware 1.25Datenbank Version: 1072
Windows 5.1.2600 Service Pack 3

21:05:11 20.08.2008
mbam-log-08-20-2008 (21-04-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 125088
Laufzeit: 25 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpl02 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpl02 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpl02 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusheat 4.4 (Rogue.VirusHeat) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmandrv (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmandrv (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmandrv (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe clean (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\netsearchsoft.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\717305 (Trojan.BHO) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\drivers\Winpl02.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\lanmanwrk.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dl_ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lphc5ulj0erep.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\qmopt.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\lanmandrv.sys (Rootkit.Agent) -> No action taken.

Von Malwarebytes bitte alle Funde löschen lassen.
Also nochmal scannen.

Hi Dark Viruz,

zum Glück musste ich nicht nochmals scannen. Ich habe auf die Antwort gewartet.

Allerdings es konnten nicht alle 27 infizierten gelöscht werden.

5 wichtige davon sind noch da (siehe Bild)
###############################################

SUPERAntiSpyware Scan Loghttp://www.superantispyware.com

Generated 08/20/2008 at 09:54 PM

Application Version : 4.15.1000

Core Rules Database Version : 3541
Trace Rules Database Version: 1530

Scan type : Quick Scan
Total Scan Time : 00:08:00

Memory items scanned : 405
Memory threats detected : 0
Registry items scanned : 430
Registry threats detected : 0
File items scanned : 12597
File threats detected : 16

Trojan.Dropper/Gen
C:\UMAX-SCANNER\UNINSTAL.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\VISTASCAN\UNINSTALLER.LNK

Parasite.CoolWebSearch Variant
C:\WINDOWS\01GERMAN.TXT:YREC <- DYREC
C:\WINDOWS\ITA_SUP.01L::CCJBT
C:\WINDOWS\KB890047.LOG::JKNDE
C:\WINDOWS\KB893086.LOG::NSCBQ
C:\WINDOWS\KB902400.LOG::XRCCZN
C:\WINDOWS\LIC_ITA.01T::BVBNTY
C:\WINDOWS\LIC_POR.TXT::TVMSNJ
C:\WINDOWS\OCGEN.LOG::HPXOF
C:\WINDOWS\OCGEN.LOG::HRTBAB
C:\WINDOWS\SESSMGR.SETUP.LOG::TVXSUY
C:\WINDOWS\STI_TRACE.LOG::KNABY
C:\WINDOWS\UK__SUP.01L::JOOAOZ
C:\WINDOWS\WINNT.BMP::TTONDW
C:\WINDOWS\WMPRFDEU.PRX::IYEITH

################################################

Ich hoffe, ich habe alles richtig gemacht und ich warte auf Ihre geschätzte Hilfe, was ich noch machen muss/darf.....


Wie bereinige ich die Treffer (welche genau) von SUPERAntiSpyware ?
Welches Button macht die Löschungen?