Hallo,

beim Ansurfen einer Website hat sich vor 2 Wochen ein ganzes Paket Schädlinge gedownloadet.
Ich nutze XP SP 2 (Updates aktuell)
Motherboard MSI KK9N Neo-F V2
CPU Athlon 64X2 4200+ AM2
Festplatte intern (Laufwerk C) Samsung 250 GB
Festplatte extern (Laufwerk E) LaCie (WD) 80 GB
Antivirenprogramm AVAST
Firefox 3 (beim Befall: Version 2)

Die angezeigten Schädlinge nennen sich
Win 32:Trojan.gen
Win 32: Bravix
VBS: Malware-gen
Win32/Adware.Virtumonde
Win32/PrivacyRemover.M64
C:\WINDOWS\system32\TDSSL.dll.virus (wurde auch als Rootkit bezeichnet)

Ich habe zuerst zum Putzen verwendet:
AVAST
Bitdefender Free Edition v10
Spybot S & D

Danach schien das System frei, aber hängte sich bisweilen beim Hochbooten auf, obwohl ich XP regelmäßig mit Tune Up 2004 aufräume.
Danach ließ ich
Panda Anti- Rootkit 1.08 suchen, das fand nichts.
Um sicherzustellen, daß nichts vor Windows zuschlägt, prüfte ich mit
Avira Rescue System und
F-Secure Rescue CD 3.0,
beide mit bootbarer CD unter Linux (?) ausgeführt.
F-Secure hatte dabei herbe Schwierigkeiten, den MBR zu testen, lauter Error- Meldungen. Also hab ich ihn sicherheitshalber mit fixmbr neu erstellt. Seitdem bootet der PC wieder flüssig hoch.
AVAST lief auch im abgesicherten Modus über den PC. Dabei konnte ich Zoltan und Smitfraud löschen.
Die Tage gab AVAST eine Warnung durch, mögliches Rootkit TDss.A (uVb, hatte ich nicht notiert). AVAST benannte die Datei um, mit Bitdefender konnte ich sie löschen. Danach suchte ich mit verschiedenen Anti- Rootkits:
MS Malicious Software Removal Tool
AVG Anti- Rootkit free
Sophos Anti-Rootkit,
alle zeigten keinen Befund.

Hab ich mein System jetzt wieder sauber ?
Kann ich wieder unbesorgt in Online- Shops bestellen ?
Was kann ich noch tun ?
Bitte habt etwas Nachsicht mit mir, ich bin ein recht guter User, hab aber umso weniger Ahnung, je tiefer es ins System geht.
Danke vorab.

Hallo,

schade, daß bisher niemand geantwortet hat. Wenn ich was falsch mache beim Posting, schreibt mir das ruhig, ich bin kritikfähig .
Vielleicht hätte ich gleich ein HJT- Logfile posten sollen. Wird hiermit nachgeholt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:20, on 25.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.amazon.de/gp/r.html?R=2LQ2IGYHEMC4I&C=3G3E1GER04CD7&H=WNHKfakc0trzD3m8omE8r8LmAQkA&T=C&U=http%3A%2F%2Fwww.amazon.de%2Fexec%2Fobidos%2Ftg%2Ffeature%2F-%2F1000174073%2Fref%3Dpe_13271_10895871_hi_img_2%2F
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6037 bytes
         

Scanne dein system mit Malwarebytes und SuperAntispyware. Logs posten.

Entscheide dich für einen Virenscanner. Avast oder Bitdefender

den Teatimer und den SDhelper von Spybot - Search & Destroy würd ich deaktivieren.

Hier ist das Log von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1205
Windows 5.1.2600 Service Pack 2

25.09.2008 21:44:25
mbam-log-2008-09-25 (21-44-25).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 94636
Laufzeit: 21 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
         

Und hier das Log von SuperAntispyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/25/2008 at 11:01 PM

Application Version : 4.21.1004

Core Rules Database Version : 3579
Trace Rules Database Version: 1567

Scan type       : Complete Scan
Total Scan Time : 00:27:33

Memory items scanned      : 404
Memory threats detected   : 0
Registry items scanned    : 3550
Registry threats detected : 1
File items scanned        : 57935
File threats detected     : 42

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@hotbar[2].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@content.licenseacquisition[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@www.zango[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@media.licenseacquisition[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@contentcatalog.hotbar[1].txt

Trojan.FakeAlert/Desktop
	HKU\S-1-5-21-1757981266-602609370-725345543-1004\CONTROL PANEL\DESKTOP#PREVWALLPAPER

Trace.Known Threat Sources
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango-inc[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\index[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\js_zango_com[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\AC_RunActiveContent[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\bg[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\content.licenseacquisition[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\ContentDisplay[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\tracker[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\cookie[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\btn[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\s4[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_corporate[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\ncp[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\sitedisp[1].com&Path=&SiteVer=0
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\zango_menu_default[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_global[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\hbicondrop[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\shopper_large[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\uparrow[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\btn[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\csshover[1].htc
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\zango_logo[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\zango_global[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_home[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\s1[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\s2[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\listsep[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango_consumer[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango_menu_template[3].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\faqs[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\Zango[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\Uninstaller[1].exe
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_menu_default[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\nav_bg[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango[1].html
         

Sieht bescheiden aus. Enttäuschend, daß die vielen Programme, mit denen ich vorher gescannt hatte, so viel übersehen haben.
Den Teatimer hab ich deaktiviert. Galt das temporär oder soll er generell ausbleiben ?
Avast ist mein Standard- Scanner. Bitdefender hat keinen Wächter, war nur als Ergänzung gedacht. Soll ich ihn löschen ?
Die Anleitung zu Super Antispyware solltet ihr überarbeiten. Die Screenshots und das Handling hat sich teilweise geändert.
Was kann ich noch tun ?

Danke,

Horst

Das HijackThis Log sieht ok aus.
Den Tearimer würd ich generell deaktivieren, wenn es der Bitdefender free ist kannst du ihn installiert lassen.

zu guter letzt noch das hier:
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Hallo, erty,

ich habe SmitfraudFix nach Anleitung im abgesicherten Modus laufen lassen. Hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.354

Scan done at 22:19:06,87, 26.09.2008
Run from C:\Dokumente und Einstellungen\Horst\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Horst


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Horst\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Horst\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Danach hab ich nach Anleitung gereinigt (Option 2). Zur Sicherheit hier das Log nach der Reinigung:

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.354

Scan done at 22:21:06,07, 26.09.2008
Run from C:\Dokumente und Einstellungen\Horst\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Hoffentlich kommen wir soweit, daß ich wieder online bestellen kann, ohne mir Sorgen zu machen, daß meine Paßwörter ausgelesen werden...
entschuldige, ich weiß, ich nerve.

Gruß,

Horst