Trojaner-Board - Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar (https://www.trojaner-board.de/59662-loeschen-virus-antivir-desktop-hintergrund-mehr-editierbar.html)

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar

Hallo!

ich hatte heute auf einmal als Hintergrundbild eine Nachricht "Windows Warning Message - Spyware detected on your Computer".
Habe mir daraufhin AntiVir heruntergeladen und laufen lassen, die infizierten Files wurden gelöscht. Leider lässt sich der Hintergrund jetzt nicht mehr ändern, die entsprechenden Karteireiter fehlen einfach.

Hier das Log-File von AntiVir:

Code:

 Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Donnerstag, 11. September 2008  11:34
 

Es wird nach 1608940 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     -DX-
 

Versionsinformationen:

BUILD.DAT     : 8.1.0.331      16934 Bytes   12.8.2008 11:44:00

AVSCAN.EXE    : 8.1.4.7       315649 Bytes   26.6.2008 08:57:50

AVSCAN.DLL    : 8.1.4.0        48897 Bytes    9.5.2008 11:27:08

LUKE.DLL      : 8.1.4.5       164097 Bytes   12.6.2008 12:44:18

LUKERES.DLL   : 8.1.4.0        12545 Bytes    9.5.2008 11:40:44

ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes   18.7.2007 10:33:34

ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes   24.6.2008 13:54:16

ANTIVIR2.VDF  : 7.0.6.94     2998784 Bytes   31.8.2008 09:33:36

ANTIVIR3.VDF  : 7.0.6.145     323072 Bytes   11.9.2008 09:33:38

Engineversion : 8.1.1.28  

AEVDF.DLL     : 8.1.0.5       102772 Bytes    9.7.2008 08:38:32

AESCRIPT.DLL  : 8.1.0.70      319866 Bytes   11.9.2008 09:33:44

AESCN.DLL     : 8.1.0.23      119156 Bytes   11.9.2008 09:33:44

AERDL.DLL     : 8.1.1.1       397683 Bytes   11.9.2008 09:33:42

AEPACK.DLL    : 8.1.2.1       364917 Bytes   11.9.2008 09:33:42

AEOFFICE.DLL  : 8.1.0.23      196987 Bytes   11.9.2008 09:33:42

AEHEUR.DLL    : 8.1.0.51     1397111 Bytes   11.9.2008 09:33:42

AEHELP.DLL    : 8.1.0.15      115063 Bytes    9.7.2008 08:38:32

AEGEN.DLL     : 8.1.0.36      315764 Bytes   11.9.2008 09:33:40

AEEMU.DLL     : 8.1.0.7       430452 Bytes   11.9.2008 09:33:40

AECORE.DLL    : 8.1.1.11      172406 Bytes   11.9.2008 09:33:38

AEBB.DLL      : 8.1.0.1        53617 Bytes   24.4.2008 08:50:42

AVWINLL.DLL   : 1.0.0.12       15105 Bytes    9.7.2008 08:40:04

AVPREF.DLL    : 8.0.2.0        38657 Bytes   16.5.2008 09:28:00

AVREP.DLL     : 8.0.0.2        98344 Bytes   11.9.2008 09:33:38

AVREG.DLL     : 8.0.0.1        33537 Bytes    9.5.2008 11:26:38

AVARKT.DLL    : 1.0.0.23      307457 Bytes   12.2.2008 08:29:20

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes   12.6.2008 12:27:48

SQLITE3.DLL   : 3.3.17.1      339968 Bytes   22.1.2008 17:28:04

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes   12.6.2008 12:49:38

NETNT.DLL     : 8.0.0.1         7937 Bytes   25.1.2008 12:05:08

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes   12.6.2008 13:45:02

RCTEXT.DLL    : 8.0.52.0       86273 Bytes   27.6.2008 13:32:06
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, E:, F:, G:, H:, I:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: aus

Datei Suchmodus..................: Intelligente Dateiauswahl

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: 20

Archiv Smart Extensions..........: ein

Makrovirenheuristik..............: ein

Dateiheuristik...................: mittel
 

Beginn des Suchlaufs: Donnerstag, 11. September 2008  11:34
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hprblog.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess '.ttEB.tmp.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttEB.tmp.exe'

Durchsuche Prozess 'lphclgrj0et5r.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\WINDOWS\system32\lphclgrj0et5r.exe'

Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht

Prozess '.ttEB.tmp.exe' wird beendet

Prozess 'lphclgrj0et5r.exe' wird beendet

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttEB.tmp.exe

    [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.RS

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\lphclgrj0et5r.exe

    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Frauder.EE.11

    [HINWEIS]   Die Datei wurde gelöscht.
 

Es wurden '37' Prozesse mit '35' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD3

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD4

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD5

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'G:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'H:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'I:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
 

Die Registry wurde durchsucht ( '58' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <SYSTEM>

C:\WINDOWS\system32\a.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.34816

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\phclgrj0et5r.bmp

    [FUND]      Ist das Trojanische Pferd TR/Fakealert.AAF

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttE8.tmp.vbs

    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttEB.tmp

    [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.RS

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.tt4.tmp.vbs

    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\nsi3.tmp\euladlg.dll

    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\nsgEF.tmp\euladlg.dll

    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLEJ09QZ\pipo[1]

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.34816

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\58535aaf-6dbc321d

    [0] Archivtyp: ZIP

    --> OP.class

      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\6d7493b4-583b7f2f

    [0] Archivtyp: ZIP

    --> OP.class

      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I

    [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\107cd1bb-4192c619

    [0] Archivtyp: ZIP

    --> MagicApplet.class

      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B

    --> OwnClassLoader.class

      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify

    --> ProxyClassLoader.class

      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A

    --> Installer.class

      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify.S.1

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP4\A0000013.exe

    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Frauder.EE.11

    [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP4\A0000015.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.34816

    [HINWEIS]   Die Datei wurde gelöscht.

Beginne mit der Suche in 'E:\' <PROGRAMME>

Beginne mit der Suche in 'F:\' <SPIELE>

Beginne mit der Suche in 'G:\' <DATEN>

G:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'H:\' <CHRISTEL>

Beginne mit der Suche in 'I:\' <MUSIK>
 
 

Ende des Suchlaufs: Donnerstag, 11. September 2008  12:15

Benötigte Zeit: 41:01 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  12123 Verzeichnisse wurden überprüft

 365713 Dateien wurden geprüft

     20 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

     15 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 365692 Dateien ohne Befall

   2226 Archive wurden durchsucht

      5 Warnungen

     15 Hinweise

Ich hoffe ich habe damit alle nötigen Informationen geliefert, damit ihr mir helfen könnt.

Nachtrag:
Ab und zu (ich kann keinen Auslöser o.ä. ausmachen) bekomme ich einen Bluescreen mit verschieden lautenden Meldungen. 2 davon (etwa, die Meldung verschwindet relativ schnell) "IRQL not equal", "Unexpected Kernel trap".
Wenn ich nichts mache startet Windows neu (also kein kompletter PC-Neustart) und während des Windows-Ladevorgangs kommt wieder ein Bluescreen.
Wenn ich während des Bluescreens eine Taste(nkombination) (strg+alt+entf oder leertaste) drücke, kehrt Windows zurück zum Zustand vor dem Bluescreen, als hätte dieser nur das Bild verdeckt. D.h. alle Programme laufen noch, es sind noch die gleichen Webseiten geöffnet wie vorher.

Hi metallissim0 und willkommen an Board ;)

Klingt nach dem Trojaner, mit dem ich mich auch momentan rumquäle, siehe http://www.trojaner-board.de/59655-w...rauder-bu.html

Sieht das Hintergrundbild zufälligerweise so aus:

http://www.avira.com/images/threats/...1220608296.png

Falls ja, dan melde dich mal, ich kann dir sagen, was ich bis jetzt gemacht hab, bräuchte aber selber noch Hilfe.

SG

Ja, genauso sah das Bild aus, es ist ja nicht mehr da, seit AntiVir die infizierten Files gelöscht hat.
Ich bin grad ehrlich gesagt etwas irritiert, dass von den Fachleuten hier keine Reaktion kommt, wohl aber bei anderen die wesentlich später ihr Problem gepostet haben.

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Zunächst schonmal danke!

Hier das Ergebnis:

Code:

SmitFraudFix v2.349
 

Scan done at 22:59:48,65, 11.09.2008

Run from C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is FAT32

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxxxx
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxxxx\Application Data
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\xxxxx\FAVORI~1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Die derzeitige Homepage"

 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, following keys are not inevitably infected!!!
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Ok dann nochmals im abesicherten Modus mit Option 2

und anschliessend

Malwarebytes scannen lassen
Malwarebytes

Ok, mach ich sofort.

So, hier:

Smitfraud:

Code:

SmitFraudFix v2.349
 

Scan done at 23:16:51,10, 11.09.2008

Run from C:\Dokumente und Einstellungen\xxxx\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is FAT32

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

MAM:

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1141

Windows 5.1.2600 Service Pack 2
 

11.09.2008 23:50:33

mbam-log-2008-09-11 (23-50-33).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|I:\|)

Durchsuchte Objekte: 165691

Laufzeit: 27 minute(s), 2 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 5

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclgrj0et5r (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcggrj0et5r (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\blphclgrj0et5r.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

ok.
über start ausführen regedit aufrufen.

folgende Schlüssel mit konzentration suchen und löschen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispBackgroundPage = 0x00000001
NoDispScrSavPage = 0x00000001

HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver
EulaAccepted = 0x00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings

HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lphc35dj0erc1 = "%System%\lphc35dj0erc1.exe"

Ich hab noch nie in der Registry was gemacht, bin deshalb etwas verunsichert, weil ich zwar den ersten von dir angegebenen Pfad finde, aber dann auf der rechten Seite nur ein Eintrag erscheint:

Code:

Name:        Typ       Wert

(Standard)   REG_SZ   (Wert nicht gesetzt)

Edit: Und wo nur der Pfad angegeben ist den jeweiligen Ordner löschen?

ok schlüssel für schlüssel...

steht bei dir unter policies Explorer und System (links als Ordner dargestellt)?

Dürfte ich mich kurz einmischen? *vorsichtigfrag*

Dann muss er evtl. nicht jeden Eintrag einzeln löschen.

Ja, es steht auch noch ein dritter Ordner da, "Active Desktop"

Zitat:

Zitat von Dark Viruz (Beitrag 372104)

Dürfte ich mich kurz einmischen? *vorsichtigfrag*

Dann muss er evtl. nicht jeden Eintrag einzeln löschen.

Von mir aus klar, aber die Entscheidung überlass ich wohl besser erty :)

Also,
ich hab das offizielle OK von erty bekommen. :Boogie:

Führe folgendes Tool aus (Tutorial genau durchlesen):

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Zitat:

Zitat von Dark Viruz (Beitrag 372107)

Also,
ich hab das offizielle OK von erty bekommen. :Boogie:

Beweise? ;)

Und noch eine vorsichtige Frage:
Geht das wirklich schneller? Das sind 8 Einträge, davon die meisten nahe beieinander. Ich scheue nicht vor ein bisschen Handarbeit zurück...

ComboFix findet vieles, was MBAM, SmitfraudFix nicht findet. ;)

Es gibt auch sonstige wichtige Informationen wieder.

Ok, ich habs ja fast geahnt. Hab gar nix gesagt :dummguck:
Dann mach ich mich mal dran.

Der CCleaner fragt nach Klick auf "Fehler beheben" unter Registry: "Änderungen in der Registry sichern?".
Ja oder nein? Und vielleicht kann man diesen Punkt in der Anleitung noch ergänzen...

Das dürfte sich eigentlich von selber ergeben.
Fehler beheben? Na klar, für was ist die Funktion sonst da?
Änderung sichern? Je nach dem, ob du die Registry-Leichen bunkern willst, oder nicht..

auf nem astreinen system normalerweise erstmal sichern, aber ich denke du kannst getrost löschen. CCleaner scannt nicht so aggresiv wie manch anderer registry cleaner.

Naja, ich dachte, ich frag lieber einmal zu viel...

Also hier das CF-Log:

Code:

ComboFix 08-09-10.04 - xxxxx 2008-09-12  0:35:53.1 - FAT32x86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2370 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\SW_Win2000X24.DLL
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-11 bis 2008-09-11  ))))))))))))))))))))))))))))))

.
 

2008-09-12 00:26 . 2008-09-12 00:26        <DIR>        d--------        C:\Programme\CCleaner

2008-09-11 23:21 . 2008-09-11 23:21        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-09-11 23:21 . 2008-09-11 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes

2008-09-11 23:21 . 2008-09-11 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-11 23:21 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-11 23:21 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-11 22:59 . 2008-09-11 23:16        3,046        --a------        C:\WINDOWS\system32\tmp.reg

2008-09-11 11:32 . 2008-09-11 11:32        <DIR>        d--------        C:\Programme\Avira

2008-09-11 11:32 . 2008-09-11 11:32        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-09-08 02:13 . 2008-09-08 02:13        7        --a------        C:\WINDOWS\INI2=No

2008-09-08 02:13 . 2008-09-08 02:13        7        --a------        C:\WINDOWS\INI1=No

2008-09-08 02:12 . 2008-09-08 02:12        <DIR>        d--------        C:\Downloads

2008-09-08 02:12 . 2008-09-08 02:12        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GetRightToGo

2008-09-05 01:09 . 2008-09-05 01:09        <DIR>        d--------        C:\Programme\MSXML 4.0

2008-08-28 21:57 . 2008-08-28 21:57        108,768        --a------        C:\WINDOWS\system32\drivers\ACEDRV08.sys

2008-08-28 21:56 . 2006-08-08 09:32        626,688        --a------        C:\WINDOWS\DBREG.dll

2008-08-28 21:56 . 2004-03-09 00:00        132,880        --a------        C:\WINDOWS\system32\MSINET.OCX

2008-08-28 21:56 . 2006-08-08 09:31        131,584        --a------        C:\WINDOWS\DBReg.exe

2008-08-28 21:56 . 2006-08-04 12:26        16,070        --a------        C:\WINDOWS\German2.ini

2008-08-27 23:36 . 2008-08-27 23:36        <DIR>        d--------        C:\WINDOWS\system32\NtmsData

2008-08-15 15:31 . 2008-04-11 20:50        683,520        ---------        C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-08-15 15:31 . 2008-05-01 16:30        331,776        ---------        C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-14 10:02 . 2008-08-14 10:02        <DIR>        d--------        C:\TEMP
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-30 17:26        1,868,944        ----a-w        C:\WINDOWS\system32\RSA32_16.DLL

2008-08-05 18:39        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\gtk-2.0

2008-08-04 18:43        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA

2008-08-04 18:33        315,392        ----a-w        C:\WINDOWS\HideWin.exe

2008-08-04 18:33        ---------        d-----w        C:\Programme\Realtek

2008-08-04 17:39        9,388        ----a-w        C:\WINDOWS\system32\drivers\iaStor.PNF

2008-08-04 17:39        7,280        ----a-w        C:\WINDOWS\system32\drivers\viamraid.PNF

2008-08-04 17:39        63,240        ----a-w        C:\WINDOWS\system32\drivers\Si3112r.PNF

2008-08-04 17:39        6,984        ----a-w        C:\WINDOWS\system32\drivers\SiSRaid.PNF

2008-08-04 17:39        20,152        ----a-w        C:\WINDOWS\system32\drivers\INFCACHE.1

2008-08-04 17:39        12,432        ----a-w        C:\WINDOWS\system32\drivers\adpu320.PNF

2008-08-04 17:39        12,204        ----a-w        C:\WINDOWS\system32\drivers\nvraid.PNF

2008-08-04 17:39        10,828        ----a-w        C:\WINDOWS\system32\drivers\iaAHCI.PNF

2008-07-31 08:15        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\dllcache\cdm.dll

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\dllcache\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\dllcache\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\dllcache\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\dllcache\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\dllcache\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\dllcache\wuaueng.dll

2008-07-16 18:55        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Spider Player

2008-07-15 16:45        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\vstsaxi

2008-07-15 15:25        ---------        d-----w        C:\Programme\ASIO4ALL v2

2008-07-15 15:08        ---------        d-----w        C:\Programme\Steinberg

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-07 20:30        253,952        ------w        C:\WINDOWS\system32\dllcache\es.dll

2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll

2008-06-24 16:22        74,240        ------w        C:\WINDOWS\system32\dllcache\mscms.dll

2008-06-23 09:49        18,432        ------w        C:\WINDOWS\system32\dllcache\iedw.exe

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-06-20 17:39        247,296        ------w        C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 17:39        148,992        ------w        C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 10:45        360,320        ------w        C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 10:44        138,368        ------w        C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 09:52        225,920        ------w        C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\dllcache\bthport.sys

2008-01-24 14:06        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 21686568]

"MCW Startup"="E:\Monitor Calibration Wizard\MCW.exe" [2002-12-20 321024]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"Adobe Reader Speed Launcher"="E:\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 39792]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 7634944]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 86016]

"QuickTime Task"="E:\Quicktime\qttask.exe" [2008-03-28 413696]

"HP Software Update"="E:\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"nwiz"="nwiz.exe" [2006-10-31 C:\WINDOWS\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 C:\WINDOWS\RTHDCPL.exe]

"SkyTel"="SkyTel.EXE" [2007-10-11 C:\WINDOWS\SkyTel.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

WinZip Quick Pick.lnk - E:\WinZip\WZQKPICK.EXE [2007-06-06 394856]

HP Digital Imaging Monitor.lnk - E:\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"E:\\Trillian\\trillian.exe"=

"F:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"E:\\Azureus\\Azureus.exe"=

"E:\\grandMA 3D\\GrandMA 3D.exe"=

"E:\\Mozilla\\firefox.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"E:\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"E:\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"E:\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"E:\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-08-28 108768]

R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18432]
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners

.

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\lvetd120.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.net/

FF -: plugin - E:\Adobe Reader\Reader\browser\nppdf32.dll

FF -: plugin - E:\Mozilla\plugins\np32dsw.dll

FF -: plugin - E:\Mozilla\plugins\npdivx32.dll

FF -: plugin - E:\Mozilla\plugins\npDivxPlayerPlugin.dll

FF -: plugin - E:\Mozilla\plugins\npnul32.dll

FF -: plugin - E:\Mozilla\plugins\NPOFF12.DLL

FF -: plugin - E:\Mozilla\plugins\nppdf32.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin2.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin3.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin4.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin5.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin6.dll

FF -: plugin - E:\Mozilla\plugins\npqtplugin7.dll

FF -: plugin - E:\Mozilla\plugins\NPSWF32.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin2.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin3.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin4.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin5.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin6.dll

FF -: plugin - E:\Quicktime\Plugins\npqtplugin7.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-12 00:36:49

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-12  0:37:10

ComboFix-quarantined-files.txt  2008-09-11 22:37:08
 

Pre-Run: 497,590,272 Bytes frei

Post-Run: 597,458,944 Bytes frei
 

181        --- E O F ---        2008-09-10 13:48:09

So jetzt nur noch das:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

==============

Jetzt ist mein Teil getan. :heilig:

Code:

Search Navipromo version 3.6.5 began on 12.09.2008 at  0:47:50,76
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Actual User Account : "xxxxx" 
 

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Version Internet Explorer : 6.0.2900.2180

Filesystem type : FAT32
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\xxxxx\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\XXX\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\GAST\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\xxxxx\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\XXX\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\GAST\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\xxxxx\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\XXX\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\GAST\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\xxxxx\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\XXX\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\GAST\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\xxxxx\lokale~1\anwend~1" : 
 
 

* In "C:\DOKUME~1\XXX\lokale~1\anwend~1" : 
 
 

* In "C:\DOKUME~1\GAST\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 12.09.2008 at  0:48:31,00 ***

Zitat:

Zitat von Dark Viruz (Beitrag 372123)

Jetzt ist mein Teil getan. :heilig:

Dann danke ich dir sehr herzlich!
Und harre gespannt dem, was noch kommt :D

Kein Problem, war nur das bisschen. ;)

Jetzt ist erty wieder dran. ;)

na du bist mir einer... Dark!

darf ich jetzt doch die schlüssel einzeln bereinigen? :juul:

Ja, wenn du willst :D

also sieht es so bei dir aus?

achte auf das untere grüne "Zeile".

Nein, ich hab im Ordner "Policies" keinen weiteren Ordner gleichen Namens, sondern: ActiveDesktop, Associations, (+)Explorer, System, WindowsUpdate.

jetzt bin ich auch schon ganz wirr! Den Schlüssel Policies gibts auch in Policies nicht, meinte natürlich System

also den ordner System löschen. rechtsklick löschen.

Beim nächsten schlüssen musst du den Ordner Bluescreen Screen Saver löschen

Zitat:

Zitat von erty (Beitrag 372131)

also den ordner System löschen. rechtsklick löschen

Done

(Warum habt ihr hier ne 10 Zeichen-Sperre? :D Ich kenn das mit 5... naja, jetzt sinds jedenfalls genug.)

Hast du editiert oder bin ich jetzt schon so müde, dass ich das mit dem Bluescreensaver übersehen hab?
Ebenfalls erledigt.

hab editiert :-)

so und jetzt noch diese beiden:

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier

und dann bitte noch ein Hijackthis log posten.

Ich muss dich enttäuschen, den zweiten davon gibts nich ;)

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:33:04, on 12.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

E:\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

E:\WinZip\WZQKPICK.EXE

E:\HP\Digital Imaging\bin\hpqtra08.exe

E:\HP\Digital Imaging\bin\hpqSTE08.exe

E:\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

E:\Mozilla\firefox.exe

E:\Trillian\trillian.exe

C:\WINDOWS\regedit.exe

C:\Dokumente und Einstellungen\xxxxx\Desktop\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe Reader\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MCW Startup] "E:\Monitor Calibration Wizard\MCW.exe" /s

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\Office\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 4660 bytes

was du noch machen kannst...

diesen hier überprüfen:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

die Standardwerte in den Zeichenfolgen --> rechts im Fenster
bei AppData müßte lauten
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten

und

bei Cache müßte lauten
C:\Dokumente und Einstellungen\DEIN USERNAME\Lokale Einstellungen\Temporary Internet Files

ändern kannst du mit rechtsklick --> ändern

Ok, hab die beiden noch korrigiert.

so und dann startest du erstmal neu und schaust nach deinen desktop.

abschliessend laßt du nochmals Malwarebytes und CureIT scannen und postest, ob noch was gefunden wurde.

Das "bis gleich" war wohl etwas voreilig, die beiden Scans zusammen gehen ja wohl mal min. 45 Minuten... bist du dann noch da?

ja kann ich machen.

ist der desktop denn wieder ok?

nochwas nebenbei:

Java updaten --> http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java SE Downloads[/url]

und 45 min werden wahrscheinlich auch nicht ausreichen. Dr. web scannt ziemlich lange....

War nur ne grobe Schätzung.
Das Update kann ich aber nich nebenher laufen lassen, oder?

nee, weil wenn du genau gelesen hast, bist du bei CureIT im abgesicherten Modus!

das Java update reicht auch noch morgen oder übermorgen... :)

Ja noch läuft ja MAM, sonst wär ich ja schon off.
Hat übrigens schon was gefunden, ändert das was am Plan?

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1141

Windows 5.1.2600 Service Pack 2
 

12.09.2008 02:20:06

mbam-log-2008-09-12 (02-20-06).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|I:\|)

Durchsuchte Objekte: 163144

Laufzeit: 25 minute(s), 57 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP5\A0000085.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Bin dann off für CureIT

nein... paßt noch alles.

neben dem java update noch den ie7 samt updates und sämtliche xp updates aufspielen.

So, hier das Ergebnis von 2 Stunden DrWeb:

Code:

SmitfraudFix.exe\SmitfraudFix\Process.exe;C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix.exe;Tool.Prockill;;

SmitfraudFix.exe\SmitfraudFix\restart.exe;C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix.exe;Tool.ShutDown.11;;

SmitfraudFix.exe;C:\Dokumente und Einstellungen\xxxxx\Desktop;Archiv enthält infizierte Objekte;Verschoben.;

ComboFix.exe\327882R2FWJFW\List-C.bat;C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;

ComboFix.exe\327882R2FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe;Program.PsExec.171;;

ComboFix.exe;C:\Dokumente und Einstellungen\xxxxx\Desktop;Archiv enthält infizierte Objekte;Verschoben.;

Process.exe;C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix;Tool.Prockill;;

restart.exe;C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix;Tool.ShutDown.11;;

Process.exe;C:\Programme\Navilog1;Tool.Prockill;;

A0000067.exe;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP5;Tool.Prockill;;

A0000327.bat;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6;Wahrscheinlich BATCH.Virus;;

A0000424.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6\A0000424.exe;Tool.Prockill;;

A0000424.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6\A0000424.exe;Tool.ShutDown.11;;

A0000424.exe;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6;Archiv enthält infizierte Objekte;Verschoben.;

A0000425.exe\327882R2FWJFW\List-C.bat;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6\A0000425.exe;Wahrscheinlich BATCH.Virus;;

A0000425.exe\327882R2FWJFW\psexec.cfexe;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6\A0000425.exe;Program.PsExec.171;;

A0000425.exe;C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP6;Archiv enthält infizierte Objekte;Verschoben.;

CVPiano-GVI-Modeled_Setup.exe\data083;I:\Programme\VSTi\CVPiano\CVPiano-GVI-Modeled_Setup.exe;Tool.Prockill;;

CVPiano-GVI-Modeled_Setup.exe;I:\Programme\VSTi\CVPiano;Archiv enthält infizierte Objekte;Verschoben.;

Wozu den IE7, wenn ich ihn ohnehin nicht benutze?

update ihn und nutze ihn nicht... ok? :)

hast du denn noch probleme oder ist noch irgendetwas auffällig?

Ich versteh halt gerne, weshalb ich was mache ;)

Ne, hab jetzt zuletzt nichts Ungewöhnliches mehr bemerkt.

Manche Komponenten von IE7 werden auch woanders genutzt. z.B die Rendering-Engine. Wenn du z.b. eine Hilfedatei aufrufst läuft das auch über den ie...

edit:
war ja auch nur ein Tipp

Ok, danke.

D.h. jetzt also, ich bin geheilt? :)

Edit:
Ich wollte den Tipp auch nicht in Frage stellen, mich hat einfach der Hintergrund interessiert.

Zitat:

Zitat von metallissim0 (Beitrag 372248)

D.h. jetzt also, ich bin geheilt? :)

ich hoffe doch :)

Kann ich davon ausgehen, dass mein Rechner zu 100% clean ist? Oder gibt es Dinge die ich noch beachten sollte (also außer Updates und sonstigen Sicherheitsvorkehrungen) ?

100% clean kann ich dir nicht versprechen, aber gemäß antivir und Dr. Web ist dein Rechner jetzt zu 100% clean.

Du kannst dir noch das hier anschauen NT-Dienste sicher konfigurieren

Ok, mach ich.
Dann nochmal ein riesengroßes :dankeschoen:
Ich find deine/eure Arbeit hier unglaublich!