Hi.
Ich hab mir letzte Woche mal was eingefangen.
Habe dieses 'Your Computer is infected' - Phänomen (Roter Kreis mit weißem X).
Hab schon versucht mit Ad-Aware oder Spybot mein problem zu bereinigen (was auch funktioniert, nur am nächsten Tag ist dieser Virus/Spyware/Wurm/Trojaner was auch immer - wieder am Bildschirm). Vielleicht kann mir ja jemand helfen - bin recht ratlos.

nachfolgend noch die mit HijackThis V1.98.2 erstellte Liste

Logfile of HijackThis v1.98.2
Scan saved at 10:03:54, on 14.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Information Update\iu.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Winzip\WZQKPICK.EXE
C:\Novell\GroupWise\Notify.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Maple 9\bin.win\cwmaple9.exe
C:\Programme\Maple 9\bin.win\mserver.exe
C:\Programme\Maple 9\bin.win\cwmaple9.exe
C:\Programme\Maple 9\bin.win\mserver.exe
C:\DOKUME~1\gerhard.IMH\LOKALE~1\Temp\18477.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Novell\GroupWise\grpwise.exe
C:\Programme\hijackthis\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Information Update] C:\Programme\Information Update\iu.exe
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Notify.lnk = C:\Novell\GroupWise\Notify.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O4 - Global Startup: xp-AntiSpy.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C939610-BEFF-4999-B92E-5C1303052C34}: NameServer = 140.78.2.62,140.78.3.62

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

habe alles wie angegeben ausgeführt und nachfolgend angegeben: (Hinweis: systemtemp Editor ist leer)



Verzeichnis von C:\WINDOWS\system32

21.03.2047 11:28 864 oeminfo.ini
14.03.2006 14:52 35.870 vsconfig.xml
14.03.2006 14:52 97 LMGRD.LOG
13.03.2006 13:32 4.212 zllictbl.dat
13.03.2006 08:04 1.455 OODBS.lor
13.03.2006 08:02 12.598 wpa.dbl
13.03.2006 08:02 255.864 FNTCACHE.DAT
10.03.2006 03:08 173.568 schedsvc.dll
10.03.2006 03:08 265.216 mstask.dll
10.03.2006 03:08 306.688 netapi32.dll
10.03.2006 03:08 10.752 mstinit.exe
08.03.2006 13:37 9.543.680 clip0002.avi
08.03.2006 13:35 302.592 clip0001.avi
24.02.2006 09:11 16.832 amcompat.tlb
24.02.2006 09:11 23.392 nscompat.tlb
12.01.2006 11:32 543.496 LegitCheckControl.DLL
04.01.2006 19:46 2.836.320 MRT.exe
04.01.2006 04:37 64.000 webclnt.dll
02.01.2006 23:38 260.608 gdi32.dll
23.12.2005 09:03 28.672 maplec.dll
06.12.2005 06:02 5.533.696 wmp.dll
22.11.2005 17:39 2.700.288 MSHTML.DLL
22.11.2005 16:02 505 load_options.def
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll



14.03.2006 15:02 16.384 ~DF773B.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 93.161.209.856 Bytes frei


Verzeichnis von C:\WINDOWS

14.03.2006 15:02 1.398.971 WindowsUpdate.log
14.03.2006 14:53 89 WPCMAPI.INI
14.03.2006 14:52 0 0.log
14.03.2006 14:52 2.048 bootstat.dat
14.03.2006 14:51 32.612 SchedLgU.Txt
14.03.2006 13:34 456.134 setupapi.log
13.03.2006 08:04 923 spupdsvc.log
13.03.2006 07:59 505.399 iis6.log
13.03.2006 07:59 93.753 ntdtcsetup.log
13.03.2006 07:59 157.487 comsetup.log
13.03.2006 07:59 1.374 imsins.log
13.03.2006 07:59 208.598 tsoc.log
13.03.2006 07:59 22.816 tabletoc.log
13.03.2006 07:59 70.344 KB899587.log
13.03.2006 07:59 22.053 msgsocm.log
13.03.2006 07:59 15.693 ocmsn.log
13.03.2006 07:59 228.370 ocgen.log
13.03.2006 07:59 77.204 netfxocm.log
13.03.2006 07:59 438.136 FaxSetup.log
13.03.2006 07:59 138.642 msmqinst.log
13.03.2006 07:59 17.745 updspapi.log
13.03.2006 07:59 70.865 Q817287.log
13.03.2006 07:58 1.374 imsins.BAK
13.03.2006 07:58 68.667 KB896422.log
13.03.2006 07:57 70.992 KB885835.log
13.03.2006 07:57 67.048 KB885836.log
13.03.2006 07:57 19.320 dahotfix.log
13.03.2006 07:56 11.562 xpsp1hfm.log
13.03.2006 07:56 55.885 KB840374.log
13.03.2006 07:56 67.373 KB911927.log
13.03.2006 07:55 65.479 KB901017.log
13.03.2006 07:55 66.742 KB823182.log
13.03.2006 07:54 63.852 KB839645.log
13.03.2006 07:54 65.123 KB899591.log
13.03.2006 07:53 65.125 KB896424.log
13.03.2006 07:53 65.388 KB893756.log
13.03.2006 07:53 63.265 KB896423.log
13.03.2006 07:52 58.720 Q329834.log
13.03.2006 07:52 63.052 KB823559.log
13.03.2006 07:51 61.058 KB873339.log
13.03.2006 07:51 53.229 KB885626.log
13.03.2006 07:51 58.220 Q329048.log
13.03.2006 07:51 60.543 KB828035.log
13.03.2006 07:50 59.986 KB888113.log
13.03.2006 07:50 62.864 KB840987.log
13.03.2006 07:49 49.571 KB837001.log
13.03.2006 07:49 55.923 KB833987.log
13.03.2006 07:49 59.947 KB896358.log
13.03.2006 07:48 54.620 Q810833.log
13.03.2006 07:48 52.214 Q828026.log
13.03.2006 07:47 68.430 wmsetup.log
13.03.2006 07:47 49.781 KB910437.log
13.03.2006 07:47 51.075 KB905495.log
13.03.2006 07:46 55.050 KB873376.log
13.03.2006 07:46 48.199 KB911564.log
13.03.2006 07:46 57.838 KB902400.log
13.03.2006 07:45 44.837 KB891781.log
13.03.2006 07:45 39.693 KB911565.log
13.03.2006 07:45 45.954 KB890046.log
13.03.2006 07:45 44.559 KB899589.log
13.03.2006 07:44 39.615 Q811630.log
13.03.2006 07:44 35.475 KB904706.log
13.03.2006 07:44 39.929 KB841356.log
13.03.2006 07:43 41.292 KB905414.log
13.03.2006 07:43 37.131 KB824105.log
13.03.2006 07:43 1.133.448 setupapi.log.0.old
13.03.2006 07:42 33.867 Q814033.log
13.03.2006 07:42 39.158 KB841533.log
13.03.2006 07:41 37.239 KB901214.log
13.03.2006 07:41 31.008 Q810565.log
13.03.2006 07:40 30.812 KB892944.log
13.03.2006 07:40 33.298 KB885250.log
13.03.2006 07:40 22.831 KB905915-IE6SP1-20051122.175908.log
13.03.2006 07:39 27.579 KB888302.log
13.03.2006 07:39 28.992 KB900725.log
13.03.2006 07:39 23.084 KB912919.log
13.03.2006 07:39 16.133 Q329441.log
13.03.2006 07:38 15.979 Q817606.log
13.03.2006 07:37 19.854 KB871250.log
13.03.2006 07:37 22.542 KB905749.log
13.03.2006 07:37 11.453 Q329170.log
13.03.2006 07:36 18.451 KB896428.log
13.03.2006 07:36 15.349 KB835409.log
13.03.2006 07:36 7.646 KB839643-DirectX9.log
13.03.2006 07:35 18.406 KB908519.log
13.03.2006 07:35 6.352 Q329115.log
13.03.2006 07:35 13.958 KB913446.log
13.03.2006 07:35 20.931 KB890859.log
13.03.2006 07:35 4.081 Q329390.log
13.03.2006 07:34 2.673 Q323255.log
13.03.2006 07:34 17.561 KB841873.log
10.03.2006 03:00 274.822 KB893803v2.log
10.03.2006 03:00 270.614 KB898461.log
09.03.2006 14:00 4.290 KB891711.log
09.03.2006 11:28 49 NeroDigital.ini
08.03.2006 17:13 416 wiadebug.log
08.03.2006 13:27 3.371 UnHyCam.bat
08.03.2006 13:06 50 wiaservc.log
24.02.2006 09:11 446 wmsetup10.log
24.02.2006 09:11 583 win.ini
24.02.2006 09:10 316.640 WMSysPr9.prx
17.01.2006 09:40 43 gswin32.ini
18.11.2005 09:49 754 WORDPAD.INI
14.10.2005 11:30 512 randseed.rnd


Verzeichnis von C:\

14.03.2006 15:10 0 sys.txt
14.03.2006 15:10 9.458 system.txt
14.03.2006 15:08 298 systemtemp.txt
14.03.2006 15:05 100.074 system32.txt
14.03.2006 14:52 3.218.079.744 pagefile.sys
14.03.2006 09:36 32.768 winstall.exe
08.03.2006 13:33 659 .sfl
17.05.2005 14:08 45 backup.bat
20.04.2005 07:50 0 23990098.$$$
20.04.2005 07:50 5 AVPCallback.log
12.04.2005 12:18 378 t3s8
11.04.2005 06:30 98 t1r0
08.04.2005 06:14 98 t1qg.1
07.04.2005 06:43 98 t1qg
06.04.2005 06:32 98 t7g
05.04.2005 06:26 98 t1qs
20.09.2004 10:29 194 boot.ini
08.07.2004 13:17 0 MSDOS.SYS
08.07.2004 13:17 0 AUTOEXEC.BAT
08.07.2004 13:17 0 CONFIG.SYS
08.07.2004 13:17 0 IO.SYS
02.04.2003 13:00 47.580 NTDETECT.COM
02.04.2003 13:00 4.952 bootfont.bin
02.04.2003 13:00 235.296 ntldr
24 Datei(en) 3.218.511.941 Bytes
0 Verzeichnis(se), 93.161.193.472 Bytes frei

nachdem ich gestern 'cleanUp!' mit den angegebenen Einstellungen laufen ließ war der Trojaner weg - er ist jedoch gerade wieder aufgetaucht - nun beim erneuten Durchlauf von 'cleanUp!' ist er zwar wieder weg aber ich befürchte, dass er wieder auftaucht.
kennt nun jemand eine Möglichkeit diesen Trojaner entgültig von meinem Rechner zu verbannen?

1.
avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Files to delete:

C:\DOKUME~1\gerhard.IMH\LOKALE~1\Temp\18477.exe
C:\winstall.exe
C:\WINDOWS\system32\OODBS.lor

Klicke im Avenger:


das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten


2.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

Habe nun 'avenger' mit den angeführten Einstellungen ausgeführt und anschließend 'Panda' Online-Scan über meine PC laufen lassen und habe folgenden Scan Report erhalten:



Incident Status Location

Possible Virus. Not disinfected C:\Programme\Information Update\iu.exe
Adware:adware/centim Not disinfected C:\PROGRAMME\Information Update
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@adverserve[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@as-eu.falkag[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@belnk[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@dist.belnk[2].txt
Spyware:Cookie/WUpd Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@revenue[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@sel.as-eu.falkag[2].txt
Adware:Adware/SpySheriff Not disinfected C:\avenger\backup.zip[winstall.exe]
Adware:Adware/WUpd Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0ZZVAO9P\d[1].htm
Virus:Exploit/Codebase.AE Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDA30T6J\x[1].chm[x.htm]
Virus:Trj/Small.KJ Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDA30T6J\x[1].chm[load.exe]
Dialer:Dialer.Gen Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G92ZW9I3\GrussProfi[1].exe
Adware:Adware/WUpd Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UDGJQDU5\d[1].htm
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@adverserve[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@as-eu.falkag[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@belnk[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@dist.belnk[2].txt
Spyware:Cookie/WUpd Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@revenue[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@sel.as-eu.falkag[2].txt
Possible Virus. Not disinfected C:\Programme\Information Update\iu.exe
Dialer:Dialer.Gen Not disinfected C:\WINDOWS\GrussProfi[gpr-10016,,].exe



weiß nun nicht aber nicht ob ich diesen Trojaner entgültig entfernt habe oder nicht!?

1.
loeschen:

C:\Programme\Information Update\iu.exe
C:\Programme\Information Update

C:\WINDOWS\GrussProfi[gpr-10016,,].exe
C:\avenger\backup.zip

2
•Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k


3.
arbeite smitfraud.fix ab und poste beide scanreporte
http://virus-protect.org/artikel/tools/ ... utfix.html

hier die beiden von SmitfraudFix erstellten Reports

SmitFraudFix v2.25

Rapport fait à 7:51:35,68 le 16.03.2006
Executé à partir de C:\Programme\hijackthis\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

C:\WINDOWS\Web\desktop.html PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\gerhard.IMH\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme

C:\Programme\SpyKiller\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



und der Report im abgesicherten Modus:


SmitFraudFix v2.25

Rapport fait à 7:58:49,89 le 16.03.2006
Executé à partir de C:\Programme\hijackthis\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\Web\desktop.html supprimé
C:\Programme\SpyKiller\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\mstinit.exe


**

Hast du den SpyKiller bewusst geladen ? Berichte bitte

Habe die angegebene Datei 'mstinit.exe' mit 'VirusTotal' durchleuchtet - ist sogar Virenfrei.
Der Trojaner ist nun seit gestern nicht mehr aufgetaucht


This is a report processed by VirusTotal on 03/16/2006 at 13:23:44 (CET) after scanning the file "mstinit.exe" file.


Antivirus Version Update Result
AntiVir 6.34.0.53 03.16.2006 no virus found
Avast 4.6.695.0 03.14.2006 no virus found
AVG 718 03.15.2006 no virus found
Avira 6.34.0.53 03.16.2006 no virus found
BitDefender 7.2 03.16.2006 no virus found
CAT-QuickHeal 8.00 03.14.2006 no virus found
ClamAV devel-20060126 03.16.2006 no virus found
DrWeb 4.33 03.16.2006 no virus found
eTrust-InoculateIT 23.71.103 03.16.2006 no virus found
eTrust-Vet 12.4.2121 03.16.2006 no virus found
Ewido 3.5 03.16.2006 no virus found
Fortinet 2.71.0.0 03.16.2006 no virus found
F-Prot 3.16c 03.16.2006 no virus found
Ikarus 0.2.59.0 03.15.2006 no virus found
Kaspersky 4.0.2.24 03.16.2006 no virus found
McAfee 4719 03.15.2006 no virus found
NOD32v2 1.1446 03.16.2006 no virus found
Norman 5.70.10 03.16.2006 no virus found
Panda 9.0.0.4 03.16.2006 no virus found
Sophos 4.03.0 03.16.2006 no virus found
Symantec 8.0 03.16.2006 no virus found
TheHacker 5.9.5.114 03.15.2006 no virus found
UNA 1.83 03.15.2006 no virus found
VBA32 3.10.5 03.15.2006 no virus found


Wenn ich ehrlich bin, bin ich mir gar nicht mehr sicher ob ich Spykiller selbst installiert habe oder nicht.
Auf jedenfall wurde er in den letzten Monaten sicher nicht bewusst von mir geladen. Irritierend ist nur, dass das Verzeichnis 'C:\Programme\SpyKiller\' gar nicht existiert (auch nicht als versteckte Datei)

buegel bitte noch mal online mit etrust und Panda ueber das System und poste den scanreport
http://virus-protect.org/onlinescan.html

Habe meinen Rechner mit 'eTrust Antivirus Web Scanner' gescant - erfreuliche Meldung - kein Virus

Scan-Ergebnisse: Scan wurde abgeschlossen. 216449 Dateien wurden gescannt. Keine Viren gefunden.

Datei Infektion Status Pfad
- Keine Infektionen


auch ist der Trojaner bis heute nicht mehr aufgetaucht - ich habe es bis jetzt ganz vergessen dir für deine fachmännische, profesionelle Hilfe zu danken!!!

der Report beim Panda ActiveScan lautet:

Incident Status Location

Virus:Exploit/Codebase.AE Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDA30T6J\x[1].chm[x.htm]
Virus:Trj/Small.KJ Not disinfected C:\Dokumente und Einstellungen\gerhard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDA30T6J\x[1].chm[load.exe]
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@adverserve[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@as1.falkag[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@belnk[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@dist.belnk[2].txt
Spyware:Cookie/WUpd Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@revenue[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\gerhard.IMH\Cookies\gerhard@sel.as-eu.falkag[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Programme\hijackthis\SmitfraudFix\SmitfraudFix\Process.exe
Adware:Adware/SpySheriff Not disinfected C:\RECYCLER\S-1-5-21-1567031800-2953353434-2273303536-2118\Dc3.zip[winstall.exe]
Dialer:Dialer.Gen Not disinfected C:\RECYCLER\S-1-5-21-1567031800-2953353434-2273303536-2118\Dc5.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\RECYCLER\S-1-5-21-1567031800-2953353434-2273303536-2118\Dc7.zip[Process.exe]

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\RECYCLER\S-1-5-21-1567031800-2953353434-2273303536-2118\Dc3.zip
C:\RECYCLER\S-1-5-21-1567031800-2953353434-2273303536-2118\Dc5.exe


PC neustarten