Hallo,

Ich bin neu hier und zu Euch gelangt, weil ich mir Smitfraud eingefangen hab. Ich fänds echt großartig, wenn Ihr mir helfen könnt!

Ich hab die Version von Smitfraud, bei der man das Fenster mit "stealthSws114.h!dll" und so weiter bekommt - meine Logfile-Einträgepassen auch dazu - und AntiVirGold hat sich auch bei mir angebiedert.

Ich bin Eurer Anleitung zur Entfernung gefolgt, bin aber auf folgendes Problem gestoßen: als ich die Paths in Killbox eingegeben hatte und schließlich auf "reboot" gegangen bin, hab ich folgende Fehlermeldung bekommen:
"PendingFileRenameOperations Registry Data has been Removed by External Process". Könnt Ihr mir sagen, wie ich dieses Hindernis umgehen kann?
Bitte dringend um Hilfe, ich kenn mich nämlich echt nicht mehr aus!

Hier noch mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:39:18, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp3\winampa.exe
C:\WINDOWS\System32\configldr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\intel32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchos1.exe
C:\WINDOWS\System32\ntsyskrnl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Patricia\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\drwtsn32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = h**p://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = h**p://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpB2F7.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\Run: [Configuration Loader] configldr.exe
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpySpotter] C:\Programme\SpySpotter\SpySpotter.exe -onreboot
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\RunServices: [Configuration Loader] configldr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\europillamusica3\entrar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://h**p://download.spyspotter.co...CabInstall.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q41067572_disk.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Configuration Loading - Unknown owner - C:\WINDOWS\System32\svchos1.exe" -service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nt System Kernel (ntsys) - Unknown owner - C:\WINDOWS\System32\ntsyskrnl.exe" -service (file missing)
O23 - Service: Microsoft Config Loader (OMG) - Unknown owner - C:\WINDOWS\System32\msrun32.exe" -service (file missing)
O23 - Service: Configuration Loader (sw3) - Unknown owner - C:\WINDOWS\System32\sw32.exe" -service (file missing)

Vielen Dank!!!

Hallo Peppermint,

leider hast Du weit aus größere Probleme!
Hier nur 2 als Beispiel:
http://de.trendmicro-europe.com/ente...WORM_AGOBOT.IK
http://www.sophos.com/virusinfo/anal...2agobotec.html

Grund ist Dein nicht aktuelles Betriebssystem! SP 2 und alle weiteren Sicherheitsupdates müssen installiert sein!

Bei Trojanern mit Backdoorfunktionalität wird Dir hier dringend eine Neuinstallation empfohlen, um wieder ein vertrauenswürdiges System herzustellen.

http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung :
http://www.trojaner-board.de/showpos...8&postcount=11

dartus