HJT-Log nach hoffentlich erfolgreicher Säuberung

Raimund

Hallo Felix1,

danke, dass du dich meines Problems annimmst.

Habe jetzt mit eScan ein paarmal gescannt - und tatsächlich, da war noch bzw. wieder einiges vorhanden, was AntiVir nicht meldet:

System found infected with CWS.smartsearch Spyware/Adware (C:\WINDOWS\Start.exe)!
File C:\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus!

Letztenannter war genau der, dessen Symptome (ein falscher SpywareCleaner) mir auffielen, den ich aber schon wie in meinem ersten Posting beschrieben gekillt hatte. Die sichtbaren Systemveränderungen (Desktop-Hintergrund und "Eigenschaften von Anzeige") waren auch nicht mehr aufgetreten. Beide Dateien habe ich wie empfohlen mit KillBox gelöscht und alle lt. eScan veränderten Registry-Einträge von Hand gelöscht: wirklich alle, eScan meldet jetzt keinen einzigen Fehler mehr.

Nur einer ist lt. eScan immer noch im System:

Object "Win32.Passma Spyware/Adware" found in File System!

Diese Version von eScan macht ja keine Bereinigung und eine konkrete infizierte Datei wird auch nicht angezeigt. Bei Kaspersky habe ich keine Virenbeschreibung gefunden, nur bei Sophos. Dort wird eine SERVICEMGR.EXE im System32-Verzeichnis als Überltäter genannt, die bei mir aber lt. KillBox und Explorer (natürlich alles im abgesicherten Modus) nicht vorhanden ist. Auch die Registry-Einträge "Service Manager" bei HKLM\Software\Microsoft\Windows\CurrentVersion\Run (etc., die habe ich sowieso schon dauernd im Blick) und bei HKCU\Software\VB and VBA Program Settings sind nicht vorhanden. In der Sophos Beschreibung steht aber auch, dass Win32.Passma die "Time Zones" bei HKLM\Software\Microsoft\Windows\CurrentVersion\Time Zones verändern kann. Und eScan meldet leider auch:

Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Time Zones !!!

Also wird der Schweinehund dort noch sitzen, aber ich trau mich nicht, die Time Zones komplett zu löschen. Kann man denn wenigstens die weltweiten rausnehmen? Ich brauch ja nur den "Standard" (MEZ) - und woher erfahre ich, wie die richtige Einstellung lautet?

Im Zweifelsfall müsste ich eScan eben kaufen, der kann's ja angeblich bereinigen; mich hat nur gewundert, dass Kaspersky keine Virenbeschreibung hat. Sophos hat eine, will für die Anleitung zur Bereinigung aber ebenfalls sein Programm verkaufen. Vielleicht kann mir ja jemand helfen, wie man das auch von Hand sauber bekommt.

Übrigens: Als ich nach all diesen Maßnahmen im abgesicherten Modus vorhin wieder erstmals online ging, kam promt wieder die Meldung von AntiVir "TR/Qhost.QR" und "TR/Click.526" (für die ich übrigens nirgendwo eine deutsche oder englische Beschreibung finden konnte), danach hatte ich die NTFSNLPA.EXE als Prozeß laufen. Das ist der, der den falschen PSGuard im Infobereich der taskleiste anzeigt; ein Klick darauf, und der Trojan.WinREG.StartPage fängt an, das System zu versauen... Ich habe das Symbol dauerhaft ausgeblendet und lösche den Prozeß sofort, also ist die Gefahr relativ gering, aber es nervt. Mein Security Task Manager beendet den Prozeß ürigens und will dann den EXE-File löschen, meldet aber "Datei nicht mehr vorhanden"; auch KillBox findet sie nicht. Offline passiert garnichts, also bekomme ich den Trojaner aus den Weiten des Internets direkt in meinen Arbeitsspeicher. Ob die von AntiVir gemeldeten "TR/Qhost.QR" und "TR/Click.526" aus den kompromittierten Time Zones die Meldung kriegen, sobald ich eine Leitung offen habe? Arbeiten Viren und Trojaner mittlerweile zusammen??

Ach, und noch was: In meinem Root-Verzeichnis stehen 3 Dateien, die ich nicht kenne:
ntdetect.com
ntldr
pagefile.sys

ntldr wird auch ohne Extension als Systemdatei identifiziert, sie und ntdetect.com werden von eScan nicht beanstandet, pagefile.sys kann jedoch nicht geöffnet werden ("scanning failed") und ich krieg sie auch mit sonst keinem Programm zur Ansicht; hat die im Root überhaupt etwas zu suchen?

Wie gesagt, schlimmes passiert eigentlich nicht mehr, aber dieser dauernden Überfälle sobald ich eine Leitung aufmache nerven; hoffe sehr, dass mir jemand helfen kann.

Raimund