Hallo! Hab mich gerade angemeldet und gleich zwei Probleme mitgebracht:

Erstes Problem:

Hab mir vorgesten eine Spyware eingefangen. Besser geagt bin ich selber schuld weil ich auf verlangen einer Webseite irgendein Add-on installiert habe. Und die Spyware war als dieses Add-on getarnt. Das Programm behauptet zwar selber ein Anti-Spyware Programm mit dem Namen SpyDawn zu sein, aber so lästig wie es sich aufführt ist es schon Spyware. Hab zwar dieses SpyDawn deainstalliert aber es hat sich auf meiner Task-Leiste (Schnellstartleiste rechts unten am Bildschirmrand) breitgemacht wo es unheimlich nervt. Ständig zeigt es System Alert an und wenn ich mit der rechten Maustaste raufklicke wird die SpyDawn Online-Seite geöffnet, wo man das Produkt sofort kaufen soll. Auch zeigt es mir ständig irgendwelche Viren und Trojaner an. ich glaube die sind in Wirklichkeit gar nicht vorhanden. Wie kann ich dieses nervige Dingens dauerhaft entfernen? Gibt es auf meinem Rechner oder im Windows-Ordner einen Ordner wo ich die Sachen die ich in der Schnellstart-Leiste nicht mehr brauche wieder löschen kann?

Hab jetzt auch laut dieser Seite http://de.wiki-security.com/deutsch/wiki/de_Parasite/SpyDawn/
den angegebenen freien Spyware-Scanner installiert und durchlaufen lassen. Hab auch manuell nochmal überall durchgeschaut aber anscheinend sind alle SpyDawn-Dateien weg. Nur eben diese nervigen zwei Symbole in der Taskleiste rechts unten nicht.

Übrigens: in der unteren rechten Schnellstartleiste blinkt bei mir jetzt auch immer ein gelbes Dreieck (mit schwarzen Ausrufezeichen drin) auf. Das Teil meldet auch immer Sytem Alert und nervt auch gewaltig. Kann man das auch entfernen? Wie kann man überhaupt Programmroutinen aus der Schnellstartleiste entfernen?

Hab auch einen Ordner entdeckt wo das Symbol des gelben Dreiecks mit Ausrufezeichen vvorhanden ist. Als ich aber den Ordner löschen wollte, wurde mir gemeldet das eine bestimmte Datei noch gebraucht wird. Dieser Ordner stimmt übrigens genau mit dem Namen des Add-ons überein wegen dem ich diesen Mist jetzt habe. Wie kann man solche hartnäckigen Ordner und Dateien löschen?

Hab vor einigen Minuten einen kleinen Fortschritt gemacht. Hab mal unter Start > Systemsteuerung > Software gestöbert. Dabei fiel mir folgender Softwareeintrag auf: System Alert Popup. Hab ich mir gedacht das müssen die beiden gesuchten nervigen SpyDawn-Symbole sein die immer System Alert anzeigen und dauernd blinken. Natürlich hab ich gleich mal auf den Button Ändern/Entfernen geklickt. Aber selbst da hat sich diese Software nicht löschen lassen.

Gibts denn kein Freeware-Löschprogramm das alle Arten von Dateien löschen kann, selbst jene die sonst den Zugriff verweigern?

Also es geht mir jetzt nicht mehr direkt um SpyDawn sondern um die zwei Symbole in Taskleiste rechts unten die das Programm hinterlassen hat und die andauernd blinken und ständig System Alert anzeigen. Die möchte ich endlich weghaben.


Zweites Problem:

Hab heute die Freeware-Version von Spyhunter getestet. Er hat auch etliche gefährliche Dateien (unter anderem den Trojaner Zlob) gefunden die ich nun schleunigst loswerden möchte. Leider kann man mit der Freeware-Version von Spyhunter die gefährlichen Dateien nur unter Quarantäne stellen aber nicht löschen. Oder geht das doch? Oder kann man mir jemand ein gutes bis sehr gutes Freeware Anti-Spyware-Programm empfehlen das wirklich ales findet und auch eine Löschfunktion hat?

Würde mich auch interessieren ob ich alle Dateien gefahrenlos löschen kann die Spyhunter gefunden hat. Viele davon sind Cookies.

Guten Abend,

klingt nach Virus Buster oder ähnlichem!

Erstelle bitte ein Hijackthis Log und Poste es.
Vergesse nicht, alle persönlichen links zu editieren!


Gruß Mellosun

Wird gleich gepostet.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\Image ActiveX Object\isamntr.exe
C:\Programme\Image ActiveX Object\pmsnrr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Image ActiveX Object\pmmnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Image ActiveX Object\isamini.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Steganos Internet Anonym 2\siabcs.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
F:\Tools\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://finding.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Image ActiveX Object\isadd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Programme\Image ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] "C:\Programme\Norton Internet Security\UrlLstCk.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] "C:\PROGRA~1\SYMNET~1\SNDMon.exe" /Consumer
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" -TOnlineAutodialStart
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [siabcs] C:\Programme\Steganos Internet Anonym 2\siabcs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Programme\Windows Media Player\WMPNSCFG.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O17 - HKLM\System\CCS\Services\Tcpip\..\{5962C5B0-A4FE-4D47-AC93-B9AA48DE179D}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEF4A581-51BA-4D3B-95A7-382702023484}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1FF2FE4-62AC-4680-BE8B-1C017A021139}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA0C29E0-5C0A-4E93-9738-A73370DB6C02}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Tools\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Gehe mal über Start/Ausführen/regedit in die Registry. Gib unter Suche das betreffende Programm ein (Spydawn) und lösche alle angelegten Schlüssel. Dann würde ich neu starten. Vielleicht haben sich einige Probleme von selbst erledigt.

Gruss

Hallo.

Meiner Ansicht nach ist das System total vermurkst, aber ein Versuch es zu bereinigen bleibt wohl übrig.

Arbeite das hier ab:

Deinstaliere über Start->Systemsteuerung->Software folgendes Programm:
(sofern vorhanden°!)

Image ActiveX Object

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


DNS-Einträge entfernen:

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5962C5B0-A4FE-4D47-AC93-B9AA48DE179D}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEF4A581-51BA-4D3B-95A7-382702023484}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1FF2FE4-62AC-4680-BE8B-1C017A021139}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA0C29E0-5C0A-4E93-9738-A73370DB6C02}: NameServer = 85.255.116.106,85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.106 85.255.112.73

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Zitat:

Zitat von [Gc]Sunny

Fixe nun mit HijackThis folgende Einträge im Logfile:

Was bedeutet fixen genau?

Starte HijackThis -> "Do a System Scan only" -> vor die Einträge die ich dir genannt habe einen Hacken setzen, wenn du alle markiert hast dann auf den Button "Fix checked" klicken und das wars.

Hier mal die Ergebnisse der Scans:

SmitFraudFix v2.148

Scan done at 17:33:29,45, 09.03.2007
Run from F:\Tools\SmitFraudFix v2.148\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\geplxss.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\User


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\User\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\User\FAVORI~1

C:\DOKUME~1\User\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\Image ActiveX Object\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{aed6f6a3-183c-488d-9f90-23db99f56e7f}"="apathies"

[HKEY_CLASSES_ROOT\CLSID\{aed6f6a3-183c-488d-9f90-23db99f56e7f}\InProcServer32]
@="C:\WINDOWS\system32\geplxss.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{aed6f6a3-183c-488d-9f90-23db99f56e7f}\InProcServer32]
@="C:\WINDOWS\system32\geplxss.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdrjw.exe"

kdrjw.exe detected !


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



______________________________________________

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdrjw.exe"

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other
C:\WINDOWS\Temp\kdrjw.ren 63376 04.08.2004



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"KBD"="C:\\HP\\KBD\\KBD.EXE"
"Dit"="Dit.exe"
"URLLSTCK.exe"="\"C:\\Programme\\Norton Internet Security\\UrlLstCk.exe\""
"Symantec NetDriver Monitor"="\"C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe\" /Consumer"
"DataLayer"="C:\\PROGRA~1\\GEMEIN~1\\PCSuite\\DATALA~1\\DATALA~1.EXE"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\TRAYAP~1.EXE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ToADiMon.exe"="\"C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe\" -TOnlineAutodialStart"
"SpyHunter"="C:\\Programme\\Enigma Software Group\\SpyHunter\\SpyHunter.exe"
"SpySweeper"="\"C:\\Programme\\Webroot\\Spy Sweeper\\SpySweeperUI.exe\" /startintray"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"siabcs"="C:\\Programme\\Steganos Internet Anonym 2\\siabcs.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"WMPNSCFG"="\"C:\\Programme\\Windows Media Player\\WMPNSCFG.exe\""
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»



______________________________________________


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Mar 09 19:10:16 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7}
Fri Mar 09 19:05:10 2007 => Virus Database Date: 3/9/2007
Fri Mar 09 19:07:38 2007 => Virus Database Date: 3/9/2007
Fri Mar 09 21:52:28 2007 => Virus Database Date: 3/9/2007
Fri Mar 09 22:01:47 2007 => Virus Database Date: 3/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Mar 09 19:09:38 2007 => System found infected with h@tkeysh@@k Spyware/Adware (h@tkeysh@@k.dll)! Action taken: Entries Removed.
Fri Mar 09 19:09:38 2007 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Entries Removed.
Fri Mar 09 19:09:38 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.
Fri Mar 09 19:09:41 2007 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:10 2007 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:10 2007 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:11 2007 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:12 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Mar 09 19:09:20 2007 => File C:\PROGRA~1\IMAGEA~1\isadd.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 19:47:19 2007 => File C:\Programme\Image ActiveX Object\isamini.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 19:47:19 2007 => File C:\Programme\Image ActiveX Object\isamntr.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 19:55:21 2007 => File C:\Programme\Norton AntiVirus\Quarantine\7B8D4FEC.wmf//CryptFF infected by "Exploit.Win32.IMG-WMF.v" Virus! Action Taken: File Renamed.
Fri Mar 09 20:12:36 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106938.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:36 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106940.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:37 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106959.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:37 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106961.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:43 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107136.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:43 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107138.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:45 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107181.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:45 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107183.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:46 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107197.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:46 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107199.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:46 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107211.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:47 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107213.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:47 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107225.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:47 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107227.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:48 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107240.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:48 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107242.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:52 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107343.exe//stream infected by "Trojan.Win32.DNSChanger.io" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:52 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107344.exe//PE_Patch.UPX//UPX//stream//data0006 infected by "Trojan-Downloader.Win32.Zlob.bpr" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:52 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107345.exe//PE_Patch.UPX//UPX//stream//data0006 infected by "Trojan-Downloader.Win32.Zlob.bpr" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:54 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107347.exe//stream infected by "Trojan.Win32.DNSChanger.io" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:05 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107452.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:05 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107454.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:06 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0108449.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:06 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0108451.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:14 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108575.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:14 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108577.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:15 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108593.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:15 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108595.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:16 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108634.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:16 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108636.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:20 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108698.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:21 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108706.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:21 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108707.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:35:06 2007 => File C:\WINDOWS\system32\unst.exe//UPX infected by "Trojan-Clicker.Win32.Small.iz" Virus! Action Taken: File Deleted.
Fri Mar 09 21:20:32 2007 => File F:\e-mails\e-mail Ordner T-Online 3.0\EMAIL2\33GF70NY.WTD\ABFALL.BAK//[From "Volksbanken Raiffeisenbanken" <online_id03565895461587vr@vr-networld.de>][Date Wed, 6 Dec 2006 23:06:11 +0100 (CET)]/html infected by "Trojan-Spy.HTML.Bankfraud.od" Virus! Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Mar 09 19:40:39 2007 => File C:\hp\bin\KillWind.exe tagged as "not-a-virus:RiskTool.Win32.PsKill.p". Action Taken: File Deleted.
Fri Mar 09 20:12:51 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107325.exe tagged as "not-a-virus:FraudTool.Win32.SpyHeal.a". Action Taken: File Deleted.
Fri Mar 09 20:14:21 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108705.exe tagged as "not-a-virus:RiskTool.Win32.PsKill.p". Action Taken: File Deleted.
Fri Mar 09 21:48:23 2007 => File F:\Tools\edonkey\eDonkey0.45.exe//data0080//UCMIE.DLL tagged as "not-a-virus:AdWare.Win32.Ucmore". Action Taken: File Deleted.
Fri Mar 09 21:49:32 2007 => File F:\Tools\KaZaA\kmd15_en.exe//data0003//cd_clint.dll//PECompact tagged as "not-a-virus:AdWare.Win32.BrilliantDigital.b". Action Taken: File Deleted.
Fri Mar 09 21:51:38 2007 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Fri Mar 09 21:51:40 2007 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix.exe//PE_Patch.UPX//SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Mar 09 19:09:38 2007 => Offending file found: C:\WINDOWS\system32\h@tkeysh@@k.dll
Fri Mar 09 19:09:38 2007 => Offending file found: C:\DOKUME~1\User\LOKALE~1\Temp\cmdlineext02.dll
Fri Mar 09 19:09:38 2007 => Offending file found: C:\DOKUME~1\User\LOKALE~1\Temp\install.dat
Fri Mar 09 19:09:41 2007 => Offending file found: C:\DOKUME~1\User\FAVORI~1\mp3\mp3.url
Fri Mar 09 19:10:10 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\STARTM~1\ONLINE~1.URL
Fri Mar 09 19:10:10 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\STARTM~1\SECURI~1.URL
Fri Mar 09 19:10:11 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\FAVORI~1\mp3\mp3.url
Fri Mar 09 19:10:12 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Fri Mar 09 19:09:41 2007 => Offending Folder found: C:\Dokumente und Einstellungen\User\Favoriten\autos
Fri Mar 09 19:09:50 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Fri Mar 09 19:10:10 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri Mar 09 19:09:36 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spydawn !!!
Fri Mar 09 19:10:16 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Hallo Hijack...

Ich denke das wir das System wieder hinkriegen, aber bitte erst morgen früh, mein Kopf ist nämlioch mit einigen Spirituosen gefüllt.

Da ist nämlich kein Platz mehr für Hijacklogs und so´n Kram...

Morgen Früh gehts weiter, dann sehe ich es mir weider mit klareren Augen an....


Sunny

So da bin ich wieder.

Hier ein bisschen Arbeit für dich:

eMail-Ordner entleeren:

Öffne den T-Online eMail Ordner und lösche unwideruflich folgende Mail:
(bzw. den Papierkorb!)

F:\e-mails\e-mail Ordner T-Online 3.0\EMAIL2\33GF70NY.WTD\ABFALL.BAK


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Dann nochmal einen eScan machen und ein neues Hijacklog erstellen.

Gruß
Sunny

Hier mal die Ergebnisse:

SmitFraudFix v2.148

Scan done at 22:36:53,98, 10.03.2007
Run from F:\Tools\SmitFraudFix v2.148\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Mar 09 19:10:16 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7}
Fri Mar 09 19:05:10 2007 => Virus Database Date: 3/9/2007
Fri Mar 09 19:07:38 2007 => Virus Database Date: 3/9/2007
Fri Mar 09 21:52:28 2007 => Virus Database Date: 3/9/2007
Fri Mar 09 22:01:47 2007 => Virus Database Date: 3/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Mar 09 19:09:38 2007 => System found infected with h@tkeysh@@k Spyware/Adware (h@tkeysh@@k.dll)! Action taken: Entries Removed.
Fri Mar 09 19:09:38 2007 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Entries Removed.
Fri Mar 09 19:09:38 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.
Fri Mar 09 19:09:41 2007 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:10 2007 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:10 2007 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:11 2007 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: Entries Removed.
Fri Mar 09 19:10:12 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Mar 09 19:09:20 2007 => File C:\PROGRA~1\IMAGEA~1\isadd.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 19:47:19 2007 => File C:\Programme\Image ActiveX Object\isamini.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 19:47:19 2007 => File C:\Programme\Image ActiveX Object\isamntr.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 19:55:21 2007 => File C:\Programme\Norton AntiVirus\Quarantine\7B8D4FEC.wmf//CryptFF infected by "Exploit.Win32.IMG-WMF.v" Virus! Action Taken: File Renamed.
Fri Mar 09 20:12:36 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106938.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:36 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106940.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:37 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106959.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:37 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0106961.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:43 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107136.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:43 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107138.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:45 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107181.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:45 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107183.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:46 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107197.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:46 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107199.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:46 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107211.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:47 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107213.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:47 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107225.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:47 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107227.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:48 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107240.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:48 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107242.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:52 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107343.exe//stream infected by "Trojan.Win32.DNSChanger.io" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:52 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107344.exe//PE_Patch.UPX//UPX//stream//data0006 infected by "Trojan-Downloader.Win32.Zlob.bpr" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:52 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107345.exe//PE_Patch.UPX//UPX//stream//data0006 infected by "Trojan-Downloader.Win32.Zlob.bpr" Virus! Action Taken: File Deleted.
Fri Mar 09 20:12:54 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107347.exe//stream infected by "Trojan.Win32.DNSChanger.io" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:05 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107452.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:05 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107454.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:06 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0108449.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:06 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0108451.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:14 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108575.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:14 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108577.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:15 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108593.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:15 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108595.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:16 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108634.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:16 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP325\A0108636.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:20 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108698.dll//PE_Patch infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:21 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108706.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:14:21 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108707.exe infected by "Trojan-Downloader.Win32.Zlob.bpn" Virus! Action Taken: File Deleted.
Fri Mar 09 20:35:06 2007 => File C:\WINDOWS\system32\unst.exe//UPX infected by "Trojan-Clicker.Win32.Small.iz" Virus! Action Taken: File Deleted.
Fri Mar 09 21:20:32 2007 => File F:\e-mails\e-mail Ordner T-Online 3.0\EMAIL2\33GF70NY.WTD\ABFALL.BAK//[From "Volksbanken Raiffeisenbanken" <online_id03565895461587vr@vr-networld.de>][Date Wed, 6 Dec 2006 23:06:11 +0100 (CET)]/html infected by "Trojan-Spy.HTML.Bankfraud.od" Virus! Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Mar 09 19:40:39 2007 => File C:\hp\bin\KillWind.exe tagged as "not-a-virus:RiskTool.Win32.PsKill.p". Action Taken: File Deleted.
Fri Mar 09 20:12:51 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP323\A0107325.exe tagged as "not-a-virus:FraudTool.Win32.SpyHeal.a". Action Taken: File Deleted.
Fri Mar 09 20:14:21 2007 => File C:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP326\A0108705.exe tagged as "not-a-virus:RiskTool.Win32.PsKill.p". Action Taken: File Deleted.
Fri Mar 09 21:48:23 2007 => File F:\Tools\edonkey\eDonkey0.45.exe//data0080//UCMIE.DLL tagged as "not-a-virus:AdWare.Win32.Ucmore". Action Taken: File Deleted.
Fri Mar 09 21:49:32 2007 => File F:\Tools\KaZaA\kmd15_en.exe//data0003//cd_clint.dll//PECompact tagged as "not-a-virus:AdWare.Win32.BrilliantDigital.b". Action Taken: File Deleted.
Fri Mar 09 21:51:38 2007 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Fri Mar 09 21:51:40 2007 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix.exe//PE_Patch.UPX//SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Mar 09 19:09:38 2007 => Offending file found: C:\WINDOWS\system32\h@tkeysh@@k.dll
Fri Mar 09 19:09:38 2007 => Offending file found: C:\DOKUME~1\User\LOKALE~1\Temp\cmdlineext02.dll
Fri Mar 09 19:09:38 2007 => Offending file found: C:\DOKUME~1\User\LOKALE~1\Temp\install.dat
Fri Mar 09 19:09:41 2007 => Offending file found: C:\DOKUME~1\User\FAVORI~1\mp3\mp3.url
Fri Mar 09 19:10:10 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\STARTM~1\ONLINE~1.URL
Fri Mar 09 19:10:10 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\STARTM~1\SECURI~1.URL
Fri Mar 09 19:10:11 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\FAVORI~1\mp3\mp3.url
Fri Mar 09 19:10:12 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Fri Mar 09 19:09:41 2007 => Offending Folder found: C:\Dokumente und Einstellungen\User\Favoriten\autos
Fri Mar 09 19:09:50 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Fri Mar 09 19:10:10 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri Mar 09 19:09:36 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spydawn !!!
Fri Mar 09 19:10:16 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Logfile of HijackThis v1.99.1
Scan saved at 10:19:34, on 11.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Steganos Internet Anonym 2\siabcs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
F:\Tools\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] "C:\Programme\Norton Internet Security\UrlLstCk.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] "C:\PROGRA~1\SYMNET~1\SNDMon.exe" /Consumer
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" -TOnlineAutodialStart
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [siabcs] C:\Programme\Steganos Internet Anonym 2\siabcs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Programme\Windows Media Player\WMPNSCFG.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Tools\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Zitat:

Zitat von Hijack

Fri Mar 09 19:09:38 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.

Du hast uns vor 20 Minuten das eScan-Log vom Freitag gepostet, nicht das aktuelle. Bitte hol das noch nach

Oh, Tschuldigung. Hier die richtigen Daten:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Mar 11 11:42:29 2007 => Version 9.1.7 (C:\DOKUME~1\User\LOKALE~1\Temp\mexe.com)
Sat Mar 10 23:46:20 2007 => Virus Database Date: 3/9/2007
Sat Mar 10 23:47:14 2007 => Virus Database Date: 3/10/2007
Sat Mar 10 23:50:37 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 00:46:38 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 00:46:41 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 07:58:39 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 09:55:31 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 10:15:10 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 11:41:59 2007 => Virus Database Date: 3/10/2007
Sun Mar 11 13:55:25 2007 => Virus Database Date: 3/10/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Mar 11 00:18:03 2007 => File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lgw5jo45.default\Cache\0C5F4A29d01//PE_Patch.UPX//SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Sun Mar 11 09:54:51 2007 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Sun Mar 11 09:54:53 2007 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix.exe//PE_Patch.UPX//SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Sun Mar 11 13:50:29 2007 => File F:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP1\A0002022.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Sun Mar 11 13:50:32 2007 => File F:\System Volume Information\_restore{A0016D41-9656-41E2-B400-FDA6057E05FC}\RP1\A0002023.exe//PE_Patch.UPX//SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Logfile of HijackThis v1.99.1
Scan saved at 14:08:09, on 11.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Steganos Internet Anonym 2\siabcs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Tools\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] "C:\Programme\Norton Internet Security\UrlLstCk.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] "C:\PROGRA~1\SYMNET~1\SNDMon.exe" /Consumer
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" -TOnlineAutodialStart
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [siabcs] C:\Programme\Steganos Internet Anonym 2\siabcs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Programme\Windows Media Player\WMPNSCFG.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Tools\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Mach nochmal das hier:

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Dann sollte eigentlich alles weg sein, es sei denn du hast noch "Beschwerden".

Gruß
Sunny