Tach zusammen.....

Mein Problem ist sehr ähnlich gelagert, nur leider scheint die Lösung nicht so einfach zu sein wie oben.

Alsooooo............
Bis vor drei Tagen hatte ich absolut keine Probleme mit Würmern, Viren und ähnlichem Getier. Nun hat der Osetrhase aber scheinbar Eier ganz fieser Art auf meinem Rechner hinterlassen.

Bemerkt hatte ich diese, weil irgendwelche dubiosen Virenwarnungen auf meinem Rechner auftauchten und mich zum downloaden irgendwelcher Programme animierte. Dies habe ich aber als website abhängig abgetan.
Pustekuchen. Irgendwer oder irgewndwas hatte dann kurzer Hand meinen Rechner in der Hand, in konnte nicht einmal den Taskmanager öffnen.
Mittels den Tools Spybot und Spydoctor und Antivir habe ich es aber FAST wieder hinbekommen und die Bösewichter vom Rechner gejagt.

Nun aber das Problem...
Ein hartnäckiges Tierchen möchte mir aber einfach nicht in die Falle gehen.
Es äussert sich ähnlich. Zunächst wird versucht der InternetExplorer zu öffnen, den ich aber gar nicht nutze, sondern Firefox,
Dann popt eine gefakte Virenwarnung auf.
Wenn ich dann den Spydoctor von der Kette lassse lasse, findet er immer wieder das gleiche....

drei *.url Dateien, die Icons haben wie manche Virendateien, werden sowohl auf dem Desktop, als auch in den Favoriten abgelegt.
Dann der Schlüssel LOCAL MACHINE\Software\Microsoft\VideoPlugin. Den muss ich komplett löschen.
Und der Schlüssel... HK-USERS\VIELEZAHLEN\SOFTWARE\MICROSOFT\INTERNET EXPLORER\Startpage......da wird dann versucht eine Seite einzutragen, wo sicher noch viel mehr nette Ostereier gibt, wenn dann der IE geöffnet wird.

Da bei meinem ersten Scan vor drei Tagen, also wo so viel drauf war, auch "Smitfraud-C.sp" mir die Ehre gegeben hatte, habe ich mir das obige Tool SmitfraudFix runter geladen. Das log file poste ich am Ende.
Also ich bin mir sicher, daß in irgendeiner dunklen Ecke noch ein kleines fieses Osterei hockt, was auch von SpyDoctor nicht gefunden wird und dort sein Unwesen treibt. Und ich immer nur die Köpfe der Hydra erwische.
Ich möchte sie aber komplett am Galgen sehen. Denn diese komische Warnung kommt stets nach einer Weile wieder.
Habt ihr noch irgendwelche hilfreichen Tips auf Lager? Oder gar irgendwelche Tools.
Ich sehe zwar auch das das logFile vom SmitfraudFix(er) noch nicht astrein ist. Möchte aber eure Meinung und Tips haben.

Vielen nachösterlichen Dank schonmal.

Ich hoffe ihr könnt damit was anfangen!!!


Hier das Log:
SmitFraudFix v2.308

Scan done at 15:10:51,75, 25.03.2008
Run from E:\Daten\Enrico\download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
E:\Programme\Firewall\smc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Spiele\Action\ConflictVietnam\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
D:\WINDOWS\Explorer.EXE
E:\Programme\REMOTE\netop\Host\NHOSTSVC.EXE
D:\WINDOWS\System32\nvsvc32.exe
E:\Programme\Spyware Doctor\pctsAuxs.exe
E:\Programme\Spyware Doctor\pctsSvc.exe
D:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
F:\Spiele\Action\ConflictVietnam\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Spyware Doctor\pctsTray.exe
E:\Programme\daemon_neu\daemon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\wscntfy.exe
E:\Programme\Spyware Doctor\pctsGui.exe
D:\WINDOWS\system32\cmd.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Enrico Wolf


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Enrico Wolf\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOKUME~1\ENRICO~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» F:\Spiele\Action\ConflictVietnam


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: vbgtorfd.dll
SSODL: vbgtorfd - {8E427AB2-2106-41FA-AD46-0B0EC043F214}

[!] Suspicious: dwnrpofk.dll
SSODL: dwnrpofk - {AB7C3CA8-D982-4299-9BEC-82754FBDD391}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C188EBA8-C61D-4E6C-8DC0-73A0315EF0FA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C188EBA8-C61D-4E6C-8DC0-73A0315EF0FA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C188EBA8-C61D-4E6C-8DC0-73A0315EF0FA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von DasAlteLeid

Tach zusammen.....

Mein Problem ist sehr ähnlich gelagert, nur leider scheint die Lösung nicht so einfach zu sein wie oben.

Alsooooo............
Bis vor drei Tagen hatte ich absolut keine Probleme mit Würmern, Viren und ähnlichem Getier. Nun hat der Osetrhase aber scheinbar Eier ganz fieser Art auf meinem Rechner hinterlassen.

Bemerkt hatte ich diese, weil irgendwelche dubiosen Virenwarnungen auf meinem Rechner auftauchten und mich zum downloaden irgendwelcher Programme animierte. Dies habe ich aber als website abhängig abgetan.
Pustekuchen. Irgendwer oder irgewndwas hatte dann kurzer Hand meinen Rechner in der Hand, in konnte nicht einmal den Taskmanager öffnen.
Mittels den Tools Spybot und Spydoctor und Antivir habe ich es aber FAST wieder hinbekommen und die Bösewichter vom Rechner gejagt.

Nun aber das Problem...
Ein hartnäckiges Tierchen möchte mir aber einfach nicht in die Falle gehen.
Es äussert sich ähnlich. Zunächst wird versucht der InternetExplorer zu öffnen, den ich aber gar nicht nutze, sondern Firefox,
Dann popt eine gefakte Virenwarnung auf.
Wenn ich dann den Spydoctor von der Kette lassse lasse, findet er immer wieder das gleiche....

drei *.url Dateien, die Icons haben wie manche Virendateien, werden sowohl auf dem Desktop, als auch in den Favoriten abgelegt.
Dann der Schlüssel LOCAL MACHINE\Software\Microsoft\VideoPlugin. Den muss ich komplett löschen.
Und der Schlüssel... HK-USERS\VIELEZAHLEN\SOFTWARE\MICROSOFT\INTERNET EXPLORER\Startpage......da wird dann versucht eine Seite einzutragen, wo sicher noch viel mehr nette Ostereier gibt, wenn dann der IE geöffnet wird.

Da bei meinem ersten Scan vor drei Tagen, also wo so viel drauf war, auch "Smitfraud-C.sp" mir die Ehre gegeben hatte, habe ich mir das obige Tool SmitfraudFix runter geladen. Das log file poste ich am Ende.
Also ich bin mir sicher, daß in irgendeiner dunklen Ecke noch ein kleines fieses Osterei hockt, was auch von SpyDoctor nicht gefunden wird und dort sein Unwesen treibt. Und ich immer nur die Köpfe der Hydra erwische.
Ich möchte sie aber komplett am Galgen sehen. Denn diese komische Warnung kommt stets nach einer Weile wieder.
Habt ihr noch irgendwelche hilfreichen Tips auf Lager? Oder gar irgendwelche Tools.
Ich sehe zwar auch das das logFile vom SmitfraudFix(er) noch nicht astrein ist. Möchte aber eure Meinung und Tips haben.

Vielen nachösterlichen Dank schonmal.

Ich hoffe ihr könnt damit was anfangen!!!

Genau dasselbe Problem habe ich auch. Ich würde mich über Antwort hier oder in meinem Thread freuen.

Vielen, vielen Dank schonmal!

Hi,
bitte nicht in die Threads anderer Leute posten.
Insbesondere, da aus dienem Thread hervorgeht, dass du nicht wirklich dasselbe Problem hast wie der TO.

Außerdem hast du seit ner guten Stunde ne Antwort in deinem Thread stehen, die auf ne Reaktion von dir wartet.

lg myrtille