Hi

Ich bin bei der Suche nach der Lösung meines Problems auf dieses Forum gestossen und es schildert sich wie folgt:

jedesmal wenn ich versuche einen Ordner zu öffnen, im Expolrer auf zurück klicke etc erscheint diese Fehlermeldung:



Ich traue mich nicht auf ja zu klicken deswegen klicke ich auf nein und prompt öffnet sich firefox mit dieser Seite:

h**p://free-viruscan.com/id/4912933/4/1/

wer sie nicht besuchen möchte hier ein Screenshot:





habe inzwischen Herausgefunden das das ein "Fake" davon ist:

h**p://www.freevirusscan.com/

Mein F-Secure findet nichts.

Daraufhin habe ich HijackThis heruntergeladen.Ich hoffe ich habe es richtig gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:08:19, on 21.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kabel Deutschland\Common\FSM32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\RAPTOR-GAMING\RAPTOR-ADJUST M3 V1\Panel.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Kabel Deutschland\Anti-Virus\fsgk32st.exe
C:\Programme\Kabel Deutschland\Common\FSMA32.EXE
C:\Programme\Kabel Deutschland\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kabel Deutschland\Common\FSMB32.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Kabel Deutschland\Common\FCH32.EXE
C:\Programme\Kabel Deutschland\Anti-Virus\fsqh.exe
C:\Programme\Kabel Deutschland\Common\FAMEH32.EXE
C:\Programme\Kabel Deutschland\FSGUI\fsguidll.exe
C:\Programme\Kabel Deutschland\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Kabel Deutschland\FSAUA\program\fsaua.exe
C:\Programme\Kabel Deutschland\FWES\Program\fsdfwd.exe
C:\Programme\Kabel Deutschland\FSAUA\program\fsus.exe
C:\Programme\Kabel Deutschland\Anti-Virus\fsav32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Steam\Steam.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe

O2 - BHO: IE ext - {2FF811E6-8925-4084-A649-C159955E67E8} - C:\WINDOWS\system32\dapol.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Kabel Deutschland\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Kabel Deutschland\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RAPTOR-GAMING M3] "C:\Programme\RAPTOR-GAMING\RAPTOR-ADJUST M3 V1\Panel.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Kabel Deutschland\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\Kabel Deutschland\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Kabel Deutschland\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Kabel Deutschland\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4605 bytes




Version EVEREST v4.20.1170/de
Benchmark Modul 2.3.212.0
Homepage
Berichtsart Berichts-Assistent
Computer STEFAN-729548D4
Ersteller Stefan
Betriebssystem Microsoft Windows XP Media Center Edition 5.1.2600 (WinXP Retail)
Datum 2008-06-21
Zeit 05:22


--------[ Übersicht ]---------------------------------------------------------------------------------------------------

Computer:
Computertyp ACPI-Multiprocessor-PC
Betriebssystem Microsoft Windows XP Media Center Edition
OS Service Pack Service Pack 2
Internet Explorer 6.0.2900.2180 (IE 6.0 SP2)
DirectX 4.09.00.0904 (DirectX 9.0c)
Computername STEFAN-729548D4
Benutzername Stefan
Domainanmeldung STEFAN-729548D4
Datum / Uhrzeit 2008-06-21 / 05:22

Motherboard:
CPU Typ DualCore AMD Athlon 64 X2, 2100 MHz (10.5 x 200) 4000+
Motherboard Name Gigabyte GA-M56S-S3 (4 PCI, 2 PCI-E x1, 1 PCI-E x16, 4 DDR2 DIMM, Audio, Gigabit LAN, IEEE-1394)
Motherboard Chipsatz nVIDIA nForce 560, AMD Hammer
Arbeitsspeicher 1024 MB (DDR2-800 DDR2 SDRAM)
BIOS Typ Award Modular (12/04/07)
Anschlüsse (COM und LPT) Kommunikationsanschluss (COM1)
Anschlüsse (COM und LPT) Druckeranschluss (LPT1)

Anzeige:
Grafikkarte NVIDIA GeForce 8600 GT (512 MB)
3D-Beschleuniger nVIDIA G84-350
Monitor Philips 107G [17" CRT] (BZ 001628)

Multimedia:
Soundkarte Realtek ALC888/S/T @ nVIDIA MCP65 - High Definition Audio Controller

Datenträger:
IDE Controller Standard-Zweikanal-PCI-IDE-Controller
IDE Controller Standard-Zweikanal-PCI-IDE-Controller
Massenspeicher Controller A9KMTNNB IDE Controller
Festplatte SAMSUNG HD321KJ (320 GB, 7200 RPM, SATA-II)
Optisches Laufwerk PIONEER DVD RW DVR-106D (DVD+RW:4x/2.4x, DVD-RW:4x/2x, DVD-ROM:12x, CD:16x/10x/32x DVD+RW/DVD-RW)
Optisches Laufwerk TA1142V ZAR358X SCSI CdRom Device
S.M.A.R.T. Festplatten-Status OK

Partitionen:
C: (NTFS) 80003 MB (45371 MB frei)
D: (NTFS) 225231 MB (154214 MB frei)
Speicherkapazität 298.1 GB (194.9 GB frei)

Eingabegeräte:
Tastatur Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Maus HID-konforme Maus

Netzwerk:
Primäre IP-Adresse 91.64.52.187
Primäre MAC-Adresse 00-1D-7D-C2-16-29
Netzwerkkarte NVIDIA nForce Networking Controller (91.64.52.187)

Peripheriegeräte:
FireWire Controller Texas Instruments TSB43AB23 1394A-2000 OHCI PHY/Link-Layer Controller (PHY: TI TSB43AB23)
USB1 Controller nVIDIA MCP65 - OHCI USB 1.1 Controller
USB2 Controller nVIDIA MCP65 - EHCI USB 2.0 Controller
USB-Geräte USB-HID (Human Interface Device)

DMI:
DMI BIOS Anbieter Award Software International, Inc.
DMI BIOS Version F3
DMI Systemhersteller Gigabyte Technology Co., Ltd.
DMI Systemprodukt M56S-S3
DMI Systemversion
DMI Systemseriennummer
DMI System UUID 30303144-37444332-31363239-FFFFFFFF
DMI Motherboardhersteller Gigabyte Technology Co., Ltd.
DMI Motherboardprodukt GA-M56S-S3
DMI Motherboardversion x.x
DMI Motherboardseriennummer Thu Jan 17 21:29:04 2008
DMI Gehäusehersteller Gigabyte Technology Co., Ltd.
DMI Gehäuseversion
DMI Gehäuseseriennummer
DMI Gehäusekennzeichnung
DMI Gehäusetyp Desktop Case
DMI gesamte / freie Speichersockel 4 / 3


--------[ Computername ]------------------------------------------------------------------------------------------------

Computerbeschreibung Logisch
NetBIOS Name Logisch STEFAN-729548D4
DNS Host Name Logisch stefan-729548d4
DNS Domain Name Logisch
Bestätigter DNS Name Logisch stefan-729548d4
NetBIOS Name Physikalisch STEFAN-729548D4
DNS Host Name Physikalisch stefan-729548d4
DNS Domain Name Physikalisch
Bestätigter DNS Name Physikalisch stefan-729548d4


--------[ Betriebssystem ]----------------------------------------------------------------------------------------------

Betriebssystem Eigenschaften:
OS Name Microsoft Windows XP Media Center Edition
OS Codename Whistler
OS Sprache Deutsch (Deutschland)
OS Kerneltyp Multiprocessor Free (32-bit)
OS Version 5.1.2600 (WinXP Retail)
OS Service Pack Service Pack 2
OS Installationsdatum 19.06.2008
OS Systemverzeichnis C:\WINDOWS




Bitte helft mir denn es ist kaum eine Aktion möglich ohne das sich das öffnet und ich nein anklicken muss und firefox schliessen muss etc.und das ist echt stressig.

Danke im vorraus

Stefan

Das Everest Log benötigen wir hier nicht, es stört aber auch nicht.
Malwarebytes wird gut damit fertig. Scanne Dein System und poste das Logfile hier.

Schade schade und ich dachte es hätte aufgehört......


habe wie gewünscht gescannt:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 873

06:01:41 21.06.2008
mbam-log-6-21-2008 (06-01-37).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 73978
Scan Dauer: 13 minute(s), 6 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\bhonew.bhoapp (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bhoapp.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{CFB0F9D3-DC4D-4B1D-9171-5D05BC2BCA63}\RP28\A0002262.exe (Trojan.FakeAlert) -> No action taken.



er fand 3 Dateien .Ich entfernte diese:


Malwarebytes' Anti-Malware 1.18
Datenbank Version: 873

06:01:48 21.06.2008
mbam-log-6-21-2008 (06-01-48).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 73978
Scan Dauer: 13 minute(s), 6 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\bhonew.bhoapp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bhoapp.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{CFB0F9D3-DC4D-4B1D-9171-5D05BC2BCA63}\RP28\A0002262.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.



aber es hört nicht auf

Du hast dir einen zlob eingefangen, folge bitte folgender Anleitung: http://www.trojaner-board.de/30411-a...-von-zlob.html

Lucky hat an sich recht, allerdings ist die Anleitung ein wenig alt.
Ich kann grad nicht sagen ob Smitrem noch aktuell ist.
Daher bitte ich Dich erst mal Smitfraudfix laufen zu lassen.

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.


-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.
- Dein Desktophintergrund ist nach dem Vorgang eventuell gelöscht.

Das mit dem SmitfraudFix steht auch in meinem verlinkten Post von GUA.

Zitat:

Zitat von Lucky

Das mit dem SmitfraudFix steht auch in meinem verlinkten Post von GUA.

Ja, da hast Du recht, ich wollte es nur mal "hervorheben", war nicht böse oder abwertend gemeint.

so.......


habe eure Anweisungen befolgt:



SmitFraudFix v2.328

Scan done at 13:44:36,15, 21.06.2008
Run from C:\Dokumente und Einstellungen\Stefan\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Stefan\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Stefan\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D7D0858-48C2-4FE1-823B-0FD2BE808804}: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D7D0858-48C2-4FE1-823B-0FD2BE808804}: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7D7D0858-48C2-4FE1-823B-0FD2BE808804}: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=83.169.185.161 83.169.185.225


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



leider noch keine Besserung in Sicht



mir fällt beim 2ten durchlesen der Anleitung gerade auf das dieser Schritt:

- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen

nicht stattgefuden hat´.Ich wiederhole es noch mal

alles nochmal gemacht:

SmitFraudFix v2.328

Scan done at 15:48:35,71, 21.06.2008
Run from C:\Dokumente und Einstellungen\Stefan\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D7D0858-48C2-4FE1-823B-0FD2BE808804}: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D7D0858-48C2-4FE1-823B-0FD2BE808804}: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7D7D0858-48C2-4FE1-823B-0FD2BE808804}: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=83.169.185.161 83.169.185.225
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=83.169.185.161 83.169.185.225


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von BataAlexander

Ja, da hast Du recht, ich wollte es nur mal "hervorheben", war nicht böse oder abwertend gemeint.

Ich hatte es auch nicht so aufgefasst, nur war ich etwas irritiert. :P

also ich habe jetzt mit dem Typen von F-secure gesprochen.

Die wissen auch keine Lösung.Soll wohl etwas neues sein.

Wenn jemand das Teil analysieren will hier ich habe die Datei hier geuppt:

h*****


das ist der Virus/TP.

Ich habe ihn auch schon an F-secure geschickt.

Wer weiss wie lange die brauchen?

Vielleicht geht es ja hier schneller

Das Ding sieht aus wie der Binärschrott den ich bei meinem Chef vom Baum gepflückt habe. SuperAntispyware hat die Geschichte fast vollständig entfernt. Es blieben ein paar Registryeinträge die korrigiert werden mussten, aber der Spuk an sich war dann vorbei.

%ComSpec%

Zitat:

Keygen.Dr..Hardware.2008.v9.0.0e

Hier wird Dir niemand weiterhelfen können, dass Problem der Infizierung sitzt vor der Tastatur.

das war ein Versehen.Ich wollte das Programm,nicht das.......

Zitat:

Zitat von BataAlexander

Hier wird Dir niemand weiterhelfen können, dass Problem der Infizierung sitzt vor der Tastatur.

@%ComSpec%

dein Prog hat es schliesslich gefunden und eleminiert.
Ich danke dir von Herzen