fiese Malware - ändert google, verlangt windows-kennwort, installiert sich immer neu

holzinator

Hallo
Ich hab mir einen hartnäckige Malware auf einer website eingefangen
(ich weiß leider nicht mehr welche) und brauche dringend eure Hilfe.
Meine google-Suche war bisher erfolglos.

1.) Als erstes bekommt man von der Malware einen englischen Hinweis,
dass man verseucht wurde:
Oben auf der google-Suchseite erscheint ein roter Warnhinweis
(und dazu natürlich der Link, wo man sich dagenen "schützen" kann).
Auf dem Desktop sind außerdem alle Icons blau hinterlegt.

2.) Ein Durchlauf mit Malwarebytes gibt 11 infizierte Objekte.
(log-Datei siehe unten)
Dazu die Meldung:
Bestimmte Objekte konnten nicht entfernt werden! ....

3.) Nach dem Neustart verlangt Windows XP (ich hab die Original-Home Edition) plötzlich eine Anmeldung mit Kennwort-Eingabe
(man kommt aber auch ohne erneute Kennwort-Eingabe weiter).
Ein Blick auf den Desktop und man sieht das Problem.
Alles Icons wieder blau hinterlegt.

Malwarebytes nochmal gestartet und dasselbe wie vorher.
Wieder die gleichen infizierten Objekte.

Stinger angelklickt, aber den will er nicht starten
('stinger may be infected, cannot continue')
Auch ein erneutes downloaden und Umbennen von stinger hilft nicht.

Ebenso kann ich keine anderen downgeloadeten Anti-Virus Programme starten.
Beispiel: Antivir
Beim Installieren kommt die Fehler-Meldung:
Die CRC-Summe von COKUME~1\.... wurde verändert!
Dies könnte von einem Virus verursacht worden sein.

Ein Blick in den Task-Manager offenbart einige Prozesse, die sonst nicht da sind.
Beispiel: lsass.exe
Problem: Ich kann den Prozess nicht beenden.

Fazit:
Ich bin mit meinem Latein am Ende.
Bitte helft mir.


Log-Datei:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1815
Windows 5.1.2600 Service Pack 3

05.03.2009 12:11:16
mbam-log-2009-03-05 (12-11-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 157600
Laufzeit: 31 minute(s), 27 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\System Volume Information\_restore{DD9BA350-2600-4892-AF3E-4D8505846297}\RP105\A0030404.exe (Adware.Shopper) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.