Hallo liebe Foristi,

dies ist mein erster Beitrag hier im Forum. Das soll als zweiter Satz keine Schleimerei werden aber ich bin froh daß es Leute gibt die sich in ihrer Freizeit infizierte Patienten ansehen....also Danke schonmal.

Mein Rechner (XP) "leidet" seit einigen Wochen unter genau den Symptomen, die m3driver einige Posts vorher beschrieben hat: Oft werden statt der angeklickten Links Casinoseiten o.ä. geöffnet, das passiert beim Surfen mit dem Firefox ständig.

Meine Startseite Google benimmt sich auch irgendwie komisch, die SChriftzüge und Links tauchen jetzt erst auf wenn man die Maus bewegt vorher ist die Seite mit Ausnahme des Eingabefeldes weiss.

Ausserdem ist in letzter Zeit ca. vier Mal der Rechner heruntergefahren worden mit der Meldung "der Rechner wird heruntergefahren da der Dienst DCOM Server-Prozessstart unerwartet beendet wurde" - dann läuft ein Countdown von einer Minute oder 45 Sek. wenn ich das recht erinnere.

Ich habe in den letzten Wochen sowohl den neuesten Stinger von McAfee als auch eine Trialversion von Kaspersky und nach dessen Deinstallation die Homeversion von Antivir installiert und jeweils durchlaufen lassen. Alle haben irgendwas gefunden und behoben, aber die Symptome sind noch da.

Ich habe Antivir jetzt täglich komplett durchlaufen lassen und heute hat er irgendwas gefunden was er nicht genau identifizieren konnte aber ihm "suspicious" erschien - das habe ich gezippt an Antivir gesendet mal gucken ob die da einen neuen Virus identifizieren...

Diese Logfiles die den anderen Hilfesuchenden immer empfohlen werden habe ich allesamt noch nicht durchlaufen lassen weil ich genau nach Anleitung und Befehl vorgehen möchte...

Ich habe jetzt die empfohlenen Dateien ccleaner, malwarebytes-anti-malware und RSIT runtergeladen. Soll ich die ausführen?

Danke,

hmo

Vorweg: Dies ist das Scanprotokoll. Das Problem mit den Casinoseiten beim Surfen besteht immer noch - ist eben wieder passiert!

Eine Neuinstallation würde ich gerne vermeiden wenn das geht...


Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3375
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.12.2009 20:49:01
mbam-log-2009-12-16 (20-49-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 206902
Laufzeit: 52 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\uninstall.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Programme\Download\WinDVD.Platinum.7.0\Keymaker.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDEFGH67\45431[1].exe (Spyware.Passwords) -> Quarantined and deleted successfully.
D:\Eigene Dateien\Download\cr-acd24.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.

Schade daß keiner Zeit findet um mir zu antworten.

Ich habe mich jetzt umfassend schlaugemacht und vermute sehr stark daß ich ein Rootkit auf dem Rechner habe und daher ohne Neuinstallation nicht glücklich werde.

Werde mich also über die Feiertage daran machen meinen Rechner neu aufzusetzen!

Dieser Thread kann dann gerne gelöscht werden.