Hallo zusammen,

ich hatte mir folgendes gefangen:
TrojanDownloader.Win32.Agent.cb
TrojanDownloader.Win32.Wintrim.l
Backdoor.Spyboter.bx
Backdoor.Spyboter.bw

Im Ordner "Infected" von Antivir fanden sich noch 4 Dateien mit dem namen "firewall.xxx", alle infiziert mit:
Worm/SDBot.67072

Angefangen hat der Befall damit, dass die Meldung "Um die Einstellungen zu übernehmen muß der Computer neu gestartet werden. Soll der Computer jetzt neu gestartet werden? [Ja] [Nein]" kam, obwohl ich normal am surfen war, also keinerlei Einstellungen geändert habe. Die Reboot-Meldung hab ich verneint und nach dem scannen obige Burschen gefunden und (hoffentlich) auch vollständig beseitigt.

AVir findet nichts mehr, es laufen keine verdächtigen Programme, aber:
Die Interneteinstellungen besagen (und besagten), dass Cookies erst nach Aufforderung angenommen werden und ActiveX-Elemente erst nach Abfrage ausgeführt werden, das hab ich auch wieder so korriegiert (ActiveX stand nach dem Befall auf "Aktiviert"), wird auch übernommen, aber sowohl Cookies werden angenommen als auch ActiveX wird ausgeführt, beides (leider) ungefragt.

Was kann/soll/muß ich tun um das wieder zu ändern?
Oder hab ich doch noch ungebetene Gäste?

Anbei auch noch das HiJackThis-Logfile, ich hoffe mir kann jemand helfen:

Logfile of HijackThis v1.98.2
Scan saved at 23:18:05, on 06.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CP888M1.EXE
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\Dit.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\ XXX \Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=37680
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Microsoft Update] REM mssmgrd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [OELoader] REM C:\WINDOWS\Downloaded Program Files\OELoader.exe
O4 - HKLM\..\Run: [dlexport] REM C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\RunServices: [Microsoft Update] REM mssmgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Go!Zilla] "C:\Programme\Go!Zilla\gozilla.exe" /tray
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [Microsoft Update] mssmgrd.exe
O4 - Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Network Device Switch.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL70\aoltray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Go!Zilla.lnk = C:\Programme\Go!Zilla\gozilla.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://toolbar.searchit.com/searchit_toolbar.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17EF5DD-4916-47D0-8F27-F331FE8754C5}: NameServer = 217.237.151.97 217.237.150.33

Vorallem O15 macht mir sorgen, keine dieser Dateien steht unter Trusted Zone! (diese Zone ist genauer gesagt sogar komplett leer)

Danke schonmal für die Hilfe.

Du hast in der Tat noch so einiges Unschönes auf deinem Rechner.
Das Gefährlichste ist:

O4 - HKCU\..\Run: [Microsoft Update] mssmgrd.exe

dabei handelt es sich um eine Variante des Rbot:

http://www.sophos.de/virusinfo/analyses/w32rbotv.html

Damit ist dein Rechner fernsteuerbar und das System kompromittiert.
Wesentlicher Grund dafür:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Weder Windows noch der IE sind gepatched und bieten daher eine Unzahl eigentlich längst geschlossener Sicherheitslücken dar.
Bei dieser Art von Schädlingen empfiehlt sich ein sauberer Schnitt, also eine Neuinstallation, nur dann kannst du sicher sein, dass du ein vertrauenswürdiges System hast.
Daher:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Für die Zukunft folgende Dinge sehr genau lesen und umsetzen:

http://www.mathematik.uni-marburg.de...ompromise.html

Falls du das keineswegs willst (was schlecht wäre):


E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Ab jetzt den IE NICHT mehr öffnen, Systemwiederherstellung deaktivieren:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Mit HijackThis im abgesicherten Modus

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=37680
O4 - HKLM\..\Run: [Microsoft Update] REM mssmgrd.exe
O4 - HKLM\..\Run: [OELoader] REM C:\WINDOWS\Downloaded Program Files\OELoader.exe
O4 - HKLM\..\Run: [dlexport] REM C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\RunServices: [Microsoft Update] REM mssmgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] mssmgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] mssmgrd.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://toolbar.searchit.com/searchit_toolbar.exe


lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.


Besser wäre, wie gesagt, die erste Variante.

Hi MountainKing

danke erstmal für deine schnell Hilfe.

Zur O4 - HKLM\..\Run: [Microsoft Update] REM mssmgrd.exe:
In der Tat was Unschönes, die Gefahr ist aber schon lange gebannt. Hatte ich vor ein paar Wochen mal, ist aber längst gelöscht, lediglich der entsprechende Run-Eintrag in der Registry ist noch vorhanden (allerdings mit REM vorrangestellt, wollte der Schlüssel nicht direkt löschen), ist also unschädlich.

>lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben >beschrieben durchlaufen, boote normal und aktiviere die >Systemwiederherstellung, erstelle eine neues Log und poste es zusammen >mit den Informationen über von E-Scan gefundene Schädlinge.

Längst geschehen, die betreffenden (infizierten) Dateien sind längst gelöscht, lediglich die (ins Leere laufenden) Registry-Einträge sind noch vorhanden, aber ich hab die Einträge gerade auch mal aus der Registry gelöscht.

Zum Patchen: Jup, Asche auf mein Haupt, das wäre in der Tat mal nötig.

Danke für den Uni-Marburg-Link, scheint wirklich sehr informativ zu sein, werd ich mir mal durchlesen.

Danke auch für deine Schritt für Schritt Anleitung. Eine Neuinstallation wollte ich eigentlich vermeiden. Die meisten der Tipps (bis auf aktuelle Patches) sind eigentlich schon lange umgesetzt (sitze hinter Firewall, habe einen tagesaktuellen Virenscanner, Dienste wie Nachrichtendienst sind beendet, öffne keinerlei unbekannte Mails/Anhänge, prüfe alle (ausführbaren) Downloads vor dem Ausführen, usw.). Skripte waren auch beim IE auf "Nachfrage" gestellt, aber das funktioniert seit gestern nicht mehr, es wird leider immer noch alles ohne Nachfrage ausgeführt, obwohl in den Internetoptionen alles auf Nachfrage steht ...

Hab eben nochmal Ad-Aware drüberlaufen lassen, auch hat nicht's wirklich kritsches gefunden.

So sieht mein Logfile nun aus:

Logfile of HijackThis v1.98.2
Scan saved at 03:01:49, on 07.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CP888M1.EXE
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\Dit.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\ XXX \Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Go!Zilla] "C:\Programme\Go!Zilla\gozilla.exe" /tray
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Network Device Switch.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL70\aoltray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Go!Zilla.lnk = C:\Programme\Go!Zilla\gozilla.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17EF5DD-4916-47D0-8F27-F331FE8754C5}: NameServer = 217.237.151.97 217.237.150.33

Hab gerade nochmal Spybot drüberlaufen lassen, hat nix gefunden.

eScan hat noch einen (inaktiven) Virus gefunden und gekillt, ansonsten keine Funde:
File C:\WINDOWS\sysres.exe infected by "Trojan.PSW.Logmod.b" Virus. Action Taken: File Deleted.

Daraufhin habe ich im Papierkorb (den ich vorhin geleert hatte) eine Datei namens "msinfo.exe" gefunden, die vom TrojanDownloader.Win32.Small.ug infiziert ist.

Und Cookies werden weiterhin bedenkenlos angenommen und ActiveX ohne Nachfrage ausgeführt ...

Aktuelle Patches sind eine der wichtigsten Anforderungen, wichtiger als eine "Firewall". Solange die nicht drauf sind, bietet dein System unnötige Angriffsflächen. Es steht auch nicht bei allen Einträgen REM davor?
Das Problem mit Backdoorprogrammen ist, dass sich nachträglich ohne größeren Aufwand selbst für Experten, nicht mehr nachvollziehen lässt, was genau in der Zeit ihrer Aktivität geschehen ist. Du kannst längst weitere Schädlinge auf dem Rechner haben, inklusive versteckter Registryeinträge, Systemdateien können manipuliert sein, ebenso wie "Sicherheitssoftware" wie Virenscanner und Firewalls. Darum lautet die Empfehlung fast immer Neuinstallation, weil damit klar ist, all diese potentiellen Schäden sind zunächst mal definitiv beseitigt. Und offensichtlich ist ja immer noch was nicht ganz in Ordnung. Wenn du Aktice-X/Active Scripting ganz deaktiviert, wird es dann auch ignoriert?
Du könntest auch mal auf einen anderen Browser wie opera oder firefox umsteigen (sowieso zu empfehlen), da gibt es gar kein Active-X und du könntest testen, wie es sich da bei Java-Script verhält.

Wenn deine Einstellungen und dein Surfverhalten wie beschrieben sind, woher kommt dann der mssmgrd.exe? Kann ja dann "nur" an Systemlücken gelegen haben, deswegen PATCHEN! Vielleicht hast du nach SP2 ja auch das Problem mit den Skripten gelöst. Das Grundproblem nach aktiven Backdoors bleibt allerdings.

Zitat:

Zitat von MountainKing

Es steht auch nicht bei allen Einträgen REM davor?

Stimmt, da hatte ich wohl einen Schlüssel übersehen, da er aber ohnehin ins Leere läuft auch nicht weiter tragisch.

Zitat:

Wenn du Aktice-X/Active Scripting ganz deaktiviert, wird es dann auch ignoriert?

Nein, leider ja. Ich habe alle Sicherheitsstufen auf "Hoch" gestellt, aber es wird trotzdem atomatisch alles angenommen bzw. ausgeführt. In der Stufe "Hoch" sind z.B. auch Downloads deaktiviert, funktioniert aber leider völlig problemlos. Diese Einstellungen werden also leider komplett mißachtet.
Hatte mich erst schon gefreut, nachdem prötzlich die Meldung kam, dass "Paypal.com" ein cookie speichern wollte, aber das war leider die einzige, sämtliche anderen Cookies (auf Seiten, von denen ich sicher weiß, dass sie sowohl Cookies wie auch Skripte verwenden) werden angenommen.

Was mir noch aufgefallen ist: Wenn ich den IE starte erscheint rechts unten in der Statusbar eine Weltkugel und daneben das Wort "Internet". Wenn ich aber nun z.B. Google aufrufe, verschwindet es und stattdessen erscheint "Arbeitsplatz" samt dazugehörigem Symbol. Weiß nicht mehr, ob das schon immer so war, aber ist mir gerade nur aufgefallen.

Zitat:

Du könntest auch mal auf einen anderen Browser wie opera oder firefox umsteigen (sowieso zu empfehlen), da gibt es gar kein Active-X und du könntest testen, wie es sich da bei Java-Script verhält.

Stimmt, wollte ich mir schon länger mal anschauen, bin aber bislang M$ noch treu geblieben.

Zitat:

Wenn deine Einstellungen und dein Surfverhalten wie beschrieben sind, woher kommt dann der mssmgrd.exe? Kann ja dann "nur" an Systemlücken gelegen haben, deswegen PATCHEN! Vielleicht hast du nach SP2 ja auch das Problem mit den Skripten gelöst.

Ich kann es mir nur so erklären, ich bin bis vor ~1/2 Jahr vollkommen Viren/Trojaner-frei gewesen, an meinem Surfverhalten kann es eigentlich nicht liegen, fehlende Patches schon eher.

Werd mir mal die aktuellen Patches installieren.

BTW: Würd vorher gerne noch meine Einstellungen usw. sichern, am liebsten ein kompletten HD-Abklatschmachen (auf Netzwerklaufwerk), gibts da ein empfehlenswertes Programm?

PS: Mein Log sollte jetzt eigentlich soweit ok sein, oder?
Die Automatische Auswertung hält nur den gozilla für "böse", ansonsten ist eigentlich alles ok.

Neuestes Update:
Cokkies und Skripte fragen weiterhin nicht nach.

Wenn ich aber einen anderen Login-Namen verwende, funktioniert alles (nach entsprechender Umstellung) einwandfrei. Aber mein "normaler" Name weigert sich leider beharrlich

Danke erstmal für die bisherige Hilfe
Hat vielleicht noch jemand eine Idee, woran das IE Verhalten liegen könnte?

Hab nochmal ausprobiert, das Problem/ein Symptom scheint wirklich zu sein, dass unten in der IE-Statusbar immer "Arbeitsplatz" erscheint. Unter meinem anderen Windows-Account bleibt das normale "Internet" Symbol, unter meinem "normalen" Namen wechselt das Icon immer auf "Arbeitsplatz", sobald ich eine Seite aufrufe.
Eigentlich ist aber auch für die lokale Zone "Lokales Intranet" die Sicherheitsstufe auf "hoch", eigentlich sollte also auch hier erstmal alles blockiert werden, wird es aber nicht.

Ansonsten, hat jemand ein gutes Programm zur Hand, mit dem man HD-Images erstellen kann bzw. ein gutes Backup-Programm?
Würde nur sehr ungern meine Favoriten und sonst. Daten verlieren und bin da bei Updates etwas vorsichtig geworden.