Windows XP Recovery, habe ich alles richtig gemacht?

Sebastian0

Hi Leute,

ich hab mir gestern im vorbeigehen einen Trojaner eingefangen und wüsste gerne, ob ich ihn erfolgreich und vollständig entfernt habe. Mein Problem wird ziemlich genau in http://www.trojaner-board.de/99082-w...entfernen.html beschrieben, ich habe die dortige Anleitung auch schon abgearbeitet. Log Files hänge ich an.

Erst kam ein Warnung von meinem Antivir

Antivir - Meldung: Funde
ldl8153.tmp TR/ATRAPS.Gen2
52732.sys TR/Crypt.ZPACK.Gen

Ich habe die Dateien in Quarantäne verschieben lassen. Da ich wissen wollte, ob die aktuelle Seite Grund für den Alarm ist habe ich die Seite aktualisiert, dann kam von Antivir die selbe Meldung, ich habe die Dateien wieder in Quarantäne verschoben und den Betreiber der Internetseite informiert.

Danach kamen ein paar Fake Meldungen der Art

Hard Drive Failure
The system has detected a problem with one or more installed IDE / SATA hard disks. It is recommended that you restart the system.

Ich habe dann das System neu gestartet, war vermutlich ein Fehler. Danach war mein Desktop Hintergund schwarz, alle Icons verschwunden, rechtsklick auf dem Desktop war nicht mehr möglich, die meisten Elemente im Startmenü waren verschwunden und das Windows XP Recovery Tool und das Programm "Critical Error" (roter Kreis, weißes Kreuz siehe http://www.trojaner-board.de/99082-w...entfernen.html) wurde gestartet. Ich habe dort nichts angeklickt sondern

ich habe Windows dann neu gestartet und im abgesicherten Modus hochgefahren. Über msconfig konnte ich herausfinden, dass sich per Registry folgendes Programm eingeschlichen hat

Einträge in msconfig

Systemstartelement: fJhJIqofiBapKso
Befehl: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fJhJIqofiBapKso.exe
Pfad: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten konnte ich dann folgende Dateien entdecken, welche frisch entstanden sind, ich vermute über den Besuch der Internetseite.

fJhJIqofiBapKso.exe
18538276.exe
18538276
~18538276r
~18538276

Ich habe die Dateien in ein rar Archiv gepackt und gelöscht. Auf Wunsch kann ich die Programme ausliefern. Meine vermutete Quelle (Internetseite) kann ich auf Anfrage auch gerne liefern

Danach habe ich Windows neu gestartet und die Registry durchsucht, einige der gelisteten Einträge habe ich gelöscht. Danach habe ich die Progrmmae rkill, Malwarebytes, TDSS, OLT und unhide ausgeführt. Einige Probleme wurden gemeldet, konnten aber scheinbar behoben werden, siehe Log Files. Die letzten Suchläufe habe ich mit deaktiviertem Antivir gemacht.

Folgende Symptome

- zahlreiche Ordner (Desktop, Anwendungsdaten, Eigene Dateien, Symbolleiste) waren verschwunden, sind wieder sichtbar
- Einträge im Startmenü waren weg, die Ordner sind wieder da, aber die ganzen Verknüpfungen zu den Programmen fehlen noch, wie bekomme ich die wieder?
- strg+alt+entf -> Task Manager konnte nicht ausgewählt werden, ist wieder sichtbar
- schwarzer Desktop Hintergund -> habe wieder den normalen Hintergrund
- mein Stickis Programm hat gemeckert dass es in C:\Dokumente und Einstellungen\user\Anwendungsdaten\stickies\stickis.ini nicht schreiben kann, ich habe die Schreibschutz- und Hiddenflags in Anwendungsdaten enftfernt geht jetzt wieder
- Ähnlich zu Stickies hat auch Firefox gemeckert (tinyhtml addon) geht aber auch wieder
- Ich hatte z.B. MultiMon auf Autostart, dieses wird nicht mehr automatisch ausgeführt

Muss ich sonst noch etwas machen oder beachten? Bekomme ich irgendwie mein Startmenü wieder? Habe ich eventuell noch einen versteckten Trojaner irgendwo?

Vielen Dank schonmal im Vorraus