Trojaner-Board - Zlob.DNS Changer

Hallo zusammen,

brauche eure Hilfe. Vor ein Paar Wochen haben wir festegestellt, dass es etwas mit der Verbindun bzw. Verlinkung nicht stimmt, weil man von Google statt an die gewünschte Adresse zu Erotik- oder Verkaufsseiten geleitet wurde.
Ich habe dann ein bisschen recherschiert und auch hier nachgelesen, was man unternehmen kann. Nach dem Scans mit Hijackthis, SmitFraud und Spybot war dieser DNS Changer angeblich verschwunden. Aber schon nach 2 Tagen ging es wieder los mit Google und Zlob war wieder by Spybot zu sehen. Wir löschen ihn und immunisieren, das hilft aber nicht.
Er ist ganz lästig, wenn man viel mit Google arbeitet.
Mit online check mit Kaspersky klappte es leider nicht. Er sagte, es wären Administratorreche erforderlich. Aber das ist mein privater PC?...
Könnte mir bitte jemand noch Tipp geben, wie ich ihn los werden kann?

Anbei id Logfile von Smitfraud:
SmitFraudFix v2.253

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\Programme\Steganos Safe 7\SAFE7.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\tb

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\tb\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\tb\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdjsc.exe"

kdjsc.exe detected !
use a Rootkit scanner

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 62.104.191.241

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7FF96EBE-99F4-49CD-BC9B-5C431C3C0DF6}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7FF96EBE-99F4-49CD-BC9B-5C431C3C0DF6}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

62.104.191.241 -ist Freenet Adresse, die verdächtigen 208.67.220.220,208.67.222.222 habe ich durch Hijackthis beim nächsten Lauf rausgelöscht. Bei Smitfraud habe ich Angst alles auf ein mal zu bereinigen, da ich mich nicht auskenne und evtl. etwas wichtiges mitrunter lösche.

Danke für Hilfe im voraus.