Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

**Forelle** · 21.10.2008, 19:40

Also, ich habe seit ca. 2 Wochen einen neuen Laptop. Der ist mit Windows Vista ausgestattet. Ich habe im Internet gesurft und mir wohl dabei eine ganz fiese Sache eingehandelt.

Was passiert?
Es werden bisweilen einfach so nun Internetseiten aufgeschlagen, obwohl ich nichts klicke oder dergleichen.

Was ich beobachtet habe soweit:
Mir ist aufgefallen, dass in der C:\Windows\Temp immer eine Datei mit einem neuen Namen, aber immer beginnend mit JET****.tmp, steckt, die ich pardout nicht löschen kann, auch nicht mit KillBox.exe.

Ich poste erst einmal meine Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:13:32 p.m., on 21/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Camera Assistant Software for Gateway\traybar.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\sttray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\BigFix\bigfix.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Camera Assistant Software for Gateway\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\rundll32.exe
C:\Users\Heike\Programas\AntiVir\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=SPN_MX&Sys=PTB&M=M-6813M
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: bkqxdons - {FDE6A96B-2001-47D7-88AA-0ED348A5BF2A} - C:\Windows\bkqxdons.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Gateway\traybar.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fcccayyx.dll,#1
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Heike\AppData\Local\Temp\geBqPJDS.dll,c
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Heike\AppData\Local\Temp\geBrqopQ.dll,#1
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: BigFix.lnk = C:\Program Files\BigFix\bigfix.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar imagen al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Enviar página al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer = 85.255.112.115;85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer = 85.255.112.115;85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer = 85.255.112.115;85.255.112.186
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O21 - SSODL: vwnskbot - {D4A517E7-290A-4FCC-9DB0-3577382D699B} - C:\Windows\vwnskbot.dll
O21 - SSODL: qnflkotm - {9D3AA8BE-F66B-4D03-B35A-8B71EB80C3DA} - C:\Windows\qnflkotm.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Programador de LiveUpdate automático (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdmaj.exe

--
End of file - 11336 bytes

Einmal war ich erfolgreich und konnte die HijackThis.log durch die Auswertung dieser Seite schicken (nicht immer ist der Analyze-Button zu sehen). Da wurde mir bereits einiges angezeigt, was nicht sein dürfte.

Soweit ich mich erinnere, wurde Folgendes als "schlecht" angezeigt:

Code:

O3 - Toolbar: bkqxdons - {FDE6A96B-2001-47D7-88AA-0ED348A5BF2A} - C:\Windows\bkqxdons.dll
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fcccayyx.dll,#1
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Heike\AppData\Local\Temp\geBqPJDS.dll,c
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Heike\AppData\Local\Temp\geBrqopQ.dll,#1
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer = 85.255.112.115;85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer = 85.255.112.115;85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer = 85.255.112.115;85.255.112.186
O21 - SSODL: vwnskbot - {D4A517E7-290A-4FCC-9DB0-3577382D699B} - C:\Windows\vwnskbot.dll
O21 - SSODL: qnflkotm - {9D3AA8BE-F66B-4D03-B35A-8B71EB80C3DA} - C:\Windows\qnflkotm.dll
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdmaj.exe

Ich habe versucht, genau diese Sachen dann über HijackThis zu fixen, aber erhalte dann Fehlermeldungen. HijackThis crashed auch.

Ich muss erwähnen, dass schon beim Starten von HijackThis, wenn also der Scan gerade anläuft und bei den ersten 01er-Linien ist, die Fehlermeldung mit dem Hinweis kommt, dass es sich um einen

Code:

Error #75 - Path/File access error

handelt und ich mich bei merjin@spywareinfo.com melden sollte (sollte ich das?). Ausserdem erhalte ich den Hinweis, dass Hijackthis nichts manipulierne kann aufgrund des Hosts (?) und ich manuell die Änderungen über die Kommandoeingabe

Code:

notepad "C:\Windows\System32\drivers\etc\hosts

vornehmen sollte. Das hatte ich versucht, aber ein Speichern der Datei war nicht möglich (ich hatte versicht die :: 1 localhost - Zeile herauszulöschen).

Also, irgendwie klappt gar nichts und ich bin mir auch schon daher sicher, dass ich einen recht fiesen Virus haben muss.

Gibt es irgendwelche Abhilfe?

Ich bitte (wie wohl viele andere hier) um dringende Hilfe. Ich weiss wirklich nicht mehr weiter. Meine bisherigen Programme konnten immer gegenan kommen, wenn da mal ein Virus war. Dies ist einfach zu persistent.

Liebe Grüsse,
Heike

**kira** · 21.10.2008, 19:46

Herzlich Willkommen hier bei uns am HijackThis Supportboard!

BITTE SORGFÄLTIG DURCHLESEN:

Was wir DIR bieten und was WIR erwarten:

Es ist ganz einfach: Zuerst auf folgenden Link klicken: An alle Ratsuchenden
Also bitte ein wenig Geduld, Auch wenn es sich über 1-2 Tage hinzieht...
Wir geben unser bestes um Dir zu helfen, dafür erwarten wir,dass Du dir auch die Mühe machst.
Wenn Dir geholfen werden soll, dann tue bitte NUR das, was man dir vorschlägt.
So lange die Reinigungsarbeiten noch nicht abgeschlossen ist,die Installation von neuen Programmen ( also bitte keine weiteren Scans/Removals ohne unsere Anweisung dazu ausführen! ),ist nicht erwünscht (außer zur Nutzung die von uns empfohlenen Programme/Tools etc.)!!!
Wenn Du die Anweisungen nicht 100% befolgt hast, erwarte von uns auch keine Antwort!
Wenn Du mal nicht weiter weißt, hast Du die Möglichkeit bei uns wieder nachfragen...Somit kannst Du andere darauf aufmerksam machen, dass Du Hilfe brauchst, oder eine Antwort erwartest.
Bitte kein CROSSPOSTING!
`Crossposting` bedeutet, dass die selbe Frage in mehreren Foren gestellt wird(Also wenn Du dir woanders hilfe holst (Freund,Nachbar oder andere Forum etc),kann die Hilfe abgelehnt oder nicht weiter geleistet werden!)
Kein Support per Email oder sonstiges, Fragen bitte im Forum stellen!
Forenregeln - bitte lesen!
Wir möchten unser Forum kostenlos weiter für euch anbieten, daher freuen wir uns sehr über jede auch noch so kleine Spende! Wenn Du es möchtest, kannst du das hier tun: *klick*
Ich/wir wünsche/n eine gute Zusammenarbeit mit Dir und erfolgreiche gute Einsätze

Wichtig: Du kannst deine Beiträge jederzeit (auf

klicken) ändern, Du musst eingelogt sein!

Zitat von /european-privacy-seal.eu:
Neuinstallation oder Reinigung - was ist zu tun nach einer Malware-Infektion?
Wenn eine Malware (Sammelbegriff für Viren, Würmer oder Trojaner) erstmal den Rechner infiziert hat, steht der Administrator vor der Frage, ob er das System von der ungewollten Infektion befreien soll oder es neu installieren muss. Welches Verfahren ist wann sinnvoll?
Die Infektionswege sind so vielfältig, das ein Infektionspotential immer vorhanden ist. Doch wie geht man mit einem infizierten System um? Soll man versuchen, die ungewollt installierte Software zu deinstallieren bzw. den Virus mittels eines Reinigungstools aus dem Rechner zu entfernen oder sollte man lieber den Rechner neu installieren und die Benutzerdaten aus einem Backup zurückspielen?
Doch kann man sicher sein, dass das System nicht mehr kompromittiert ist? Ein infiziertes System ist für einen bestimmten Zeitraum unter Fremdkontrolle gewesen. Weitere Viren können sich so in dem System niedergelassen haben, die nicht erkannt wurden. Systemsoftware kann so geschickt infiziert worden sein, dass es nicht ohne größeren Aufwand erkennbar ist. Letztendlich kann man nur die Wahrscheinlichkeit minimieren, dass das System noch immer unsicher ist, ausschließen kann es nicht.
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion

Falls Du dein System doch reinigen möchtest:
Anweisung/en IMMER zuerst sorgfältig durchlesen,dann Schritt für Schritt abarbeiten, dabei unbedingt die Reihenfolge einhalten!!!:

1.
Lade dir dieses Tool -> fixwareout von subtratam, oder von fixwareout von bleepingcomputer.com herunter

Speichere es auf deinem Desktop. Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"

klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu aufzustarten (reboot), mach das bitte.

Dein System wird länger dazu brauchen als sonst, das ist normal.

2.
Fixe nun mit HijackThis folgende Einträge im Logfile (HijackThis starten und mit der Option `Do a system scan only`--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken--> PC neu aufstarten)::

O17 - HKLM\System\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer = 85.255.112.115;85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer = 85.255.112.115;85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer = 85.255.112.115;85.255.112.186

Achtung:

Code:

Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

3.

Lade das SDFix (erstellt von AndyManchesta von einem dieser zwei Download Spiegel herunter :
http://download.bleepingcomputer.com...esta/SDFix.exe
http://downloads.andymanchesta.com/R...ools/SDFix.exe
und speichere es auf deinem Desktop.

Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
Starte deinen Rechner neu auf, in den abgesicherten Modus (Tipps & Tricks: TIPP 4).
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn

Ein großes Dankeschön für SDFix an Andy Manchesta!

4.

Downloade Malwarebytes Anti-Malware - Bebilderte Anleitung
-> meine ausführliche Anleitung dazu findest du hier
Update das Programm online
Vergewissere dich, dass das Programm geupdatet ist, wiederhole das Update.
Schau nach, ob du mit den Einstellungen einverstanden bist.
Schliesse alle Anwendungen, einschliesslich deines Web Browsers.
Fuehre den Komplett Scan durch
Wähle alle Laufwerke aus, die sich auf deinem Rechner befinden.
Klicke auf den Button 'Scan laufen lassen'
Warte bis der Scan zuende ist, das kann ein Weilchen dauern.
Wenn du das Programm nach dem Scan beendest, kommen alle Funde in die Quarantäne
und können dann dort, nachdem wir das Logfile gesehen haben, gelöscht werden.
Du kannst die Malware aber auch gleich nach dem Scan löschen,
dazu klickst du am besten auf 'Alles löschen', um alles löschen zu lassen.
Klicke dann auf 'Scan Ergebnisse', um dir das Logfile zeigen zu lassen.
Kopiere den Inhalt des Logfiles in deinen Thread.

5.
Überprüfe deine Einstellungen. - Anleitung
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

6.
Erstelle und poste ein neues HijackThis-Logfile

7.
Lade dir HJTscanlist.zip. -(Punkt 7) herunter anschließend das erhaltene Logfile hier posten.

8.

Download den CCleaner
installieren,(klicke die Toolbar weg!) starten -> unter Options settings -> "german" einstellen.
-->klick auf "Extras--> Als Textdatei speichern..." (die Liste alle installierten Programme...eine Textdatei)
poste auch dieses Logfile

!Bitte alle Ergebnisse im Code-Tags posten!!

vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]

-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter System-Sicherheit

-----------------------

gruß
argos

**Forelle** · 21.10.2008, 20:16

Entschuldige, wenn ich etwas übersehen haben sollte (ich hatte die Seite gelesen)...
Natürlich möchte ich mein System bereinigen und befolge deine Schritte!!!! ICh werde die Logs hier posten, wenn ich soweit bin.

VIELEN LIEBEN DANK SCHON EINMAL!!!!!!!!!!!! (Und so schnell!)

Heike

**Forelle** · 21.10.2008, 20:32

Also, ich habe das Tool Fixwareout aus Schritt 1 heruntergeladen und es wurde nach dem Install auch automatisch gestartet. Ich wurde gebeten, eine Taste zu drücken. Dann wird mir mitgeteilt, dass es sich um eine nicht unterstützte Windows-Version handelt ("unsupported Windows version"). Ich sollte noch einmal eine Taste drücken und dann wird das DOS-Fenster geschlossen und nichts passiert (also kein Hinweis, das das System nun neugestartet werden sollte). Ich habe dann trotzdem rebooted, aber nichts dauerte länger oder war sonst wie ungewöhnlich. Sollte ich dennoch mit Schritt 2 fortfahren?

Heike

**kira** · 21.10.2008, 22:04

aha..hmm..vlt ja mit Vista nicht kompatibel...
dann machen wir es so:

1.
Lade das SmitfraudFix von S!Ri runter: SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Spiegel: Alternative Download-Spiegel:
http://siri.geekstogo.com/SmitfraudFix.exe
http://downloads.securitycadets.com/SmitfraudFix.exe

Anwendung:

Suche:

Doppelklick auf die SmitfraudFix.exe
Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht soll gespeichert werden, als C:\rapport-1.txt

Reinigung:

Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
Mach einen Doppelklick auf SmitfraudFix.exe
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
Du solltest deinen Rechner nun neu aufstarten, um den Reinigungsprozess zu beenden. Das Logfile solltest du speichern, als C:\rapport-2.txt

Optional:

Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter.
Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen.

Mehr dazu -> hier

Ein großes Dankeschön für SmitfraudFix an S!Ri !

Starte dein System neu auf.
Ergebnisse/Logs von SmitfraudFix bitte posten

C:\rapport-1.txt
C:\rapport-2.txt

2.
fahre dann einfach mit SDFix weiter

3.
als MBAM weiter...

4.
und danach starte HijackThis und die 3 Einträge 017 fixen..(4.) System neu aufstarten

5.
poste erneut:
HijackThis-Logfile
hjtscanlist
Logs von SDFix und MBAM

**Forelle** · 22.10.2008, 15:23

Ich hatte zuerst geschrieben, dass das neue Tool auch nicht funktioniert. Aber dann habe ich in einem anderem Beitrag den Hinweis gelesen, dass VIsta-User alle hier empfohlenen Programme mit dem rechten Mausklick und als Administrator starten sollten, was ich dann getan habe. Bisher konnte ich den ersten Report-Log erfolgreich anglegen. Ich werde weiterverfahren, wie du beschrieben hast.

Ich sehe erst einmal ein Hoffnungsschimmer, dass deine Schritt-für-Schritt-Anleitung mir doch helfen kann. Das wäre wunderbar!

Heike

**Forelle** · 22.10.2008, 16:04

Hallo,

hier bin ich wieder. Ich poste die beiden logs, die SmitfraudFx angefertigt hat:

C:\rapport-1.txt

Code:

SmitFraudFix v2.365

Scan done at  9:42:04.16, 22/10/2008
Run from C:\Users\Heike\Programas\AntiVir\SmitfraudFix
OS: Microsoft Windows [Versi¢n 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Protector Suite QL\upeksvr.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\STacSV.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Camera Assistant Software for Gateway\traybar.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\sttray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\BigFix\bigfix.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Camera Assistant Software for Gateway\CEC_MAIN.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf FOUND !
C:\resycled\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Heike


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Heike\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Heike\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!




»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: aetlsrknadw.dll
BHO: QXK Olive - {6595D79A-4FA4-43E8-994F-AE1D609660E5}
TypeLib: {DA07BDB3-8C6B-478F-8CFD-BB1F00C3F1E5}
Interface: {ADBFF53F-5070-4A55-B193-75D2DAEC2115}
Interface: {E3E70F33-C6EF-40BA-BCB4-10BF82DD8CE6}

[!] Suspicious: bkqxdons.dll
Toolbar: bkqxdons - {FDE6A96B-2001-47D7-88AA-0ED348A5BF2A}
TypeLib: {546DD897-9E91-4CE8-895E-83A124E6407B}
Interface: {BFC67EAE-7C68-47CE-8ACA-1FC8CCEF743B}
Classe: bkqxdons.bfxm
Classe: bkqxdons.ToolBar.1

[!] Suspicious: qnflkotm.dll
SSODL: qnflkotm - {9D3AA8BE-F66B-4D03-B35A-8B71EB80C3DA}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~1\\GOEC62~1.DLL"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Intel(R) PRO/Wireless 3945ABG Network Connection
DNS Server Search Order: 85.255.112.115;85.255.112.186

HKLM\SYSTEM\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

C:\rapport-2.txt

Code:

SmitFraudFix v2.365

Scan done at  9:50:40.05, 22/10/2008
Run from C:\Users\Heike\Programas\AntiVir\SmitfraudFix
OS: Microsoft Windows [Versi¢n 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\Windows\aetlsrknadw.dll deleted.
C:\Windows\bkqxdons.dll deleted.
C:\Windows\qnflkotm.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted
C:\resycled\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{32444999-EF9D-4E28-8D4D-9F6525BEDDA8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: DhcpNameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4C994945-6746-4F2F-9627-2EFC3E5CC7D8}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CA1470BC-87D7-45D2-B52C-1C705366FA84}: NameServer=85.255.112.115;85.255.112.186
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Beim Neustart erhielt ich die Hinweise, dass es einen Fehler beim Laden von den beiden Dateien

Code:

C:\Users\Heike\AppData\Local\Temp\vwUlidga.dll
C:\Users\Heike\AppData\Local\Temp\geBqPJDS.dll

gab, da ihr Modul (?) nicht gefunden werden konnte.
Ausserdem crashte der "Microsoft Windows Search Protocol Host" kurz darauf.
(Es fehlt auch mein Hintergrundbild vom Desktop. Vermutlich sind das die "Nebeneffekte" der Bereinigung.)

Ich fahre nun mit SDFix.exe fort...

**Forelle** · 22.10.2008, 16:33

Ich habe den Laptop im Abgesicherten Modus gestartet, nachdem ich SDFix entpackt hatte. Leider tut sich gar nichts, wenn ich die Bat starten möchte. Es ist lediglich für eine Bruchteil einer Sekunde ein blaues Fenster zu sehen, dass sofort wieder verschwindet (geschlossen wird). Der SDFix wird nicht ausgeführt. Ich hatte es zwei Mal im abgesicherten Modus probiert, aber erfolglos. Was könnte ich nun machen?

Heike

PS: Beim Neustart von Windows im Normalmodus erscheint nur noch eine Fehlermeldung, dass die geBqPJDS.dll fehlt, die ich bereits oben erwähnt habe.

PPS: Ich bin dir für deine Hilfe unendlich dankbar!!!

**kira** · 22.10.2008, 16:51

Fahre weiter mit: Malwarebytes Anti-Malware Schritt 4.
dann 5. bis 8. abarbeiten

**Forelle** · 22.10.2008, 20:12

Nun, ich habe Malwarebytes Anti-Malware ausgeführt. Der Scan dauerte eine gute Weile. Hier ist die log-File von den Ergebnissen:

Code:

Malwarebytes' Anti-Malware 1.29
Database version: 1306
Windows 6.0.6001 Service Pack 1

22/10/2008 13:37:41
mbam-log-2008-10-22 (13-37-17).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 294360
Time elapsed: 2 hour(s), 14 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 14
Registry Values Infected: 5
Registry Data Items Infected: 15
Folders Infected: 0
Files Infected: 11

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\Users\Heike\AppData\Local\Temp\rqRLdBuU.dll (Trojan.Vundo) -> No action taken.

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{05e1e6de-cbc4-4f00-b4ed-ff618bf1be2b} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07021017-c3db-4258-8360-607905962e01} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{52148445-19e2-4577-8689-07ffc56b3b34} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a378c2fb-7fef-4506-8a24-b561bd2afa5d} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d45630e9-151f-4564-83a2-f51492f082fc} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d4a517e7-290a-4fcc-9db0-3577382d699b} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f50ff2ce-7810-490e-bdd3-568e4de429cb} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{05e1e6de-cbc4-4f00-b4ed-ff618bf1be2b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vwnskbot (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> No action taken.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ca1470bc-87d7-45d2-b52c-1c705366fa84}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ca1470bc-87d7-45d2-b52c-1c705366fa84}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ca1470bc-87d7-45d2-b52c-1c705366fa84}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Users\Heike\AppData\Local\Temp\rqRLdBuU.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\fcccayyx.dll (Trojan.Vundo) -> No action taken.
C:\Users\Heike\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7PV5MV2M\nd82m0[1] (Trojan.Vundo) -> No action taken.
C:\Users\Heike\AppData\Local\Temp\nnnmkHYO.dll (Trojan.Vundo) -> No action taken.
C:\Users\Heike\AppData\Local\Temp\tmp0000e677 (Trojan.Vundo) -> No action taken.
C:\Users\Heike\AppData\Local\Temp\tmp000107fb (Trojan.Vundo) -> No action taken.
C:\Users\Heike\AppData\Local\Temp\tuvSljkJ.dll (Trojan.Vundo) -> No action taken.
C:\Windows\ebxt.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\hgGabXNG.dll (Trojan.Vundo) -> No action taken.
C:\Windows\vwnskbot.dll (Trojan.Agent) -> No action taken.
C:\Windows\woprdagt.exe (Trojan.FakeAlert) -> No action taken.

Ich habe die Option zum Löschen all dieser genannten Malwares gewählt. Danach erhielt ich eine weitere Log-File:

Code:

Malwarebytes' Anti-Malware 1.29
Database version: 1306
Windows 6.0.6001 Service Pack 1

22/10/2008 13:38:11
mbam-log-2008-10-22 (13-38-11).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 294360
Time elapsed: 2 hour(s), 14 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 14
Registry Values Infected: 5
Registry Data Items Infected: 15
Folders Infected: 0
Files Infected: 11

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\Users\Heike\AppData\Local\Temp\rqRLdBuU.dll (Trojan.Vundo) -> Delete on reboot.

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{05e1e6de-cbc4-4f00-b4ed-ff618bf1be2b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07021017-c3db-4258-8360-607905962e01} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{52148445-19e2-4577-8689-07ffc56b3b34} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a378c2fb-7fef-4506-8a24-b561bd2afa5d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d45630e9-151f-4564-83a2-f51492f082fc} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d4a517e7-290a-4fcc-9db0-3577382d699b} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f50ff2ce-7810-490e-bdd3-568e4de429cb} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{05e1e6de-cbc4-4f00-b4ed-ff618bf1be2b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vwnskbot (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ca1470bc-87d7-45d2-b52c-1c705366fa84}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ca1470bc-87d7-45d2-b52c-1c705366fa84}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{32444999-ef9d-4e28-8d4d-9f6525bedda8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4c994945-6746-4f2f-9627-2efc3e5cc7d8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ca1470bc-87d7-45d2-b52c-1c705366fa84}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.115;85.255.112.186 -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Users\Heike\AppData\Local\Temp\rqRLdBuU.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\fcccayyx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Heike\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7PV5MV2M\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Heike\AppData\Local\Temp\nnnmkHYO.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Heike\AppData\Local\Temp\tmp0000e677 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Heike\AppData\Local\Temp\tmp000107fb (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Heike\AppData\Local\Temp\tuvSljkJ.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\ebxt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\hgGabXNG.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\vwnskbot.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\woprdagt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Danach musste ich einen Neustart durchführen, was ich auch tat.
Beim Neustart erhielt ich die Nachricht, dass die Datei rqRLdBuU.dll in dem selben Temp-Verzeichnis, wie die zuvor genannten Dateien, nicht vorhanden sei. Der Internetexplorer öffnete sich und hat sofort eine dieser Werbeseiten geladen, was wohl ein Zeichen ist, dass diese Malware immer noch nicht komplett gelöscht wurde.

Ich werde nun Schritt 5 bis 8 befolgen.

Heike

Thema: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

Themen-Optionen

Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

AW: Wirklich fiese Sache - sogar HijackThis kann nichts fixen! :(

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Verdacht auf Keylogger, nicht wirklich sicher und Kaspersky findet auch nichts..

Kann ich die Einträge, die mit "unbedingt fixen" benannt sind, wirklich löschen?

Läst sich nichts fixen

[Hijackthis] Kann nicht alles fixen: sagt mir das ich es mit Spybots S&D versuchen...

Fixen Bringt Nichts ...

Berechtigungen