searchlinks und Pleasure Zone!

#1 Hallo,

Ich bin am verzweifeln... Habe seit Tagen diesen HiJacker auf meinem rechner und kriege ihn nicht weg.

Habe schon Adware, Spybot, CW Shredder und XPClean versucht.

Auch den Tipp mit

How to Clean/Delete the QAZ trojan?

The registry needs to edited to delete this Trojan

Click START, RUN
Type REGEDIT and hit ENTER key
In the left panel, click the "+" to the left of the following:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
In the right panel, search for any of the registry key that contains the data value of startIE=XXXX\Notepad.exe.
In the right window, highlight the registry key that loads the file and press the DELETE key. Answer YES to delete the entry.
Exit the registry.
Click START,SHUTDOWN. Choose "Restart" and click OK.
Use the Find Tool under the Start Menu to find and rename Note.com to Notepad.exe.

hab ich versucht aber in dem “Run” verzeichniss Steht nur “Standard“ regsz, und sonst kein Einträge…

Irgendwelche Ideen?

Gruß

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Sicherheitsprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O17 - HKLM\System\CCS\Services\Tcpip\..\{92579E5A-EC2C-44EF-B563-2289E0F3B2F9}: NameServer = 62.27.27.62 62.27.53.66
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

#2 Hi markuss,

Dein Log ist nicht vollständig! Aber ich nehme einmal an, Du hast Win XP.

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

Rechner neu starten

Die IP ist Dir bekannt? Dein Provider?
O17 - HKLM\System\CCS\Services\Tcpip\..\{92579E5A-EC2C-44EF-B563-2289E0F3B2F9}: NameServer = 62.27.27.62 62.27.53.66

Neue Startseite im IE einstellen und aktuelles (komplettes!) HJT Log posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Hallo Heron,

hat leider nix gebracht. Soll ich Ad-Aware, Spybot etc. auch noch mal ohne ide Systemwiederherstellung laufen lassen? Hier das aktuelle Logfile.
Neue startseite läßt sich nicht festlegen. Es kommt sofort wieder die Searchlink seite.

Die IP ist mir nicht bekannt. War auch bisher (vor dem Hijacker) nicht in den logs enthalten, ist aber auch nicht wegzukriegen.

Danke für Deine Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 09:36:54, on 31.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Sicherheitsprogramme\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O17 - HKLM\System\CCS\Services\Tcpip\..\{92579E5A-EC2C-44EF-B563-2289E0F3B2F9}: NameServer = 62.27.27.62 62.27.53.66
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

#4 Fixe einmal die o.g. Einträge im abgesicherten Modus und zusätzlich
O17 - HKLM\System\CCS\Services\Tcpip\..\{92579E5A-EC2C-44EF-B563-2289E0F3B2F9}: NameServer = 62.27.27.62 62.27.53.66

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)

Das Programm mit "mwav.exe" (oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron

edit:
vielleicht bringt Dir das auch die Lösung
http://board.protecus.de/t11150.htm?highlight=pleasure+zone
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hallo,

hat etwas gedauert, hier die "infected" lines die ich im Log gefunden habe:

Thu Mar 31 16:59:29 2005 => File C:\WINDOWS\system32\kb32.exe infected by "Trojan.Win32.StartPage.vo" Virus. Action Taken: No Action Taken.

Thu Mar 31 16:59:41 2005 => File C:\WINDOWS\system32\kb32.exe infected by "Trojan.Win32.StartPage.vo" Virus. Action Taken: No Action Taken.

Thu Mar 31 16:59:56 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.

Thu Mar 31 16:59:56 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Mar 31 16:59:56 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.

Thu Mar 31 16:59:56 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Mar 31 16:59:56 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Thu Mar 31 16:59:56 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:00:14 2005 => File C:\WINDOWS\ietlbass.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:00:19 2005 => File C:\WINDOWS\msmsgsui.exe infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:00:20 2005 => File C:\WINDOWS\n_mfiyis.dat infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:00:26 2005 => File C:\WINDOWS\win86.exe infected by "Trojan-Downloader.Win32.Small.pj" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:01:16 2005 => File C:\WINDOWS\system32\in4bdlA.dll infected by "Trojan.Win32.Revop.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:01:58 2005 => File C:\WINDOWS\system32\notepad.com infected by "Trojan-Dropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:02:51 2005 => File C:\WINDOWS\system32\windec33.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:09:56 2005 => File C:\Dokumente und Einstellungen\Guest\Lokale Einstellungen\Temp\II22.exe infected by "Trojan-Dropper.Win32.Small.ff" Virus. Action Taken: No Action Taken.

Thu Mar 31 17:10:32 2005 => File C:\Dokumente und Einstellungen\Markus M. Schwab\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-28e8d1c5-549cb74b.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 18:14:15 2005 => File C:\Programme\Outlook Express\outl32c.exe infected by "Backdoor.Win32.Jeemp.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 18:32:02 2005 => File C:\WINDOWS\$NtServicePackUninstall$\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.

Thu Mar 31 18:51:01 2005 => File C:\WINDOWS\ietlbass.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 18:53:22 2005 => File C:\WINDOWS\msmsgsui.exe infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 18:53:23 2005 => File C:\WINDOWS\n_mfiyis.dat infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:02:57 2005 => File C:\WINDOWS\system32\in4bdlA.dll infected by "Trojan.Win32.Revop.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:03:43 2005 => File C:\WINDOWS\system32\notepad.com infected by "Trojan-Dropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:17 2005 => File C:\WINDOWS\system32\windec33.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:40 2005 => File C:\WINDOWS\win86.exe infected by "Trojan-Downloader.Win32.Small.pj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:56 2005 => File D:\Sicherheitsprogramme\backup-20041206-222335-829.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:57 2005 => File D:\Sicherheitsprogramme\backup-20041207-225930-798.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:57 2005 => File D:\Sicherheitsprogramme\backup-20041207-225955-454.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:58 2005 => File D:\Sicherheitsprogramme\backup-20041207-230017-360.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:05:59 2005 => File D:\Sicherheitsprogramme\backup-20041207-230723-421.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:06:00 2005 => File D:\Sicherheitsprogramme\backup-20041217-083758-124.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:06:00 2005 => File D:\Sicherheitsprogramme\backup-20041222-012615-991.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:10:39 2005 => File C:\WINDOWS\$NtServicePackUninstall$\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:29:35 2005 => File C:\WINDOWS\ietlbass.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:31:52 2005 => File C:\WINDOWS\msmsgsui.exe infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:31:53 2005 => File C:\WINDOWS\n_mfiyis.dat infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:41:10 2005 => File C:\WINDOWS\system32\in4bdlA.dll infected by "Trojan.Win32.Revop.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:41:55 2005 => File C:\WINDOWS\system32\notepad.com infected by "Trojan-Dropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:43:27 2005 => File C:\WINDOWS\system32\windec33.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:43:48 2005 => File C:\WINDOWS\win86.exe infected by "Trojan-Downloader.Win32.Small.pj" Virus. Action Taken: No Action Taken.

Und hier die zusammenfassung:

Thu Mar 31 19:46:58 2005 => Virus Database Date: 2005/03/30
Thu Mar 31 19:46:58 2005 => Virus Database Count: 124022
Thu Mar 31 19:47:01 2005 => AV Library Unloaded (3)...
Thu Mar 31 19:58:14 2005 => **********************************************************
Thu Mar 31 19:58:14 2005 => MicroWorld AntiVirus Toolkit Utility.
Thu Mar 31 19:58:14 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Thu Mar 31 19:58:14 2005 => **********************************************************
Thu Mar 31 19:58:14 2005 => Version 6.0.2 (C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\mwavscan.com)
Thu Mar 31 19:58:14 2005 => Log File: C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\MWAV.LOG
Thu Mar 31 19:58:14 2005 => Last Scan Date and Time: 31.03.2005 14:09:56
Thu Mar 31 19:58:14 2005 => Latest Date of files inside MWAV: 30 Mar 2005 12:27:24.
Thu Mar 31 19:58:16 2005 => AV Library Loaded...
Thu Mar 31 19:58:16 2005 => MWAV doing self scanning...
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\kavss.exe
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\Getvlist.exe
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\kavss.dll
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\kavssdi.dll
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\kavssi.dll
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\kavvlg.dll
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\msvlclnt.dll
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\ipc.dll
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\main.avi
Thu Mar 31 19:58:16 2005 => Scanning File C:\DOKUME~1\MARKUS~1.SCH\LOKALE~1\Temp\virus.avi
Thu Mar 31 19:58:16 2005 => MWAV files are clean.
Thu Mar 31 19:58:16 2005 => Virus Database Date: 2005/03/30
Thu Mar 31 19:58:16 2005 => Virus Database Count: 124022

Hope this helps

Grüße
markus

#6 So, Markus, das gibt ein abendfüllendes Programm!
Bei einer derartig massiven Ladung an Malware wäre es am besten, Du würdest Dein System neu aufsetzen.
-------------------------------------------------------------------
Ohne Garantie auf Erfolg: Lade Dir herunter

KillBox
http://www.bleepingcomputer.com/files/killbox.php

AdAware-VX2 Cleaner
VX2 Cleaner downloaden
http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml
Installieren => AdAware starten => Add-ons => VX2 Cleaner => Tool ausführen => System reinigen.
PC neu starten => Scan mit Ad-Aware und alle VX2-Objekte entfernen
PC neu starten und erneut mit Ad-Aware scannen, um zu überprüfen, dass alle Dateien entfernt wurden.

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die Dateien, welche eScan als "infected" gefunden hat, mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten

Fixe noch mal alle genannten Einträge im HJT Log => PC neu starten

Online Scanns durchführen

ewido
http://www.ewido.net/de/

Symantec
http://security.symantec.com/default.asp?

f-secure
http://support.f-secure.com/enu/home/ols.shtml

McAfee FreeScan
www.mcafee.com/myapps/mfs/default.asp

Trend-Micro
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

BitDefender
www.bitdefender.com/scan/Msie/index.php

Alle Dateien, die als "infected" gefunden werden im abgesicherten Modus manuell oder mit Killbox löschen

RegCleaner
http://www.chip.de/downloads/c_downloads_8830516.html
Starte das Programm, wähle "Deutsch" als Sprache und säubere die Registry mit Tools => Registry säubern => alles durchführen => alle gefundenen Objekte markieren => markierte entfernen (Du kannst alles Angezeigte löschen, denn es das Programm legt eine Sicherung an, die später bei evtl. Problemen wiederhergestellt werden kann)

ClearProg 1.4.1
http://www.clearprog.de/downloads.php
Surfspuren löschen. Alle Kategorien unter Internetexplorer und Windows im rechten Fenster ankreuzen und "Löschen" drücken.

Neues HJT Log posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch