security alert/ spyware found

#16 hier und danke für die hilfe
SmitFraudFix v2.207

Scan done at 15:26:11,65, 26.07.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\wzhtjqo.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Guhlius


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Guhlius\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Guhlius\FAVORI~1

C:\DOKUME~1\Guhlius\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{aa6d4f53-4c8d-4549-84d2-02d584acc4e9}"="enlodgement"

[HKEY_CLASSES_ROOT\CLSID\{aa6d4f53-4c8d-4549-84d2-02d584acc4e9}\InProcServer32]
@="C:\WINDOWS\system32\wzhtjqo.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{aa6d4f53-4c8d-4549-84d2-02d584acc4e9}\InProcServer32]
@="C:\WINDOWS\system32\wzhtjqo.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="F:\\KASPER~1.0\\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F0714511-24CA-43F2-9E79-BE183BF76FB3}: DhcpNameServer=192.168.2.1 192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0714511-24CA-43F2-9E79-BE183BF76FB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F0714511-24CA-43F2-9E79-BE183BF76FB3}: DhcpNameServer=192.168.2.1 192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F0714511-24CA-43F2-9E79-BE183BF76FB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#17 Smitfraudfix-Bereinigung

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
__________
MfG Argus

#18 Nachher:
Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Sicherheitslücken gibt es zur Zeit in
Adobe Flash player : Download http://www.filehippo.com/download_flashplayer_ie/
DirectX : Download http://www.filehippo.com/download_directx/
Sun Java:

download jre-6u2-windows-i586-p.exe
Srcolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”
__________
MfG Argus

#19 Ok... is zwar kein bluescreen gekommen aber das symbol is nimmer im try.. danke nochma für die hilfe ich schau ma ob alles so bleibt , wenn nich sach ich bescheid


hab nur ne verknüpfung vom arbeitsplatz... wie mach ich das jetz?

-> habs jetz doch

jetz beim starten hat spybot mir gesagt:
ActiveX Distribution Unit
Wert hinzugefügt
(bla key) was mach ich jetz?
ps hab ändern verboten und hoffe jetz dasses klappt

#20 Hat du jetzt noch Probleme?
__________
MfG Argus

#21 Nee bis jetz alles ruhig
Vielen Dank!
muss halt manches wieder herrichten aber besser als formatieren wars allemal ^^