"Windows Security Alert" mal wieder ;)

Hallo erstmal, bin neu hier im Forum!
Ihr dürft mich mit Martin ansprechen, ich bin normaler PC-User und hab von Viren, Trojanern etc. relativ wenig Ahnung..

Nun direkt zu meinem Problem, wenn ihr erlaubt

Betriebssystem: Windows xp-Pro mit service Pack 3

Ich habe mir was eingefangen das mein Windows dazu veranlasst alle paar Minuten eine Sicherheitswarnung auszugeben dass mein System mit einem bösartigen Wurm infiziert sei. Die Meldungen verweisen dann auf eine Internetseite auf der ich ein tool downloaden soll um dies zu bereinigen. Desweiteren erscheinen auf meinem Desctop 3 Programme zur Reinigung von Viren, die ich nie installiert habe und neben der Uhrzeit unten rechts in der Taskleiste steht fett "VIRUS ALERT!"
Ich habe mir sofort gedacht dass diese Meldungen unseriös sind und mich bereits im Forum etwas schlau gemacht.
Daher habe ich also, wie in einem anderen Thread beschrieben, das Programm "Clear Prog" gedownloadet und damit all meine Internetverlaufssachen und sonstigen Temp Dateien gelöscht.
Direkt danach habe ich "SmidfraudFIx" laufen lassen, wie in der Anleitung beschrieben, obwohl AntiVIr mir meldete SmidfraudFix sei ein Virus.
Direkt danach habe ich "DR. WEB Cureit" einen Vollsystemcheck machen lassen und mir ein Protokoll von Hijackthis gemacht, dass ich gleich noch posten werde.

EDIT: Auch DR WEB Cureit hat mir einige DAteien die wohl zu smidfraudfix gehören als viren gemeldet, sonst aber nichts gefunden.

Nun zu den Ergebnissen:
Nach den oben genannten Aktionen sind die Sicherheitswarnungen verschwunden, einzig das fettgedruckte "VIRUS ALERT!" in der taskleiste ist geblieben.
Auch die Programme auf dem Desktop sind weg.
Allerdings meldet antivir immer wieder das "Smidfraudfix"  und andere wohl damit verbundene Dateien Viren seien.
Außerdem habe ich keinen zugriff mehr auf die Systemsteuerung und die Eingabeaufforderung, denke aber dass dies nichts direkt mit SmidfraudFix zu tun hat, da es sich im normalen Windows Betrieb beim ersten Start auch schon beschwert hatte "die eingabeaufforderung ist vom administrator deaktiviert worden" Erst im abgesicherten Modus konnte ich es zum laufen bringen.

Ich hoffe ihr könnt mir helfen!

Hier ein aktueller Report von Hijackthis im normalen Windows Betrieb (nicht abgesichert) gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:41: VIRUS ALERT!, on 26.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
F:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\Explorer.EXE
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\CTsvcCDA.EXE
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
F:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\CTHELPER.EXE
D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
F:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Free Download Manager\fdm.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
D:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
F:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\abcd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: QXK Olive - {B33B96B9-E0C2-4648-9819-A38DDCAFA33C} - D:\WINDOWS\boqnrwdmstg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [RCSystem] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "F:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Free Download Manager] F:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Backward &Links - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - F:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Mit FDM herunterladen - file://F:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Si&milar Pages - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7577 bytes
 


EDIT: So noch ein paar Neuigkeiten:
Ich kann zusätzlich zu den oben genannten Problemen auf einige meiner Partionen nicht zugreifen.
Ich habe nun alle Instanzen von SmidfraudFIx von meinem Platte verabannt, außer dem Report.
Ich habe bei Hijackthis den Eintrag der fürs deaktivieren der Eingabeaufforderung war gelöscht, hat aber keine besserung gebracht (normaler windows modus).

Hier noch der Report von SMidfraudfix:

SmitFraudFix v2.322

Scan done at  0:07:56,76, 26.05.2008
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End