Antispylab, Adware und about:blank

Moin,

also, heute hat sich bei mir (auf einem völlig unbekannten Wege, bei mir ist SP2 installiert und ich habe keine Anhänge von Spam geöffnet) irgendein Müll eingenistet, der den Ausdruck u.a. in den Dateien winsrv32.exe, runsrv32.exe, param.red.exe, taskdir.dll u.v.m. findet und "YOUR COMPUTER IS INFECTED WITH A TROJAN!!!!!", "CREDIT CARD CAPTURE SOFTWARE DETECTED!!!!" als Balloon-Tips anzeigt.
F-Prot hat alle diese Dateien gefunden und ausradiert, was aber seitdem geblieben ist und was ich einfach nicht loswerden kann, ist, dass nun bei jedem Neustart oder bei jedem Start von IE der Wert "Start Page" von dem Schlüssel HKCU/Software/Microsoft Internet Explorer/Main/ nach "about:blank" ändert. Was dann als Startseite angezeigt wird, ist so eine abgef**te Adware-Seite, die u.a. die Links auf http://antispylab.com enthält.

So, jetzt zu meinen Gegenmassnahmen:
Der einzige Registrierungsschlüssel "Run" (Autostart), unter dem was steht, ist bei mir unter HKLM/Software/Microsoft/Windows/CurrentVersion/Run/. Dort steht nichts weiter als atiptaxx.exe (Ati-Treiber) und NeroCheck.exe (ein Tool von Nero). Alle anderen Schlüssel, die "Run" heißen, sind leer.
In den Prozessen läuft nichts, was irgendwie verdächtig wäre - es sei denn, ein Virus hat eine Prozessdatei gelöscht und sich als die selbige getarnt. Den HijackThis-Log siehe unten.
F-Prot mit den neuesten Definitionsdateien (von heute) findet nichts, ebenso andere Suchtools, die man zu dem Thema "adware, antispylab und about:blank" findet.

Nichtsdestotrotz wird, wie schon gesagt, bei jedem Start von IE oder bei jedem System-Neustart der o.g. Wert in der Registry von irgendeiner Sch...-Spyware verändert.

Weiß vllt. jemand Rat?

Max
Hier nochmal der Log von HijackThis 1.99.1 (kann das sein, dass es schon alt ist)?

===================================================================================
http://www.hijackthis.de/logfiles/bfb417a2e69859e545c2b4b08306eff8.html
================================================
Update: Ad-Aware von Lavasoft hat was von CoolWebSearch gefunden - ich hab ja schon gesehen, dass dieser AdWare-Sch*** damit zusammenhängt. Ich hab alles, was mit CoolWebSearch zu tun hatte, entfernt, aber gebracht hat es nichts. Was geholfen hat, war eine Systemwiederherstellung auf den Stand vom Montag - mal sehen, wie lange...
================================================

 

http://www.f-secure.com/blacklight/

 

Es gibt auch Würmer, die sich über den Messenger verbreiten.
Das SP alleine reicht auch nicht, sondern nur ein vollständig gepatchtes System. Dazu keine Mailvorschau in Outlook/OE benutzen und den IE auch nicht, da sich bei Standardeinstellungen bereits beim Betrachten einer infizierten Seite Schädlinge über aktive Inhalte installieren können.
Außerdem hat der IE ständig kritische Sicherheitslücken, die ohne Interaktion ausgenutzt werden können.

Weißt du jetzt, wie das System infiziert worden sein könnte?

 

@deoroller: Ja, schon klar, nur... es gibt ein paar Gründe, die es mir nicht so leicht machen, das System vollständig zu patchen. Zunächst einmal habe ich nur ein 56k-Zugang, so dass das Herunterladen von den gesamten Updates, die von Winzigweich angeboten werden, eine sehr lange und eine sehr kostspielige Angelegenheit wäre - abgesehen davon, dass nach dem Installieren von den meisten Updates der PC nicht mehr funzyklieren will . Gut, wegen des IE hat man mir auch schon empfohlen, dass wenn ich so daran hänge, dass ich mir wenigstens den 7er holen soll - so wie es aussieht, muss ich das demnächst tatsächlich... natürlich falls er in puncto Sicherheit besser ist. Ist er das wenigstens?
Ach ja, und eines noch: Damit ich über eine Sicherheitslücke irgendwas Bösartiges auf die Platte bekomme, müsste ich ja zuvor auch eine bestimmte Seite aufrufen, oder? Denn wenn jemand einen gezielten Angriff auf meine Sicherheitslücken führen wollte, müsste er ein ziemliches Glück haben, denn ich geh nie länger als ein paar Minuten ins Netz, und das immer wieder zu unterschiedlichen Zeiten. Nur sind die Seiten, die ich (fast, okay ) nur besuche, www.pcwelt.de, www.google.de, www.billiger-surfen.de und www.eternal-chronicles.de. Ich kann ja auch sagen, dass ich heute auf www.qvc.de gewesen bin, aber ob die mit dem Zeug infiziert sein können?
Was den RausGuck angeht, so fragt er mich immer, bevor er irgendwas aus den Mails (gewollt oder ungewollt) ausführen will - das ist ja ein Feature von SP2 gewesen.
Soo... hab ich alles? Achso, eins noch: Der Messenger ist bei mir zwar installiert, aber er läuft nie - ich weiß nicht, warum HiJack ihn da überhaupt angezeigt hat.
Also, ich sag nicht, dass es unmöglich ist, meine Kiste zu verseuchen - aber nach all dem, was ich gesagt habe, ist es doch wohl ziemlich schwer.

@poro: Ich kenne F-Secure - nebenbei gesagt stammt es aus dem selben Hause wie F-Prot, den ich ja zu benutzen pflege. Und F-Prot hat auch einen Real-Time-Protector, der fast genauso wie F-Secure funzt I

 

Did you know that it is possible to hide spyware or a virus in a way that will fool even the traditional antivirus products?
Some spyware programs are already using so-called rootkits to hide deep in the system. And, virus authors are joining in. Learn more about the threat called rootkit.