troianer tspy_delf.nq? und temp-dateien nicht löschbar

#1 zuerst mal herzliche grüsse ans forum!

bevor ich die logs kopiere hier kurz das problem:
trendmicro antispyware findet immer wieder den trojaner tspy_delf.nq(auch noch, nachdem ich die systemwiederherstellung deaktiviert habe), zu dem ich im netz nichts genaueres herausfinden konnte.

zudem lassen sich manche temp dateien nicht mehr löschen und manchmal kommen in der taskleiste meldungen ich möge chkdsk ausführen weil vereinzelte dateien beschädigt wären.
das ist mir alles grund genug, um hier zu posten.

ich habe antivir professional und verwende regelmässig ewido ebenso wie die sygate firewall und checke mit hyjack (der fand aber nie was...). und ich säubere regelmässig die registry...

möglicherweise war eine unachtsamkeit mit einem mail der grund für meine probleme...

habe auch mit dem multi-av-tool gescant: kasperski und mc.afee fanden nichts...

ich danke für die hilfe im vorhinein und kopiere nun die logs:

1. hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:26:57, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\TrojanHunter 4.6\THGuard.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Dokumente und Einstellungen\horst\Desktop\RootkitRevealer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\download 2006\programme\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.6\THGuard.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146581661551
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146581960771
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4754/mcfscan.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

2. cleanup durchgeführt (das mache ich auch regelmässig), aber eben noch temp dateien vorhanden. siehe datfind logs.

3. combofix log:

horst - 06-10-19 18:29:50,08 Service Pack 2
ComboFix 06.10.16 - Running from: "D:\download 2006\programme\sicherheitsprogramme"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((((((((( Files Created from 2006-09-19 to 2006-10-19 ))))))))))))))))))))))))))))))))))


2006-10-04 21:00 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2006-10-04 21:00 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2006-09-29 19:48 27,196 --a------ C:\WINDOWS\winsbak.reg
2006-09-29 19:48 201,536 --a------ C:\WINDOWS\winsbak2.reg
2006-09-29 19:47 950,272 --a------ C:\WINDOWS\system32\contfilt.dll
2006-09-29 19:47 9,488 --a------ C:\WINDOWS\sporder.dll
2006-09-29 19:47 7,680 --a------ C:\WINDOWS\sporder.exe
2006-09-29 19:47 41,984 --a------ C:\WINDOWS\killproc.exe
2006-09-29 19:47 40,448 --a------ C:\WINDOWS\inst_tsp.exe
2006-09-29 19:47 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll
2006-09-29 19:47 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2006-09-29 19:47 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2006-09-29 19:47 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll
2006-09-29 19:47 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-17 17:11 -------- d-------- C:\Dokumente und Einstellungen\horst\Anwendungsdaten\TrojanHunter
2006-10-17 16:43 -------- d-------- C:\Programme\TrojanHunter 4.6
2006-10-16 22:15 12541 --a------ C:\Dokumente und Einstellungen\horst\Anwendungsdaten\CleanUp!.log
2006-10-15 13:23 -------- d-------- C:\Programme\a-squared Free
2006-10-14 22:12 -------- d-------- C:\Programme\CCleaner
2006-10-04 23:18 -------- d-------- C:\Dokumente und Einstellungen\horst\Anwendungsdaten\Lavasoft
2006-10-04 23:12 -------- d-------- C:\Programme\Lavasoft
2006-10-04 16:40 -------- d-------- C:\Dokumente und Einstellungen\horst\Anwendungsdaten\PC Tools
2006-09-29 19:09 -------- d-------- C:\Programme\Trend Micro
2006-09-29 00:07 20640 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-09-29 00:07 109568 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-09-29 00:07 108544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2006-09-28 15:03 34308 --a------ C:\WINDOWS\system32\bassmod.dll
2006-09-28 15:03 -------- d-------- C:\Programme\Picasa2
2006-09-28 14:56 10368 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2006-09-28 14:56 -------- d-------- C:\Programme\ACD Systems
2006-09-28 13:21 -------- d-------- C:\Programme\LimeWire
2006-09-13 19:07 -------- d-------- C:\Programme\AntiVir PersonalEdition Premium
2006-09-07 13:10 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-03 11:35 51060 --a------ C:\WINDOWS\system32\pdf995mon.dll
2006-09-03 11:35 118784 --a------ C:\WINDOWS\system32\pdfmona.dll
2006-09-03 00:07 76560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2006-08-29 15:01 561152 --a------ C:\WINDOWS\system32\ACDSee.scr
2006-08-22 23:48 -------- d-------- C:\Programme\FileZilla
2006-08-22 22:35 -------- d-------- C:\Programme\SmartFTP Client 2.0 Setup Files
2006-08-22 22:35 -------- d-------- C:\Programme\SmartFTP Client 2.0


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"CCleaner"="\"C:\\Programme\\CCleaner\\CCleaner.exe\" /AUTO"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb08.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Premium\\avgnt.exe\" /min"
"THGuard"="\"C:\\Programme\\TrojanHunter 4.6\\THGuard.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\Setup]
"Registrando Panda ActiveX"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\as.dll"
"Registrando Panda Almacen"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\pavpz.dll"
"Registering ActiveScan controles"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\ascontrol.dll"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"Register Homesite+.exe"="C:\\Programme\\Macromedia\\HomeSite+\\Homesite+.exe /REGSERVER"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,f8,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"="Eudora's Shell Extension"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
"{03A80B1D-5C6A-42c2-9DFB-81B6005D8023}"="Trend Micro Anti-Spyware Shell Extension"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
"backup"="C:\\WINDOWS\\pss\\BTTray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\WIDCOMM\\BLUETO~1\\BTTray.exe "
"item"="BTTray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^horst^Startmenü^Programme^Autostart^Trend Micro Anti-Spyware.lnk]
"backup"="C:\\WINDOWS\\pss\\Trend Micro Anti-Spyware.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\TRENDM~1\\Tmas\\Tmas.exe -autostart"
"item"="Trend Micro Anti-Spyware"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"hpdj3600"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-19 18:30:37.66
C:\ComboFix_alt.txt ... 06-10-16 22:52
C:\ComboFix.txt ... 06-10-19 18:30

4. datfind logs:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\

19.10.2006 18:32 0 sys.txt
19.10.2006 18:32 972 down.txt
19.10.2006 18:32 7.074 system.txt
19.10.2006 18:32 108 tmp.txt
19.10.2006 18:32 3.580 systemtemp.txt
19.10.2006 18:32 108.315 system32.txt
19.10.2006 18:30 9.606 ComboFix.txt
19.10.2006 00:23 6 AVPCallback.log
16.10.2006 22:52 9.363 ComboFix_alt.txt
12.10.2006 18:44 805.306.368 pagefile.sys
29.09.2006 22:59 203 BOOT.INI
05.09.2006 11:10 203 bootini.uns
09.05.2006 11:56 211 boot.ini.SAB
09.05.2006 11:45 47.564 NTDETECT.COM
09.05.2006 11:45 251.184 ntldr
31.10.2005 17:56 700.416 StubInstaller.exe
23.02.2003 10:25 0 IO.SYS
23.02.2003 10:25 0 MSDOS.SYS
23.02.2003 09:40 512 BOOTSECT.DOS
23.02.2003 09:33 77 PRELOAD.AAA
29.08.2002 12:00 4.952 bootfont.bin
21 Datei(en) 806.450.714 Bytes
0 Verzeichnis(se), 8.072.101.888 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\WINDOWS\Temp

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\WINDOWS

19.10.2006 10:30 6.096 ModemLog_Bluetooth Fax Modem.txt
19.10.2006 10:30 6.092 ModemLog_Bluetooth Modem.txt
19.10.2006 10:30 4.234 ModemLog_Agere Systems AC'97 Modem.txt
19.10.2006 10:30 1.637 WindowsUpdate.log
19.10.2006 10:30 159 wiadebug.log
19.10.2006 10:30 50 wiaservc.log
19.10.2006 10:30 0 Sti_Trace.log
19.10.2006 10:27 2.048 bootstat.dat
19.10.2006 00:37 32.562 SchedLgU.Txt
19.10.2006 00:09 50 Lic.xxx
05.10.2006 22:51 116 NeroDigital.ini
05.10.2006 10:46 927 win.ini
29.09.2006 22:59 260 system.ini
29.09.2006 19:53 5.677.047 REGBK00.ZIP
29.09.2006 19:48 201.536 winsbak2.reg
29.09.2006 19:48 27.196 winsbak.reg
29.09.2006 00:08 316.640 WMSysPr9.prx
29.09.2006 00:07 4.161 ODBCINST.INI
03.09.2006 11:35 59 wpd99.drv
23.08.2006 12:59 0 hosts
31.07.2006 03:52 40.448 inst_tsp.exe
31.07.2006 03:28 41.984 killproc.exe
21.06.2006 20:06 11.069 COOL.INI
21.06.2006 20:06 0 COOLSYS.INI

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.02.2006 12:49 882 mcfscan.inf
26.05.2005 04:19 291 wuweb.inf
26.05.2005 04:19 293 muweb.inf
25.11.2004 09:37 1.701.000 ImageUploader_3.ocx
25.11.2004 09:37 337 ImageUploader_3.inf
07.01.2004 16:35 1.134 Cult.inf
09.10.2003 10:32 144 QTPlugin.inf
25.08.2003 18:12 1.096 iuctl.inf
22.08.2003 21:10 226 opuc.inf
14.07.2003 22:57 87.096 IEAWSDC.DLL
12.07.2003 02:02 438 ieawsdc.inf
23.02.2003 10:24 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
14 Datei(en) 1.794.861 Bytes
0 Verzeichnis(se), 8.072.101.888 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

folgende dateien bekomme ich nicht mehr weg:
Verzeichnis von C:\DOKUME~1\horst\LOKALE~1\Temp

19.10.2006 16:18 385.107 F.exe
19.10.2006 11:10 512 ~DFB039.tmp
19.10.2006 11:10 16.384 ~DFC2BA.tmp
19.10.2006 11:10 16.384 ~DFB029.tmp
05.10.2006 22:34 0 MPCE2.tmp
05.10.2006 22:34 0 MPCE0.tmp
05.10.2006 22:34 0 MPCDE.tmp
05.10.2006 22:34 0 MPCDD.tmp
05.10.2006 22:34 0 MPCDC.tmp
05.10.2006 22:34 0 MPCDB.tmp
05.10.2006 22:34 0 MPC80.tmp
05.10.2006 22:34 0 MPC84.tmp
05.10.2006 22:34 0 MPC8B.tmp
05.10.2006 22:34 0 MPCD6.tmp
05.10.2006 22:34 0 MPCD5.tmp
05.10.2006 22:34 0 MPCD3.tmp
05.10.2006 22:34 0 MPCD1.tmp
05.10.2006 22:34 0 MPCD0.tmp
05.10.2006 22:34 0 MPCCE.tmp
05.10.2006 22:34 0 MPC9B.tmp
05.10.2006 22:34 0 MPC9C.tmp
05.10.2006 22:34 0 MPCCC.tmp
05.10.2006 22:34 0 MPC9E.tmp
05.10.2006 22:34 0 MPCA0.tmp
05.10.2006 22:34 0 MPCA1.tmp
05.10.2006 22:34 0 MPCA2.tmp
05.10.2006 22:34 0 MPCA4.tmp
05.10.2006 22:34 0 MPCA5.tmp
05.10.2006 22:34 0 MPCA6.tmp
05.10.2006 22:34 0 MPCA7.tmp
05.10.2006 22:34 0 MPCA9.tmp
05.10.2006 22:34 0 MPCAB.tmp
05.10.2006 22:34 0 MPCAC.tmp
05.10.2006 22:34 0 MPCAD.tmp
05.10.2006 22:34 0 MPCAE.tmp
05.10.2006 22:34 0 MPCB1.tmp
05.10.2006 22:34 0 MPCB2.tmp
05.10.2006 22:34 0 MPCB4.tmp
05.10.2006 22:34 0 MPCB5.tmp
05.10.2006 22:34 0 MPCCB.tmp
05.10.2006 22:34 0 MPCBA.tmp
05.10.2006 22:34 0 MPCBB.tmp
05.10.2006 22:34 0 MPCBC.tmp
05.10.2006 22:34 0 MPCBD.tmp
05.10.2006 22:34 0 MPCC4.tmp
05.10.2006 22:34 0 MPCC5.tmp
05.10.2006 22:34 0 MPCC6.tmp
05.10.2006 22:34 0 MPCC7.tmp
05.10.2006 22:34 0 MPCC8.tmp
05.10.2006 22:34 0 MPCC9.tmp
05.10.2006 22:33 0 MPC93.tmp
05.10.2006 22:33 0 MPC9A.tmp
05.10.2006 22:33 0 MPC8C.tmp
05.10.2006 22:33 0 MPC91.tmp
05.10.2006 22:33 0 MPC90.tmp
05.10.2006 22:33 0 MPC8F.tmp
05.10.2006 22:33 0 MPCB7.tmp
05.10.2006 22:33 0 MPC46.tmp
05.10.2006 22:33 0 MPC71.tmp
05.10.2006 22:33 0 MPC66.tmp
05.10.2006 22:33 0 MPC65.tmp
05.10.2006 22:33 0 MPC3A.tmp
05.10.2006 22:33 0 MPC39.tmp
05.10.2006 22:33 0 IMT25B.tmp
05.10.2006 22:33 0 IMT25C.tmp
05.10.2006 22:33 0 IMT25D.tmp
05.10.2006 22:33 0 IMT267.tmp
05.10.2006 22:33 0 IMT268.tmp
05.10.2006 22:33 0 IMT25E.tmp
05.10.2006 22:33 0 IMT25F.tmp
05.10.2006 22:33 0 MPC9D.tmp
71 Datei(en) 418.387 Bytes
0 Verzeichnis(se), 8.072.167.424 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\WINDOWS\system32

19.10.2006 00:36 171 RootkitReveal.txt
17.10.2006 16:43 59.392 streamhlp.dll
15.10.2006 13:02 236.504 FNTCACHE.DAT
14.10.2006 22:00 54.534 ikhcore.log
12.10.2006 18:44 1.158 wpa.dbl
04.10.2006 21:01 410.916 perfh007.dat
04.10.2006 21:01 399.856 perfh009.dat
04.10.2006 21:01 61.216 perfc009.dat
04.10.2006 21:01 905.292 PerfStringBackup.INI
04.10.2006 21:01 72.294 perfc007.dat
29.09.2006 00:07 61.440 pxhpinst.exe
29.09.2006 00:07 56.832 pxcpya64.exe
29.09.2006 00:07 108.544 pxcpyi64.exe
29.09.2006 00:07 56.320 pxinsa64.exe
29.09.2006 00:07 109.568 pxinsi64.exe
28.09.2006 15:03 34.308 bassmod.dll
07.09.2006 13:10 57.384 avsda.dll
03.09.2006 11:35 51.060 pdf995mon.dll
03.09.2006 11:35 118.784 pdfmona.dll
29.08.2006 15:01 561.152 ACDSee.scr
31.07.2006 04:12 950.272 contfilt.dll
31.07.2006 03:52 339.968 mwtsp.dll
31.07.2006 03:48 118.784 mwnsp.dll
13.06.2006 17:32 6 reboot.txt
05.06.2006 17:18 2.158 tmmute.ini
01.06.2006 17:52 0 asfiles.txt
01.06.2006 17:47 1.406 Help.ico
01.06.2006 17:47 2.550 Uninstall.ico
10.05.2006 11:07 32.768 ES_SETUP
10.05.2006 10:42 100 LuResult.txt
09.05.2006 14:09 90 spupdwxp.log
24.04.2006 20:42 8.464 sporder.dll

5. das problem ist der immer wieder auftauchende trojaner tspy_delf.nq und die angst eines kompromittierten systems... dazu die chkdsk aufforderung und die nicht löschbaren temporären dateien. und das combofix log gefällt mir auch nicht...

habe noch mit dem rootkitrevealer gescannt, das hat endlich bei mir endlich funktioniert und kopiere noch das log. danke euch! (grüsse ganz herzlich sabina ;-)

HKLM\S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData* 13.04.2006 19:34 0 bytes Key name contains embedded nulls (*)
C:\.. 08.05.2006 18:13 0 bytes Hidden from Windows API.
C:\..\DATA.EXE 08.05.2006 18:13 43.28 KB Hidden from Windows API.

#2 rheingold - trallalaaaaaaaaaa ..hust...du kannst das besser

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\F.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB039.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFC2BA.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB029.tmp
C:\Windows\hosts

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

««
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
http://virus-protect.org/reinigungstoolsregistry.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi sabina

danke dir für deine hilfe! hoffe es geht dir gut. meinem compi noch nicht ganz denke ich...es liessen sich nicht alle dateien löschen, das log vom avenger folgt:

übrigens hat mir der compi auch hier gesagt, dass die datei beschädigt wäre und ich chkdsk ausführen solle. kann ich das einentlich ohne gefahren machen? was sagst du dazu? und warum werden programme bzw. dateien plötzlich beschädigt? das ist doch seltsam?

liebe grüsse!!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ygfhhlnx

*******************

Script file located at: \??\C:\srifomph.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\F.exe deleted successfully.


File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB039.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB039.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB039.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFC2BA.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFC2BA.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFC2BA.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB029.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB029.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFB029.tmp
Status: 0xc0000034

File C:\Windows\hosts deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

die anderen beiden punkte habe ich ebenfalls ausgeführt, tune up scheint es sehr feines programm zu sein. hat noch einiges gefunden obwohl ich regsearch verwende...

#4 du kannst chkdsk ausführen, dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi sabina,

chkdsk ausgeführt und noch mal tune up ausgeführt. aber noch immer sind ein paar temp dateien vorhanden ich poste gleich nochmal datfind logs.

soll ich auch die 0 byte datein löschen lassen? (diese option ist nicht angekreuzt von tune up.)

liebe grüsse und danke!!

ps: was sagst du zu den suchresultaten vom rootkitr.?
HKLM\S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData* 13.04.2006 19:34 0 bytes Key name contains embedded nulls (*)
C:\.. 08.05.2006 18:13 0 bytes Hidden from Windows API.
C:\..\DATA.EXE 08.05.2006 18:13 43.28 KB Hidden from Windows API.

hier das log:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\DOKUME~1\horst\LOKALE~1\Temp

20.10.2006 09:12 285 eud1.htm
20.10.2006 01:40 16.384 ~DFC298.tmp
20.10.2006 01:40 16.384 ~DFBC6F.tmp
20.10.2006 01:32 0 xp120D.tmp
20.10.2006 01:29 0 abw20C.tmp
20.10.2006 01:12 0 8p1203.tmp
20.10.2006 00:44 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13161.html
19.10.2006 19:11 416 java_install_reg.log
8 Datei(en) 34.452 Bytes
0 Verzeichnis(se), 7.997.456.384 Bytes frei

#6 - Rootkitrevealer-Eintrag ist o.k.
- 0 byte - kannst du lassen

Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\eud1.htm
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFC298.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\~DFBC6F.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\xp120D.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\abw20C.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\8p1203.tmp

««
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

_________

Kommt noch die meldung ? - chkdsk ausführen
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi sabina!

mit avenger hat es diesmal funktioniert und auch chkdsk ausgeführt > keine meldungen mehr.

habe f-secure eigentlich auch downgeloaded, der fand aber nix, online schon. hier der report (leider geht daraus nix hervor - also die genaue quelle oder bezeichnung, oder?):

danke dir!

Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 3 malware found
Possible Browser Hijack attempt (spyware)

* System (Disinfected)

Tracking Cookie (spyware)

* System (Disinfected)

Windows (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 41402
* System: 4819
* Not scanned: 2

Actions:

* Disinfected: 3
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-10-20
* F-Secure Libra: 2.4.1, 2006-10-20
* F-Secure Orion: 1.2.37, 2006-10-20
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Pegasus: 1.19.0, 2006-08-29
* F-Secure Draco: 1.0.35, 0259-24-212

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

#8 also alles sauber

der Virus war hier:
File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\F.exe deleted successfully.

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip
und dann wuensche ich dir alles Gute ...traaaaaaalllalalaaaa
Wann singst du mal in Lissabon ????
__________
MfG Sabina

rund um die PC-Sicherheit

#9 super, danke sabina.

frage mich nur, warum antivir den nicht gefunden hat...bzw. weiss ich nicht was trendmicro unter diesem seltsamen troianer (delf.nq) versteht...aber gut, dass alles sauber ist. supi

liebe grüsse und danke

#10

Zitat

da der thread "troianer tspy_delf.nq..." schon geschlossen ist, schreibe ich dir diese nachricht: trend micro erkennt trotz durchgeführter reinigungsversuche noch immer diesen seltsamen troianer. keine ahnung was ich davon halten soll.

um dir noch genauer bescheid zu geben schicke ich anbei die infos, die trendmicro hinzufügt. vielleicht hast du noch eine idee, oder öffnest noch mal den thread. sorry, dass ich dich auf diesem wege belange...

danke dir und liebe grüsse

horst

Einzelheiten
Name DisableRegistryTools
Datenbank-ID 87666
Speicherort
Fundort Windows Registrierung

Pfad S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System
Beschreibung Datenschutzbedrohungen können in Ihrer Registrierung bestimmte Einträge erstellen, durch die sie beispielsweise Informationen zur Konfiguration oder persönliche Daten speichern können.

Bedrohung
Bedrohung Trojaner

Erstellt von
Unternehmen TSPY_Delf.NQ

__________
MfG Sabina

rund um die PC-Sicherheit

#11 gehe in die registry
Start - Ausfuehren - regedit
klicke dich durch zum Schluessel

S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System

du kannst oben links auf "exportieren" klicken und die Datei als txt-Datei abspeichern - und hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#12 danke sabina fürs erneute öffnen des threads.

uje: weiss nicht, was hier schief läuft, aber obwohl ich als administrator angemeldet bin sagt mir mein compi, dass das zugreifen auf die registry durch den administrator verweigert wurde...ich war es jedenfalls nicht - o mein gott...

daher kann ich dir vorerst nichts weiteres zum schlüssel sagen, hast du eine idee, wie ich das ändern kann?

lg rheingold

#13 Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#14 dankschön, sabina, hier das log vom hijack.
bei der automatischen logfile auswertung wird der rote eintrag als böse eingestuft. ich habe aber keine ahnung, wieso der auf einmal drinsteht. ich habe nichts geändert und auch regelmässig mit hijackthis gesucht. hat aber nie ein problem gefunden...

lg rheingold

Logfile of HijackThis v1.99.1
Scan saved at 18:58:51, on 25.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\TrojanHunter 4.6\THGuard.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Qualcomm\Eudora\Eudora.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.6\THGuard.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146581661551
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146581960771
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4754/mcfscan.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

#15 fixe mit dem HijackThis + danach neustarten

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

dann kommst du wieder in die Registry............
__________
MfG Sabina

rund um die PC-Sicherheit