Unbekannter Virus lässt sich nicht entfernen!!!

#1 Hallo!

Nun habe auch ich das Problem, dass sich ein oder mehrere Schadprogramme eingenistet haben, die ich partout nicht mer loswerde...:-(
Popups tun sich auf, der Virenscanner piept sich wund, ich habe auch nach intensivem stöbern hier im Forum keine Möglichkeit gefunden, das Ding loszuwerden!

Danke für eure Bemühungen!!!

---

Logfile of HijackThis v1.99.1
Scan saved at 20:31:54, on 13.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\LeechGet 2006\LeechGet.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3060917
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {287FF496-118D-4455-A33C-3E8C8BAF1477} - C:\WINDOWS\system32\yayxwvt.dll
O2 - BHO: (no name) - {6ACAC283-43BE-4FEE-9C32-1B9F8E412ADD} - C:\WINDOWS\system32\awtqp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2006\LeechGet.exe" -intray
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{0809DA3B-806F-4F2A-8A99-0B33BD8E86F7}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS1\Services\Tcpip\..\{0809DA3B-806F-4F2A-8A99-0B33BD8E86F7}: NameServer = 139.7.30.125 139.7.30.126
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: awtqp - C:\WINDOWS\system32\awtqp.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: yayxwvt - C:\WINDOWS\SYSTEM32\yayxwvt.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

---
---
---
Combo-Fix stürzt mit einem unbekannten Softwarefehler ab...

---
---
---
DatFind

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9878-A952

Verzeichnis von C:\WINDOWS\system32

13.04.2007 20:43 510.908 pqtwa.ini
13.04.2007 20:25 503.454 pqtwa.bak1
13.04.2007 20:25 280.676 awtqp.dll
13.04.2007 20:19 423.474 perfh009.dat
13.04.2007 20:19 71.640 perfc009.dat
13.04.2007 20:19 438.886 perfh007.dat
13.04.2007 20:19 84.728 perfc007.dat
13.04.2007 20:19 1.030.862 PerfStringBackup.INI
13.04.2007 20:15 51.048 nvapps.xml
13.04.2007 20:15 47.219 nvModes.001
13.04.2007 20:15 2.206 wpa.dbl
13.04.2007 20:14 43.941 OODBS.lor
13.04.2007 20:13 4.254 jupdate-1.6.0_01-b06.log
13.04.2007 19:53 504.572 ghkmp.ini
13.04.2007 19:13 503.468 ghkmp.bak1
13.04.2007 15:24 0 SBRC.dat
13.04.2007 15:24 0 SBFC.dat
13.04.2007 11:51 47.219 nvModes.dat
12.04.2007 22:34 26.694 qomlkjk.dll
12.04.2007 22:33 26.694 yayxwvt.dll
04.04.2007 16:46 298.848 FNTCACHE.DAT
03.04.2007 22:48 13.511.640 MRT.exe
24.03.2007 20:24 108.144 CmdLineExt.dll
17.03.2007 15:44 293.376 winsrv.dll
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
09.03.2007 13:51 270.336 xpsp3res.dll
09.03.2007 09:57 27.376 SBBD.exe
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:06 2.140.160 ntoskrnl.exe
28.02.2007 18:06 2.019.840 ntkrnlpa.exe
27.02.2007 00:05 9.857 jupdate-1.5.0_11-b03.log
16.02.2007 10:06 122.142 TZLog.log
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
08.02.2007 16:52 4.212 zllictbl.dat
05.02.2007 23:45 8.464 SpOrder.dll
05.02.2007 22:18 185.856 upnphost.dll
05.02.2007 21:54 43.520 CmdLineExt03.dll
03.02.2007 00:09 21.840 SIntfNT.dll
03.02.2007 00:09 17.212 SIntf32.dll
03.02.2007 00:09 12.067 SIntf16.dll
01.02.2007 06:56 823.296 divx_xx07.dll
01.02.2007 06:56 823.296 divx_xx0c.dll
01.02.2007 06:56 802.816 divx_xx11.dll
01.02.2007 06:56 639.066 DivX.dll
01.02.2007 06:55 679.936 divxdec.ax
31.01.2007 23:27 4.816 divxsm.tlb
31.01.2007 23:27 524.288 DivXsm.exe
31.01.2007 01:15 118.784 DivXCodecUpdateChecker.exe
30.01.2007 07:03 10.152 dsm_de.qm
30.01.2007 07:03 3.596.288 qt-dx331.dll
30.01.2007 07:03 1.044.480 libdivx.dll
30.01.2007 07:03 200.704 ssldivx.dll
30.01.2007 06:56 73.728 dpl100.dll
30.01.2007 06:56 196.608 dtu100.dll
30.01.2007 06:56 53.248 dpuGUI10.dll
30.01.2007 06:56 593.920 dpuGUI11.dll
30.01.2007 06:56 344.064 dpus11.dll
30.01.2007 06:56 57.344 dpv11.dll
30.01.2007 06:56 294.912 dpu10.dll
30.01.2007 06:56 294.912 dpu11.dll
30.01.2007 06:56 352.401 DivXMedia.ax
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
19.01.2007 13:53 51.056 sirenacm.dll
12.01.2007 23:47 707.344 oodag.exe
12.01.2007 23:39 121.616 oodbs.exe
12.01.2007 23:30 11.536 oodbsrs.dll
12.01.2007 23:30 17.168 oodagrs.dll
12.01.2007 23:29 18.192 oodagmg.dll
12.01.2007 19:52 16.656 ootmapi.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 822.784 wininet.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe

systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9878-A952

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

13.04.2007 20:42 289 datFind.zip
13.04.2007 20:42 16.384 ~DF4E82.tmp
13.04.2007 20:41 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}12325.html
13.04.2007 20:40 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}28492.html
13.04.2007 20:40 16.384 ~DF9D2C.tmp
13.04.2007 20:40 512 ~DF9D1D.tmp
13.04.2007 20:40 16.384 ~DF9D0E.tmp
13.04.2007 20:40 512 ~DF9CFC.tmp
13.04.2007 20:40 16.384 ~DF9CCF.tmp
13.04.2007 20:40 512 ~DF9CDE.tmp
13.04.2007 20:40 16.384 ~DF9CED.tmp
13.04.2007 20:40 512 ~DF9D3B.tmp
13.04.2007 20:28 512 ~DF110B.tmp
13.04.2007 20:22 16.384 ~DF8AEA.tmp
13.04.2007 20:22 16.384 ~DF8483.tmp
13.04.2007 20:22 512 ~DF8492.tmp
16 Datei(en) 120.010 Bytes
0 Verzeichnis(se), 3.296.944.128 Bytes frei

system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9878-A952

Verzeichnis von C:\WINDOWS

13.04.2007 20:22 10.144 ModemLog_Novatel Wireless Merlin HSDPA Modem.txt
13.04.2007 20:15 0 0.log
13.04.2007 20:15 1.652.699 WindowsUpdate.log
13.04.2007 20:15 315 wiadebug.log
13.04.2007 20:15 50 wiaservc.log
13.04.2007 20:14 2.048 bootstat.dat
13.04.2007 20:14 227 system.ini
13.04.2007 20:14 852 win.ini
12.04.2007 23:32 116 NeroDigital.ini
30.03.2007 21:26 0 Sti_Trace.log
19.03.2007 21:53 688 TxtFiles.CFG
19.03.2007 21:53 7.436 Files.xcp
19.03.2007 21:53 270 SpecKeys.CFG
19.03.2007 21:53 55.114 REG.XCP
12.03.2007 18:31 63 vbaddin.ini
01.03.2007 12:53 1.017 ARPR.INI
28.02.2007 23:48 400 ODBC.INI
28.02.2007 23:24 32 CD_Start.INI
21.02.2007 21:11 375 SIERRA.INI
20.02.2007 22:40 0 PROTOCOL.INI
03.02.2007 03:08 33.477 DIIUnin.dat
30.01.2007 23:27 2.829 DIIUnin.pif
30.01.2007 23:27 102.400 DIIUnin.exe
20.01.2007 14:47 123 Winchat.ini
17.01.2007 21:37 720.896 iun6002.exe
13.01.2007 17:59 80.177 hpfins05.dat

temp.txt --> war leer

down.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9878-A952

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 17:44 367 LegitCheckControl.inf
22.06.2006 11:41 5.032 swflash.inf
2 Datei(en) 5.399 Bytes
0 Verzeichnis(se), 3.296.931.840 Bytes frei

sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9878-A952

Verzeichnis von C:\

13.04.2007 20:46 0 sys.txt
13.04.2007 20:46 355 down.txt
13.04.2007 20:45 117 tmp.txt
13.04.2007 20:45 4.764 system.txt
13.04.2007 20:44 1.128 systemtemp.txt
13.04.2007 20:43 107.720 system32.txt
13.04.2007 20:14 1.887.436.800 pagefile.sys
13.04.2007 20:14 211 boot.ini
23.03.2007 20:57 4.128 INFCACHE.1


:-(

#2 Hi,

bin leider zuhause und habe meine Hilfsmittel nicht,
aber Du solltest folgendes sofort fixen:

Über Joti.org prüfen lassen:
C:\WINDOWS\system32\MRT.exe

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayxwvt


Files to delete:
C:\WINDOWS\system32\awtqp.dll
C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.bak1
C:\WINDOWS\system32\qomlkjk.dll
C:\WINDOWS\system32\yayxwvt.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {287FF496-118D-4455-A33C-3E8C8BAF1477} - C:\WINDOWS\system32\yayxwvt.dll
O2 - BHO: (no name) - {6ACAC283-43BE-4FEE-9C32-1B9F8E412ADD} - C:\WINDOWS\system32\awtqp.dll
O20 - Winlogon Notify: awtqp - C:\WINDOWS\system32\awtqp.dll
O20 - Winlogon Notify: yayxwvt - C:\WINDOWS\SYSTEM32\yayxwvt.dll

Poste alle Logs und ein neues Hijacklog.


http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

Chris

#3 Hi,

Danke für die schnelle Hilfe!

Der Jotti-Dienst ist grade busy, der Avenger liefert folgendes:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ttpblmyb

*******************

Script file located at: \??\C:\WINDOWS\system32\tnsahbby.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\awtqp.dll deleted successfully.
File C:\WINDOWS\system32\ghkmp.ini deleted successfully.
File C:\WINDOWS\system32\ghkmp.bak1 deleted successfully.
File C:\WINDOWS\system32\qomlkjk.dll deleted successfully.
File C:\WINDOWS\system32\yayxwvt.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqp deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayxwvt deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hijack

Logfile of HijackThis v1.99.1
Scan saved at 21:51:19, on 13.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\LeechGet 2006\LeechGet.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3060917
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2006\LeechGet.exe" -intray
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{0809DA3B-806F-4F2A-8A99-0B33BD8E86F7}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS1\Services\Tcpip\..\{0809DA3B-806F-4F2A-8A99-0B33BD8E86F7}: NameServer = 139.7.30.125 139.7.30.126
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

mache jetzt den sdfix...

EDIT!!!!!!!!!

Die MRT.exe ist zum Glück sauber...das wärs noch gewesen...:-/

EDIT!!!


SDFix: Version 1.78

Run by Administrator - 13.04.2007 - 22:13:24,78

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------


Checking For Files with Hidden Attributes:

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Smart Projects\IsoBuster\Help\AHlp.exe
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp

Finished


Du bist am Zug...;-)