Trojaner Virtumonde

#1 Hab leider ein Problem mit dem Trojaner Virtumonde.

Ich hab ein Logfile mit HijackThis erstellt.
Auf meinem Pc hab ich das Tool Spyware Doctor installiert.Der Trojaner ist im Moment in Quarantäne. Ich hab auch noch Norton 360, aber das ist keine große Hilfe.

Bitte kann sich das mal jemand ansehen. für Hilfe bin ich sehr dankbar.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:06, on 02.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\BearShare\BearShare.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqpo.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {36CF591C-1F45-42D0-9970-3BF6F647B6C8} - C:\WINDOWS\system32\ssqpo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {80BB55D5-0982-4A14-95AE-B5B293FF85B6} - C:\WINDOWS\system32\ddcddcy.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [BearFlix] "D:\Programme\BearFlix\BearFlix.exe" /pause
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ .exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {29710C4C-4F0F-4A36-8312-CB5614829804} (DriverDetectiveNonMembers.nonmembers) - http://www.drivershq.com/files/cab/nonmember/DriverDetective-nm.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156760399578
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: ddcddcy - C:\WINDOWS\SYSTEM32\ddcddcy.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10081 bytes

#2 Hallo FL()

1.
scanne mit vundofix
http://www.virus-protect.org/artikel/tools/vundofixx.html

2.
poste das log von Combofix hier
http://www.virus-protect.org/artikel/tools/combofix.html

3.
poste die logs von datfindbat ( 2 monate von jedem Log genuegen)
http://www.virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 vundofix hat nichts gefunden:

VundoFix V6.7.7

Checking Java version...

Sun Java not detected
Scan started at 20:21:20 03.01.2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Hier das Log von Combofix:
ComboFix 08-01-03.1 - Roosen 2008-01-03 20:08:25.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.655 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Roosen\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden
C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINDOWS\system32\ddcddcy.dll
C:\WINDOWS\system32\hajhuild.dll
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\ybeeg.ini2
.
---- Previous Run -------
.
C:\_install.exe nicht gefunden
C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\7BKWLUWK\www.broadcaster.com
C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINDOWS\system32\ddcddcy.dll
C:\WINDOWS\system32\hajhuild.dll
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\ybeeg.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-03 bis 2008-01-03 ))))))))))))))))))))))))))))))
.

2008-01-02 19:51 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 14:45 . 2007-05-29 13:55 22,112 --a------ C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-02 14:45 . 2007-05-29 13:55 10,592 --a------ C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-01-02 14:45 . 2007-05-29 13:55 705 --a------ C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-02 14:35 . 2008-01-02 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\Symantec
2008-01-02 14:31 . 2007-03-21 20:33 503,808 --a------ C:\WINDOWS\system32\MSVCP71.DL1
2008-01-02 14:31 . 2007-03-21 20:33 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DL1
2008-01-02 14:16 . 2008-01-02 14:16 16 --a------ C:\WINDOWS\system32\coh.cache
2008-01-02 14:09 . 2008-01-02 14:28 <DIR> d-------- C:\Programme\Symantec
2008-01-02 14:09 . 2008-01-02 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-02 14:09 . 2008-01-02 14:28 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-01-02 14:09 . 2008-01-02 14:28 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-01-02 14:09 . 2008-01-02 14:28 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-01-02 14:09 . 2008-01-02 14:28 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-12-31 15:43 . 2007-12-31 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\Talkback
2007-12-31 14:33 . 2007-12-31 14:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-12-31 14:30 . 2007-12-31 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-12-31 12:43 . 2008-01-03 20:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-31 12:43 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-31 12:43 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-31 12:43 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-31 12:43 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-31 12:42 . 2008-01-02 14:11 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-31 12:42 . 2007-12-31 12:42 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\PC Tools
2007-12-31 12:41 . 2008-01-02 19:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-12-11 20:46 . 2007-12-11 20:46 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 20:46 . 2007-12-11 20:46 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-12-11 20:46 . 2007-12-11 20:46 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2007-12-11 20:46 . 2007-12-11 20:46 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2007-12-11 20:45 . 2007-12-11 20:45 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 20:45 . 2007-12-11 20:45 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 20:43 . 2007-12-11 20:43 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-11 20:43 . 2007-12-11 20:43 8,523 --a------ C:\WINDOWS\system32\dpude.qm
2007-12-11 20:43 . 2007-12-11 20:43 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-03 19:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-02 12:47 --------- d-----w C:\Programme\avmwlanstick
2007-12-31 14:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-31 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-12-31 13:28 --------- d-----w C:\Programme\Google
2007-12-30 18:42 --------- d-----w C:\Programme\QuickTime
2007-12-25 18:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-01 16:42 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-01 16:42 22,328 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\PnkBstrK.sys
2007-11-30 22:57 43,696 ----a-w C:\WINDOWS\system32\drivers\srtspx.sys
2007-11-30 22:57 317,616 ----a-w C:\WINDOWS\system32\drivers\srtspl.sys
2007-11-30 22:57 279,088 ----a-w C:\WINDOWS\system32\drivers\srtsp.sys
2007-11-30 22:57 10,549 ----a-w C:\WINDOWS\system32\drivers\srtspx.cat
2007-11-30 22:57 10,549 ----a-w C:\WINDOWS\system32\drivers\srtspl.cat
2007-11-30 22:57 10,545 ----a-w C:\WINDOWS\system32\drivers\srtsp.cat
2007-11-30 22:57 1,430 ----a-w C:\WINDOWS\system32\drivers\srtspl.inf
2007-11-30 22:57 1,421 ----a-w C:\WINDOWS\system32\drivers\srtspx.inf
2007-11-30 22:57 1,415 ----a-w C:\WINDOWS\system32\drivers\srtsp.inf
2007-11-21 14:43 --------- d-----w C:\Programme\Analog Devices
2007-11-17 15:53 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-11-16 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-16 17:22 --------- d-----w C:\Programme\AGEIA Technologies
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-07-27 18:05 47,360 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\pcouffin.sys
2007-07-14 16:21 87,608 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\ezpinst.exe
2006-10-01 12:10 1 ----a-w C:\Dokumente und Einstellungen\Roosen\SI.bin
2006-09-11 17:55 19,560 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-04-27 08:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

Code

----a-w         1,398,272 2007-12-31 11:32:00  C:\Programme\Ahead\InCD\InCD .exe
----a-w         1,961,984 2007-12-31 11:54:35  C:\Programme\Ahead\Nero BackItUp\NBJ .exe
----a-w            77,824 2007-12-31 11:32:06  C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt .exe
----a-w           868,352 2007-12-31 11:32:12  C:\Programme\Analog Devices\Core\smax4pnp .exe
----a-w           729,088 2007-12-31 11:54:41  C:\Programme\Analog Devices\SoundMAX\Smax4 .exe
----a-w           343,552 2007-12-31 11:32:06  C:\Programme\avmwlanstick\FRITZWLANMini .exe
----a-w            32,768 2007-12-31 11:31:57  C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ .exe
----a-w            81,920 2007-12-31 11:32:03  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
----a-w           221,184 2007-12-31 11:32:02  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe
----a-w           180,269 2007-12-31 11:32:04  C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe
----a-w           132,496 2007-12-31 11:31:59  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w            45,056 2007-12-31 11:32:01  C:\Programme\Mobile Phone Manager\SmartSync\SCHEDU~1 .EXE
----a-w           282,624 2007-12-31 11:56:22  C:\Programme\QuickTime\qttask .exe
----a-w           204,288 2007-12-31 11:32:14  C:\Programme\Windows Media Player\WMPNSCFG .exe

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36CF591C-1F45-42D0-9970-3BF6F647B6C8}]
C:\WINDOWS\system32\ssqpo.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ .exe" [ ]
"PowerBar"="" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 14:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [ ]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"BearShare"="D:\Programme\BearShare\BearShare.exe" [2006-07-26 12:48 3305472]
"SmartSync - ScheduleSync"="C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [ ]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [ ]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask .exe" [ ]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [ ]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [ ]
"BearFlix"="D:\Programme\BearFlix\BearFlix.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 17:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [ ]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [ ]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-10-13 21:00]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-06-11 01:00]
S3 cdiskdun;cdiskdun;C:\DOKUME~1\Roosen\LOKALE~1\Temp\cdiskdun.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 01:00]
S3 SE4501D;Gigaset USB Adapter 54 Driver;C:\WINDOWS\system32\DRIVERS\SE4501D.sys [2004-06-02 02:43]
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2006-01-23 14:15]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3bb67f8-d6fa-11db-858a-00173180814d}]
\Shell\AutoRun\command - G:\pushinst.exe

*Newly Created Service* - COMHOST

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{303FD28C-557B-C7BC-0308-040401080807}]
C:\WINDOWS\system32\explorer32.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-03 20:12:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-03 20:13:46 - machine was rebooted [Roosen]
ComboFix-quarantined-files.txt 2008-01-03 19:13:43
.
2007-12-11 21:09:47 --- E O F ---

Und zum Schluss datfindbat:

erzeichnis von C:\WINDOWS\system32

03.01.2008 20:11 13.646 wpa.dbl
02.01.2008 14:28 60.800 S32EVNT1.DLL
02.01.2008 14:16 16 coh.cache
31.12.2007 14:30 185.688 rmoc3260.dll
31.12.2007 14:29 5.632 pndx5032.dll
31.12.2007 14:29 6.656 pndx5016.dll
31.12.2007 14:29 278.528 pncrt.dll
31.12.2007 12:44 401.064 perfh009.dat
31.12.2007 12:44 62.344 perfc009.dat
31.12.2007 12:44 74.996 perfc007.dat
31.12.2007 12:44 415.470 perfh007.dat
31.12.2007 12:44 966.250 PerfStringBackup.INI
15.12.2007 16:45 113.376 FNTCACHE.DAT
11.12.2007 22:08 387.268 TZLog.log
11.12.2007 20:46 10.152 dsm_de.qm
11.12.2007 20:46 524.288 DivXsm.exe
11.12.2007 20:46 4.816 divxsm.tlb
11.12.2007 20:46 3.596.288 qt-dx331.dll
11.12.2007 20:45 1.044.480 libdivx.dll
11.12.2007 20:45 200.704 ssldivx.dll
11.12.2007 20:44 416 dpl100.dll.manifest
11.12.2007 20:44 81.920 dpl100.dll
11.12.2007 20:44 416 dtu100.dll.manifest
11.12.2007 20:44 196.608 dtu100.dll
11.12.2007 20:44 53.248 dpuGUI10.dll
11.12.2007 20:44 294.912 dpu11.dll
11.12.2007 20:44 344.064 dpus11.dll
11.12.2007 20:44 57.344 dpv11.dll
11.12.2007 20:44 593.920 dpuGUI11.dll
11.12.2007 20:44 294.912 dpu10.dll
11.12.2007 20:44 823.296 divx_xx07.dll
11.12.2007 20:44 682.496 DivX.dll
11.12.2007 20:44 802.816 divx_xx11.dll
11.12.2007 20:44 823.296 divx_xx0c.dll
11.12.2007 20:44 630.784 divxdec.ax
11.12.2007 20:44 156.992 DivXCodecVersionChecker.exe
11.12.2007 20:43 12.288 DivXWMPExtType.dll
11.12.2007 20:43 3.136 dtu_de.qm
11.12.2007 20:43 8.523 dpude.qm
03.12.2007 00:00 18.684.536 MRT.exe
01.12.2007 17:41 103.736 PnkBstrB.exe
01.12.2007 17:41 66.872 PnkBstrA.exe
01.12.2007 17:41 669.184 pbsvc.exe
21.11.2007 15:33 140.158 nvapps.xml
13.11.2007 12:31 60.416 tzchange.exe
31.10.2007 00:19 3.590.656 mshtml.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll

Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\DOKUME~1\Roosen\LOKALE~1\Temp

03.01.2008 20:40 107.611 datfind.txt
01.01.2008 00:16 244 1F1205F7.TMP
2 Datei(en) 107.855 Bytes
0 Verzeichnis(se), 10.432.802.816 Bytes frei

Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS

03.01.2008 20:22 1.976.130 WindowsUpdate.log
03.01.2008 20:16 293 avmcowlan.log
03.01.2008 20:16 618.685 setupapi.log
03.01.2008 20:11 227 system.ini
03.01.2008 20:11 0 0.log
03.01.2008 20:11 159 wiadebug.log
03.01.2008 20:11 50 wiaservc.log
03.01.2008 20:11 2.048 bootstat.dat
03.01.2008 20:10 32.560 SchedLgU.Txt
03.01.2008 20:04 0 MEMORY.DMP
02.01.2008 14:10 506 GEARInstall.log
30.12.2007 14:25 32 CD_Start.INI
22.12.2007 13:59 116 NeroDigital.ini
11.12.2007 22:08 137.631 iis6.log
11.12.2007 22:08 297.705 comsetup.log
11.12.2007 22:08 1.393 imsins.log
11.12.2007 22:08 178.657 ntdtcsetup.log
11.12.2007 22:08 333.868 tsoc.log
11.12.2007 22:08 47.739 ocmsn.log
11.12.2007 22:08 32.186 KB942763.log
11.12.2007 22:08 417.093 ocgen.log
11.12.2007 22:08 43.513 msgsocm.log
11.12.2007 22:08 864.753 FaxSetup.log
11.12.2007 22:08 1.393 imsins.BAK
11.12.2007 22:08 18.721 KB941569.log
11.12.2007 22:08 25.809 KB942615-IE7.log
11.12.2007 22:07 150.080 updspapi.log
11.12.2007 22:07 12.629 KB941568.log
11.12.2007 22:07 13.239 KB944653.log
01.12.2007 17:41 385.327 DirectX.log
21.11.2007 15:43 16.282 SMinstall.log
21.11.2007 15:41 6.072 KB888111.log
16.11.2007 18:22 7.788 DIFx.log
16.11.2007 15:06 8.155 KB943460.log
02.11.2007 13:40 280 game.ini
10.10.2007 17:03 12.590 KB933729.log
10.10.2007 17:02 22.614 KB939653-IE7.log
10.10.2007 17:02 10.606 KB941202.log
05.10.2007 19:09 49 iltwain.ini
05.10.2007 19:09 246 phedit.ini
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS\temp

03.01.2008 20:17 0 JET91C8.tmp
03.01.2008 20:17 0 JET912B.tmp
2 Datei(en) 0 Bytes
0 Verzeichnis(se), 10.432.790.528 Bytes frei

atenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.08.2007 09:39 2.635.280 ImageUploader4.ocx
28.08.2007 09:39 378 ImageUploader4.inf
11.06.2007 11:21 5.021 swflash.inf
03.05.2007 15:35 300 setup.inf
04.12.2006 15:16 144 QTPlugin.inf
25.08.2006 20:01 65 desktop.ini
27.07.2006 12:52 367 LegitCheckControl.inf
25.06.2006 12:50 1.793 erma.inf
30.05.2006 20:13 1.394 DriverDetective-nm.INF
30.05.2006 20:13 77.824 DriverDetective-nm.ocx
26.05.2005 03:19 293 muweb.inf
16.06.2004 06:02 323.584 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
14 Datei(en) 3.267.627 Bytes
0 Verzeichnis(se), 10.432.790.528 Bytes frei
.


Ich hoffe das hilft weiter. Danke ich wüsste nicht was ich ohne das Forum machen würde.

#4 Koenntest du in einer Dosbox folgendes eingeben, enter druecken und das Ergebniss posten, bitte?

attrib.exe %systemdrive%\_install.exe /s
__________
MfG Ralf
SEO-Spam Hunter

#5 «
zusätzlich:
du kannst auch die folgende Datei ueberpruefen lassen:
http://www.virustotal.com/de/

C:\WINDOWS\system32\explorer32.exe
C:\WINDOWS\system32\ssqpo.exe

poste hier die logs
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 Ich hab ein paar Probleme

@raman
Wenn ich in der Dosbox den Befehl eingebe, dann passiert nichts weiter. Dann wird es zwar ausgeführt, aber ich weiß nicht, wo ich dann Ergebnisse sehe.

@pinquin
Hier die Datei: C:\WINDOWS\system32\explorer32.exe

Datei explorer32 empfangen 2008.01.03 13:06:40 (CET)
Status: Beendet

Ergebnis: 0/32 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.3.10 2008.01.02 -
AntiVir 7.6.0.46 2008.01.03 -
Authentium 4.93.8 2008.01.02 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.02 -
BitDefender 7.2 2008.01.03 -
CAT-QuickHeal 9.00 2008.01.02 -
ClamAV 0.91.2 2008.01.03 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.02 -
eTrust-Vet 31.3.5427 2008.01.03 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.03 -
Fortinet 3.14.0.0 2008.01.03 -
F-Prot 4.4.2.54 2008.01.02 -
F-Secure 6.70.13030.0 2008.01.03 -
Ikarus T3.1.1.15 2008.01.03 -
Kaspersky 7.0.0.125 2008.01.03 -
McAfee 5198 2008.01.03 -
Microsoft 1.3109 2008.01.03 -
NOD32v2 2763 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 -
Prevx1 V2 2008.01.03 -
Rising 20.25.32.00 2008.01.03 -
Sophos 4.24.0 2008.01.03 -
Sunbelt 2.2.907.0 2008.01.03 -
Symantec 10 2008.01.03 -
TheHacker 6.2.9.178 2008.01.03 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.02 -
Webwasher-Gateway 6.6.2 2008.01.03 -
weitere Informationen
File size: 3915354 bytes
MD5: 37c1968858b4abc8990b27f8259a67d5
SHA1: fa7a9727ea1772110e119764e5f26c5a11c3a8a2
PEiD: -

Die Datei: C:\WINDOWS\system32\ssqpo.exe
gibt es leider nicht mehr.

#7 FL()

sofern die Einträge noch vorhanden sind:

Setze ein Häckchen in das Kästchen vor den genannten Eintrag wähle fix checked. + starte den Rechner neu.

Zitat

F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqpo.exe

O2 - BHO: (no name) - {36CF591C-1F45-42D0-9970-3BF6F647B6C8} - C:\WINDOWS\system32\ssqpo.dll (file missing)

O2 - BHO: (no name) - {80BB55D5-0982-4A14-95AE-B5B293FF85B6} - C:\WINDOWS\system32\ddcddcy.dll

O20 - Winlogon Notify: ddcddcy - C:\WINDOWS\SYSTEM32\ddcddcy.dll

»»
scanne mit sdfix im abgesichertem.Modus + poste hier das log
http://www.virus-protect.org/artikel/tools/sdfix.html

dann klicke noch mal sdfix, aber im normalmodus - wähle Sophos, scanne mit Option 6 - und poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 So der Bericht im abgesicherten Modus:


SDFix: Version 1.122

Run by Roosen on 04.01.2008 at 17:34

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 17:39:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Fri 13 May 2005 217,073 A.SHR --- "C:\WINDOWS\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINDOWS\MOTA113.exe"
Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINDOWS\x2.64.exe"
Fri 7 Oct 2005 308,224 A.SHR --- "C:\WINDOWS\system32\avisynth.dll"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINDOWS\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINDOWS\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"
Sat 24 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\i420vfw.dll"
Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINDOWS\system32\Smab.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINDOWS\system32\x.264.exe"
Sat 24 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\yv12vfw.dll"
Thu 28 Sep 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 19 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Sun 2 Dec 2007 5,999 ...HR --- "C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Thu 28 Sep 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Roosen\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sat 30 Sep 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Roosen\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Thu 28 Sep 2006 9,655 A.SH. --- "C:\Dokumente und Einstellungen\Roosen\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"

Finished!

Und hier der Sohpos Bericht:
Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332274 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 17:45:31, System date 04 January 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE
Full Scanning

Could not check C:\Dokumente und Einstellungen\Roosen\Lokale Einstellungen\Temporary Internet Files\Content.MSO\2440C823.doc (corrupt)
>>> Virus 'W32/VirtInf-B' found in file C:\System Volume Information\_restore{C4F8522E-3531-49DD-8F63-3FF321ED7A3F}\RP392\A0111826.exe
Removal successful
>>> Virus 'W32/VirtInf-B' found in file C:\System Volume Information\_restore{C4F8522E-3531-49DD-8F63-3FF321ED7A3F}\RP392\A0111828.exe
Removal successful
>>> Virus 'W32/VirtInf-B' found in file C:\System Volume Information\_restore{C4F8522E-3531-49DD-8F63-3FF321ED7A3F}\RP392\A0111830.exe
Removal successful

(verkürzt.. von @Pinguin)

#9 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren...

»
scanne mit dr.web und poste den Report
http://www.virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 So hier der prüfbericht von Dr. Web:

Leider ist der Bericht zu lang. Daher hab ich ihn als Datei beigefügt.

#11 Hallo,

es müsste wieder alles i.o. sein - du kannst noch mit deinem Virenscanner im abgesicherten Modus scannen.
berichte dann, ob noch etwas gefunden wurde....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Vielen dank für die Hilfe.

Sollte man diese Programme öfter ausführen oder nur bei wirklich gefährlichen Viren?