Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen?

#1 Hallo zusammen!

Bei mir hat sich auf dem Rechner ein Virus eingefangen, der beim Neustart den Desktophintergund ändert. Nach jedem Neustart habe ich einen blauen Hintergrund und in der Mitte eine Box mit folgender Nachricht:

"Warning Spyware detected on your computer! install an antivirus or spyware remover to clean your computer."

Ich habe den Rechner schon mit AntiVir PE Premium gescannt und auch einiges gefunden, aber leider erscheint der Hintergrund immer noch.

Ich habe schon gesehen, dass einige hier dieses Problem bereits gehabt haben. Ich bin leider kein Experte was Virenbekämpfung angeht, also hoffe ich dass Ihr mir weiterhelfen könnt.

Mein System ist: Windows XP Service Pack 2

Falls ihr sonst noch irgendwelche Infos benötigt sagt mir einfach bescheid.

Schonmal vielen Dank im voraus für Eure Hilfe.

Grüße

Jan

#2 Hallo rectangle

1.
ccleaner. anwenden
http://www.virus-protect.org/ccleaner.html

2.
poste das Logfile von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

3.
Erstelle ein Hijackthis-Logfiles
Anleitung: http://virus-protect.org/hjtkurz.html

Gruss Swiss

#3 Vielen Dank für deine Hilfe!

Hier also das Logfile von ComboFix:

ComboFix 08-03-25.4 - eduard.noel 2008-03-26 10:06:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1016 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\eduard.noel\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 10:11 . 2008-03-26 10:11 269,334 --a------ C:\WINDOWS\system32\adobaloradgnit.bmp
2008-03-26 09:36 . 2008-03-26 09:36 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 06:34 . 2008-03-26 06:34 269,334 --a------ C:\WINDOWS\system32\lcfihkr.bmp
2008-03-25 13:37 . 2008-03-25 13:37 269,334 --a------ C:\WINDOWS\system32\fepsnapcjepkr.bmp
2008-03-25 06:29 . 2008-03-25 06:29 269,334 --a------ C:\WINDOWS\system32\hcfidsjilgr.bmp
2008-03-20 10:38 . 2008-03-26 07:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-20 08:39 . 2008-03-20 08:39 269,334 --a------ C:\WINDOWS\system32\ehkbapkfit.bmp
2008-03-20 06:41 . 2008-03-20 06:41 269,334 --a------ C:\WINDOWS\system32\fmdcb.bmp
2008-03-19 15:59 . 2008-03-19 15:59 269,334 --a------ C:\WINDOWS\system32\falgfqdkj.bmp
2008-03-19 14:39 . 2008-03-19 14:39 269,334 --a------ C:\WINDOWS\system32\edkjmd.bmp
2008-03-19 14:35 . 2008-03-19 14:35 269,334 --a------ C:\WINDOWS\system32\ilgradonap.bmp
2008-03-19 08:57 . 2008-03-19 08:57 <DIR> d-------- C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\AntiVir PersonalEdition Premium
2008-03-19 08:43 . 2008-03-19 08:43 <DIR> d-------- C:\Programme\Avira
2008-03-19 08:43 . 2008-03-19 08:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-19 08:20 . 2008-03-19 08:20 269,334 --a------ C:\WINDOWS\system32\dkbqlojetgf.bmp
2008-03-19 06:50 . 2008-03-19 06:50 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-19 06:35 . 2008-03-19 06:35 269,334 --a------ C:\WINDOWS\system32\pcjedcrql.bmp
2008-03-18 08:41 . 2008-03-26 09:56 340 --a------ C:\WINDOWS\CCD32.INI
2008-03-18 08:32 . 2008-03-18 08:32 269,334 --a------ C:\WINDOWS\system32\snqdsjapcjqd.bmp
2008-03-18 08:15 . 2008-03-18 08:15 <DIR> d-------- C:\Programme\Lavasoft
2008-03-18 08:15 . 2008-03-18 08:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-18 08:15 . 2008-03-18 08:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-18 08:11 . 2008-03-18 08:11 <DIR> d-------- C:\Programme\GPMC
2008-03-18 06:38 . 2008-03-18 06:38 269,334 --a------ C:\WINDOWS\system32\balcbidobmh.bmp
2008-03-17 07:26 . 2008-03-17 07:26 <DIR> d-------- C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com
2008-03-17 07:26 . 2008-03-17 07:26 269,334 --a------ C:\WINDOWS\system32\dorapgb.bmp
2008-03-17 06:43 . 2008-03-18 07:33 <DIR> d-------- C:\Programme\AntiVirusPro
2008-03-17 06:43 . 2008-03-17 06:43 269,334 --a------ C:\WINDOWS\system32\qlormhgbeh.bmp
2008-03-17 06:43 . 2008-03-17 06:43 18,432 --a------ C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
2008-03-05 07:54 . 2008-03-05 07:54 <DIR> d-------- C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Phoenix

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 09:03 --------- d-----w C:\Programme\Spamihilator
2008-03-20 10:34 --------- d-----w C:\Programme\Epo-sys
2008-03-20 09:38 --------- d-----w C:\Programme\Google
2008-03-05 06:46 --------- d-----w C:\Programme\MSDCatalog
2008-02-21 10:58 --------- d-----w C:\Programme\SafeNet Sentinel
2008-02-21 10:58 --------- d-----w C:\Programme\Gemeinsame Dateien\SafeNet Sentinel
2008-02-06 16:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Spielberg DMS
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}]
C:\WINDOWS\system32\iesearch.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-26 06:23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="C:\Programme\CA\eTrustITM\realmon.exe" [2005-12-10 01:57 274432]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 15:23 1189920]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 15:29 1962896]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-10-17 11:47 87584]
"Spamihilator"="C:\Programme\Spamihilator\spamihilator.exe" [2007-08-17 16:24 716800]
"pdfFactory Dispatcher v3"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2006-09-18 13:12 503808]
"BluetoothAuthorizationAgent"="C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe" [2008-03-17 06:43 18432]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-03-19 08:44 249896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=PAVWAIT.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"23232:TCP"= 23232:TCP:asanetwork TCP
"23232:UDP"= 23232:UDP:asanetwork UDP

R2 autod;autod;C:\WINDOWS\system32\Autoserv.exe [2007-10-09 17:11]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-03-19 08:44]
R2 AwnNetMan;asanetwork;C:\Programme\AxoNet Software GmbH\netman\nmsrv.exe [2007-04-27 08:33]
R2 Cb7Dev1;Cb7Dev1;C:\WINDOWS\system32\drivers\Cb7Dev1.sys [2000-02-15 15:45]
R2 Cb7Dev2;Cb7Dev2;C:\WINDOWS\system32\drivers\Cb7Dev2.sys [2000-02-15 15:45]
R2 Cb7Dev3;Cb7Dev3;C:\WINDOWS\system32\drivers\Cb7Dev3.sys [2000-02-15 15:45]
R2 Transbase;Transbase;D:\ETKBMW\transbase\tbmux32.exe [2004-08-05 13:02]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
S2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-03-19 08:44]
S3 CBUSB;CBUSB;C:\WINDOWS\System32\Drivers\cbusb.sys [2006-02-14 17:13]
S4 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 04:22]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 10:11:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\Programme\AxoNet Software GmbH\netman\Netman.exe
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CA\eTrustITM\eaps.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\REPDOC\LCB\asanetwork\RepDoc_asanetwork_Service.exe
C:\WINDOWS\system32\userinit.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 10:13:07 - machine was rebooted [eduard.noel]
ComboFix-quarantined-files.txt 2008-03-26 09:13:04
.
2008-03-12 16:55:20 --- E O F ---


###################################################################
###################################################################


UND HIER DAS LOGFILE VON HIJACK THIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:50, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\system32\Autoserv.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\AxoNet Software GmbH\netman\nmsrv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\Programme\AxoNet Software GmbH\netman\Netman.exe
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CA\eTrustITM\eaps.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
D:\ETKBMW\transbase\tbmux32.exe
C:\Programme\CA\eTrustITM\realmon.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\REPDOC\LCB\asanetwork\RepDoc_asanetwork_Service.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.reifenmeister.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: QuickTalk 2.1 - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - C:\WINDOWS\system32\iesearch.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [BluetoothAuthorizationAgent] C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: RepDoc-asanetwork-Service.lnk = C:\Programme\REPDOC\LCB\asanetwork\RepDoc_asanetwork_Service.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133442687916
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FAUST-NOEL.local
O17 - HKLM\Software\..\Telephony: DomainName = FAUST-NOEL.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FAUST-NOEL.local
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: autod - Unknown owner - C:\WINDOWS\system32\Autoserv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: asanetwork (AwnNetMan) - AxoNet Software GmbH - C:\Programme\AxoNet Software GmbH\netman\nmsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Transbase - Transaction Software, D 81737 Munich - D:\ETKBMW\transbase\tbmux32.exe

--
End of file - 8394 bytes

#4 rectangle

1.
Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001 - in 0 ändern

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 - in 0 ändern

-----------------

2.
http://www.virus-protect.org/artikel/tools/otmoveIt.html

öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\iesearch.dll
C:\WINDOWS\system32\adobaloradgnit.bmp
C:\WINDOWS\system32\lcfihkr.bmp
C:\WINDOWS\system32\fepsnapcjepkr.bmp
C:\WINDOWS\system32\hcfidsjilgr.bmp
C:\WINDOWS\system32\ehkbapkfit.bmp
C:\WINDOWS\system32\fmdcb.bmp
C:\WINDOWS\system32\falgfqdkj.bmp
C:\WINDOWS\system32\edkjmd.bmp
C:\WINDOWS\system32\ilgradonap.bmp
C:\WINDOWS\system32\dkbqlojetgf.bmp
C:\WINDOWS\system32\pcjedcrql.bmp
C:\WINDOWS\system32\snqdsjapcjqd.bmp
C:\WINDOWS\system32\balcbidobmh.bmp
C:\WINDOWS\system32\dorapgb.bmp
C:\WINDOWS\system32\qlormhgbeh.bmp
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com
C:\Programme\AntiVirusPro

Klicke auf den Roten MoveIt!

poste hier das Löschlog, was erscheint

+
PC neustarten

»»
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#5 vielen dank sabina!

hier die infos aus OT MoveIt!:


File/Folder C:\WINDOWS\system32\iesearch.dll not found.
C:\WINDOWS\system32\adobaloradgnit.bmp moved successfully.
C:\WINDOWS\system32\lcfihkr.bmp moved successfully.
C:\WINDOWS\system32\fepsnapcjepkr.bmp moved successfully.
C:\WINDOWS\system32\hcfidsjilgr.bmp moved successfully.
C:\WINDOWS\system32\ehkbapkfit.bmp moved successfully.
C:\WINDOWS\system32\fmdcb.bmp moved successfully.
C:\WINDOWS\system32\falgfqdkj.bmp moved successfully.
C:\WINDOWS\system32\edkjmd.bmp moved successfully.
C:\WINDOWS\system32\ilgradonap.bmp moved successfully.
C:\WINDOWS\system32\dkbqlojetgf.bmp moved successfully.
C:\WINDOWS\system32\pcjedcrql.bmp moved successfully.
C:\WINDOWS\system32\snqdsjapcjqd.bmp moved successfully.
C:\WINDOWS\system32\balcbidobmh.bmp moved successfully.
C:\WINDOWS\system32\dorapgb.bmp moved successfully.
C:\WINDOWS\system32\qlormhgbeh.bmp moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\BrowserObjects moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\StartMenuCurrentUser moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\StartMenuAllUsers moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\HKLMRun\RunOnceEx moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\HKLMRun\RunOnce moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\HKLMRun moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\HKCURun\RunOnceEx moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\HKCURun\RunOnce moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun\HKCURun moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro\Autorun moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com\AntiVirusPro moved successfully.
C:\Dokumente und Einstellungen\eduard.noel\Anwendungsdaten\Anti-Virus-Pro.com moved successfully.
C:\Programme\AntiVirusPro\Quarantine moved successfully.
C:\Programme\AntiVirusPro moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03262008_134825

#6 Lasse mal uebepruefen
ViruTotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal

C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#7 Hallo Arnold, vielen Dank!

Habe es durchlaufen lassen und auch bei einigen eine Warnung bekommen 12/32 (37.5%). Was kann ich nun tun um das Problem endlich zu lösen?

THX

##################################################
##################################################

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.26 -
AntiVir 7.6.0.75 2008.03.26 TR/Peed.A.190
Authentium 4.93.8 2008.03.26 Possibly a new variant of W32/STZ_like!Generic
Avast 4.7.1098.0 2008.03.26 -
AVG 7.5.0.516 2008.03.26 SHeur.BAZN
BitDefender 7.2 2008.03.26 Trojan.Peed.Gen
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.26 -
DrWeb 4.44.0.09170 2008.03.26 Trojan.Packed.142
eSafe 7.0.15.0 2008.03.18 suspicious Trojan/Worm
eTrust-Vet 31.3.5644 2008.03.26 -
Ewido 4.0 2008.03.26 -
F-Prot 4.4.2.54 2008.03.26 W32/STZ_like!Generic
F-Secure 6.70.13260.0 2008.03.26 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.26 -
Ikarus T3.1.1.20 2008.03.26 -
Kaspersky 7.0.0.125 2008.03.26 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 Trojan:Win32/Tibs.FZ
NOD32v2 2974 2008.03.26 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.26 Heuristic: Suspicious File With Outbound Communications
Rising 20.37.22.00 2008.03.26 -
Sophos 4.27.0 2008.03.26 Mal/HckPk-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.255 2008.03.26 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.26 Trojan.Peed.A.190
weitere Informationen
File size: 18432 bytes
MD5: a76ec2d067cb83894b94f132d612fb50
SHA1: 287047c9183fef8b709aceab0d569545d94311de
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3ADA5B5B00F305DC485300B72B9AE800653FA318

#8 ««
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

Klicke auf den Roten MoveIt!

««
scanne mit dr.web im abgesicherten Modus, poste dann hier den report
http://www.virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo sabina!

ich habe nun versucht die datei

C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

mit moveIt zu bewegen. Jedoch wurde die Datei nicht gefunden. Ich habe auch im Verzeichniss gesucht und konnte die Datei nicht finden.

Dr. Web habe ich ausgeführt. Leider komme ich nicht in den abgesicherten Modus, da dass Passwort zur Anmeldung in diesem Modus nicht akzeptiert wird (ich habe keine Ahnung warum...). Hier also das Log von Dr.Web im normalem Modus:

ppctl.dll;c:\programme\gemeinsame dateien\scanner;möglicherweise DLOADER.Trojan;;

muss ich da nun irgendwas machen? desinfizieren? löschen?

Ich kann es kaum erwarten bis dieser Pain in the a.. endlich beendet ist!

Vielen Dank für Eure Hilfe!

#10 Hallo,

«
nicht löschen, gehört zu: eTrust PestPatrol Anti-Spyware, oder hast du selbiges Proggie nicht geladen ?

«
OTMoveIt
klicken: CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

««
lade combofix neu + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo!
ich habe selber relativ wenig bis gar keine ahnung von virenbekämpfung!
habe aber dasselbe problem!
brauche daher eure hilfe.
ich habe zunächst CCleaner durchgeführt.
nun das logfile von ComboFix:

ComboFix 08-07-19.1 - kaesbach 20.07.2008 11:06:32.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.659 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\kaesbach\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Gemeinsame Dateien\{9C22C~1
C:\Programme\rhcrj3j0e53e
C:\WINNT\system32\blphcvj3j0e53e.scr
C:\WINNT\system32\ksl48.bin
C:\WINNT\system32\lphcvj3j0e53e.exe
C:\WINNT\system32\phcvj3j0e53e.bmp
C:\WINNT\system32\xartcd7.sys
C:\WINNT\Web\default.htt . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 ))))))))))))))))))))))))))))))
.

2008-07-20 11:16 . 08-07-20 11:16 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3b8.dat
2008-07-20 11:16 . 08-07-20 11:16 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_29c.dat
2008-07-20 10:48 . 08-07-20 10:48 <DIR> d-------- C:\Programme\CCleaner
2008-07-20 10:47 . 08-07-20 10:47 857,664 --a------ C:\Programme\ccsetup209_slim.exe
2008-07-20 10:43 . 08-07-20 10:43 <DIR> d-------- C:\Programme\WinUtilities
2008-07-20 10:43 . 08-07-20 10:43 47 --a------ C:\WINNT\system32\09wutili.sys
2008-07-15 14:54 . 08-07-15 15:21 <DIR> d-------- C:\DVDVideoSoft
2008-07-15 14:50 . 08-07-15 14:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-15 14:50 . 08-07-15 14:50 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-07-15 14:50 . 08-07-15 14:50 5,869,199 --a------ C:\Programme\FreeYouTubeToMP3Converter.exe
2008-07-15 14:50 . 02-01-05 15:37 344,064 --a------ C:\WINNT\system32\msvcr70.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 09:17 --------- d-----w C:\Dokumente und Einstellungen\kaesbach\Anwendungsdaten\OpenOffice.org2
2008-07-20 09:17 --------- d-----w C:\DOKUME~1\kaesbach\ANWEND~1\OpenOffice.org2
2008-07-19 11:51 --------- d---a-w C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2008-06-16 09:29 22,184 ----a-w C:\Dokumente und Einstellungen\kaesbach\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-06-16 09:29 22,184 ----a-w C:\DOKUME~1\kaesbach\ANWEND~1\GDIPFONTCACHEV1.DAT
2008-05-23 12:27 --------- d-----w C:\Programme\ANSTOSS 3
2008-04-02 19:02 184,449 ----a-w C:\Programme\mp3DC207.exe
2008-03-24 16:03 127,213,758 ----a-w C:\Programme\OOo_2.3.1_Win32Intel_install_wJRE_de.exe
2007-04-30 16:06 4,322,304 ----a-w C:\Programme\aawsepersonal.exe
2007-04-11 11:29 791,803 ----a-w C:\Programme\pkrinstall.exe
2007-01-24 19:49 14,994,392 ----a-w C:\Programme\GoogleEarthWin.exe
2006-12-24 21:20 36,808,256 ----a-w C:\Programme\iTunesSetup.exe
2006-01-10 16:01 271 ---h--w C:\Programme\desktop.ini
2006-01-10 16:01 22,080 ---h--w C:\Programme\folder.htt
2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2007-07-26 23:06 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2007-07-26 23:06 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2007-07-26 23:06 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [07-07-27 13:15 68856]
"internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [05-08-12 15:43 45056]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [01-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [07-09-25 02:11 132496]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-07-18 13:57 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-10-25 19:58 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [06-10-30 10:36 256576]
"Synchronization Manager"="mobsync.exe" [03-06-20 14:00 112400 C:\WINNT\system32\mobsync.exe]
"SoundMan"="SOUNDMAN.EXE" [04-12-01 09:54 77824 C:\WINNT\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 14:00 189712]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 02:19:50 217193]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

C:\DOKUME~1\kaesbach\STARTM~1\PROGRA~1\AUTOST~1\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]
phase6_Erinnerung.lnk - C:\Dokumente und Einstellungen\kaesbach\Eigene Dateien\phase6\phase6_V1_5\WinStart\WinStart.exe [2004-03-20 22:04:51 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 13:05 ]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-lphcvj3j0e53e - C:\WINNT\system32\lphcvj3j0e53e.exe
HKLM-Run-SMrhcrj3j0e53e - C:\Programme\rhcrj3j0e53e\rhcrj3j0e53e.exe


**************************************************************************

disk not found C:\

please note that you need administrator rights to perform deep scan
Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\SOUNDMAN.EXE [1012]
C:\Programme\ATI Technologies\ATI.ACE\cli.exe [952]
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [1176]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [1184]
C:\Programme\QuickTime\qttask.exe [1192]
C:\Programme\iTunes\iTunesHelper.exe [1200]
C:\WINNT\system32\internat.exe [1224]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [1236]
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [1252]
C:\Programme\OpenOffice.org 2.3\program\soffice.exe [1336]
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN [1260]
C:\WINNT\system32\CMD.EXE [1456]
C:\Programme\ATI Technologies\ATI.ACE\cli.exe [1452]
C:\Programme\ATI Technologies\ATI.ACE\cli.exe [1648]
C:\ComboFix\catchme.cfexe [1612]
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 11:18:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-20 09:18:33

Pre-Run: 42,092,335,104 Bytes frei
Post-Run: 42,209,734,656 Bytes frei

120






------------------------------------------------------------------------------------------------------------------------------------------------------------------------
hier das logfile von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25:04, on 20.07.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINNT\system32\notepad.exe
C:\WINNT\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: phase6_Erinnerung.lnk = phase6\phase6_V1_5\WinStart\WinStart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136916298968
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1213302025
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 7088 bytes

#12 Hallo tim_kde

Scanne mit Malwarebytes, lass das gefundene löschen und poste den Report:
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#13 Malwarebytes' Anti-Malware 1.21
Datenbank Version: 966
Windows 5.0.2195 Service Pack 4

13:40:52 20.07.2008
mbam-log-7-20-2008 (13-40-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|S:\|)
Durchsuchte Objekte: 83976
Laufzeit: 27 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcrj3j0e53e (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcrj3j0e53e (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\DriveCleaner 2006 Free\UDCShell.dll (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\WINNT\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Delete on reboot.

#14 tim_kde

Du hattest das Fake Programm DriveCleaner 2006 auf deinem Rechner.

>>
scanne, lasse alles loeschen, was angezeigt wird + poste den scanreport
http://virus-protect.org/counterspy1.html

>>
scanne mit Bitdefender und poste den report (danach alles, was gefunden wurde - loeschen lassen)
http://virus-protect.org/onlinescan.html

Gruss Swiss

#15 Scan History Details
Start Date: 20.07.2008 20:06:40
End Date: 20.07.2008 20:39:00
Total Time: 32 Min 20 Sec
Detected security risks

CasinoOnNet Potentially Unwanted Program more information...
Details: CasinoOnNet is an online gambling application that requires users to download software in order to play.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\POKERINSTALLER
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\POKERINSTALLER
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\POKERINSTALLER
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\POKERINSTALLER


KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\KAZAA
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\KAZAA\LocalContent


Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1659004503-1409082233-839522115-1001\SOFTWARE\WGET


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\administrator\cookies\administrator@2o7[1].txt
c:\dokumente und einstellungen\administrator\cookies\administrator@atdmt[2].txt
c:\dokumente und einstellungen\administrator\cookies\administrator@bs.serving-sys[1].txt
c:\dokumente und einstellungen\administrator\cookies\administrator@doubleclick[1].txt
c:\dokumente und einstellungen\administrator\cookies\administrator@serving-sys[2].txt
c:\dokumente und einstellungen\kaesbach\cookies\kaesbach@atdmt[1].txt
c:\dokumente und einstellungen\kaesbach\cookies\kaesbach@doubleclick[1].txt

------------------------------------------------------------------------------------------------------------------------------------------------------------------------
BitDefender Online Scanner



Scan report generated at: Mon, Jul 21, 2008 - 11:04:10





Scan path: C:\;D:\;E:\;







Statistics

Time
00:38:34

Files
275915

Folders
4602

Boot Sectors
0

Archives
2336

Packed Files
9051




Results

Identified Viruses
3

Infected Files
4

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4




Engines Info

Virus Definitions
1382266

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
16

Archive plugins
43

Unpack plugins
7

E-mail plugins
6

System plugins
5




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\QooBox\Quarantine\C\WINNT\system32\lphcvj3j0e53e.exe.vir
Infected with: Trojan.FakeAlert.UT

C:\QooBox\Quarantine\C\WINNT\system32\lphcvj3j0e53e.exe.vir
Disinfection failed

C:\QooBox\Quarantine\C\WINNT\system32\lphcvj3j0e53e.exe.vir
Deleted

C:\QooBox\Quarantine\C\WINNT\system32\phcvj3j0e53e.bmp.vir
Infected with: Trojan.FakeAlert.UM

C:\QooBox\Quarantine\C\WINNT\system32\phcvj3j0e53e.bmp.vir
Deleted

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.EXE
Detected with: Application.Joke.Stressrelief.B

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.EXE
Disinfection failed

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.EXE
Deleted

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.zip=>StressRe.EXE
Detected with: Application.Joke.Stressrelief.B

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.zip=>StressRe.EXE
Disinfection failed

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.zip=>StressRe.EXE
Deleted

D:\Alter PC\Administrator\Eigene Dateien\Downloads\Bildschirmschoner\StressRe.zip
Update failed