AntiVir meldete "TR/Dropper.gen"....

#16 ComboFix 09-01-31.01 - Besucher 2009-02-01 11:26:34.3 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.467 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besucher\Desktop\Sicherheitsordner\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-01 bis 2009-02-01 ))))))))))))))))))))))))))))))
.

2009-02-01 10:21 . 2009-02-01 10:21 <DIR> d-------- c:\dokumente und einstellungen\Favoriten\Viren
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\system32\de-de
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\system32\de
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\system32\bits
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\l2schemas
2009-01-21 13:12 . 2009-01-21 13:12 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-16 10:26 . 2009-01-16 10:26 <DIR> d-------- c:\programme\GameSpy Arcade
2009-01-16 10:22 . 2009-01-16 10:22 <DIR> d-------- c:\programme\Firefly Studios
2009-01-12 03:01 . 2009-01-12 03:01 <DIR> d-------- c:\programme\MSXML 4.0
2009-01-11 16:44 . 2004-08-03 22:29 1,897,408 --------- c:\windows\system32\drivers\nv4_mini.sys
2009-01-11 16:22 . 2009-01-11 16:22 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-11 16:22 . 2009-01-11 16:22 <DIR> d-------- c:\dokumente und einstellungen\Besucher\Anwendungsdaten\Malwarebytes
2009-01-11 16:22 . 2009-01-11 16:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-11 16:22 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-01-11 16:22 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\dllcache\bthport.sys
2009-01-11 16:22 . 2008-08-14 11:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-01-11 16:22 . 2009-01-04 18:41 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-11 16:22 . 2009-01-04 18:41 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-11 16:21 . 2008-12-12 18:01 3,088,896 --------- c:\windows\system32\dllcache\mshtml.dll
2009-01-11 16:21 . 2008-08-14 14:19 2,191,488 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-11 16:21 . 2008-08-14 14:19 2,147,840 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-11 16:21 . 2008-08-14 14:19 2,068,352 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-11 16:21 . 2008-08-14 14:19 2,026,496 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-11 16:21 . 2008-09-15 16:24 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-01-11 16:21 . 2008-10-16 02:00 1,499,136 --------- c:\windows\system32\dllcache\shdocvw.dll
2009-01-11 16:21 . 2008-10-16 02:00 671,744 --------- c:\windows\system32\dllcache\wininet.dll
2009-01-11 16:21 . 2008-10-16 02:00 620,544 --------- c:\windows\system32\dllcache\urlmon.dll
2009-01-11 16:21 . 2008-12-11 11:57 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-01-11 16:20 . 2008-04-11 20:04 691,712 --------- c:\windows\system32\dllcache\inetcomm.dll
2009-01-11 16:20 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-11 16:20 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-01-11 16:20 . 2008-05-08 15:02 203,136 --------- c:\windows\system32\dllcache\rmcast.sys
2009-01-11 16:15 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-01-11 16:15 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-01-11 16:15 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-11 16:15 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\dokumente und einstellungen\Besucher\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-02 18:23 . 2008-08-29 13:59 3,883,008 --a------ c:\windows\system32\Tropix2.scr
2009-01-02 18:23 . 2008-08-01 15:46 258,352 --a------ c:\windows\system32\unicows.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-25 14:07 41,544 ----a-w c:\dokumente und einstellungen\Besucher\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-21 14:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-12-16 10:40 --------- d-----w c:\dokumente und einstellungen\Besucher\Anwendungsdaten\FileZilla
2008-12-16 10:36 --------- d-----w c:\programme\FileZilla FTP Client
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-07 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-12-07 12:20 --------- d-----w c:\programme\LEGO Media
2008-12-07 11:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2008-12-02 22:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MythPeople
2008-09-07 12:12 623 ---ha-w c:\dokumente und einstellungen\Administrator\hpothb07.dat
2008-09-07 12:11 519 ---ha-w c:\programme\hpothb07.tif
2008-09-07 12:11 300 ---ha-w c:\programme\hpothb07.dat
2008-09-07 12:11 0 ---ha-w c:\dokumente und einstellungen\NetworkService\hpothb07.dat
2008-09-07 12:11 0 ---ha-w c:\dokumente und einstellungen\LocalService\hpothb07.dat
2008-09-07 12:11 0 ---ha-w c:\dokumente und einstellungen\Gast\hpothb07.dat
2008-09-07 12:10 0 ---ha-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\hpothb07.dat
2006-11-23 18:41 573 ---ha-w c:\dokumente und einstellungen\Eigene Dateien- karin\hpothb07.dat
2006-08-27 22:55 774,144 ----a-w c:\programme\RngInterstitial.dll
2006-08-24 17:00 8,282,187 ----a-w c:\programme\vlc-0.8.5-win32.exe
2000-07-14 23:00 253,952 ----a-w c:\dokumente und einstellungen\Eigene Dateien- karin\SETUP1.EXE
2008-11-19 10:59 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-11-19 10:59 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-19 10:59 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-11-19 10:59 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-11-19 10:59 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-08-21 36864]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-28 68856]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-05-27 4269296]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-31 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AccG160"="c:\progra~1\WLANQU~1\AccG160.exe" [2004-12-10 98304]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE" [2002-09-09 90112]
"LogitechGalleryRepair"="c:\programme\Logitech\ImageStudio\ISStart.exe" [2002-09-11 155648]
"LogitechImageStudioTray"="c:\programme\Logitech\ImageStudio\LogiTray.exe" [2002-09-11 45056]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-11-23 282624]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-06 185632]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 61440]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-08-21 196608]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mxmc"= MimicICM.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\CIMSVR.exe"=
"c:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\LEGO Media\\Games\\LEGO Schach\\Lego Chess.exe"=
"c:\\Programme\\Microsoft Office\\Office10\\FRONTPG.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [2006-10-23 71072]
.
Inhalt des "geplante Tasks" Ordners

2006-11-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 17:13]

2007-12-20 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1198193456.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]

2007-12-20 c:\windows\Tasks\WebReg 20071221003151.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-06 01:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-01 11:28:53
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(532)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-02-01 11:29:50
ComboFix-quarantined-files.txt 2009-02-01 10:29:50
ComboFix3.txt 2009-01-11 13:29:34
ComboFix2.txt 2009-02-01 09:27:54

Vor Suchlauf: 30 Verzeichnis(se), 23.758.667.776 Bytes frei
Nach Suchlauf: 30 Verzeichnis(se), 23,754,801,152 Bytes frei

181 --- E O F --- 2009-01-21 23:05:36


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1712
Windows 5.1.2600 Service Pack 3

01.02.2009 12:25:05
mbam-log-2009-02-01 (12-25-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 152187
Laufzeit: 43 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________
Danke für Eure super Unterstützung!
Lg Stefan

#17 Entferne via Software den Logitech Desktop Messenger

Entferne Hijack This 1.99.1 und……..

Download: Trend Micro Hijack This™
Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Und ein log von Antivir
__________
MfG Argus

#18 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:58, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Hijack This\hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--
End of file - 8262 bytes




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 2. Februar 2009 10:23

Es wird nach 1304080 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Besucher
Computername: KARIN

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 18:01:34
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 18:31:16
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 18:31:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 18:31:16
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:01:56
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 12:59:14
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 19:17:34
ANTIVIR3.VDF : 7.1.1.209 27648 Bytes 01.02.2009 19:15:28
Engineversion : 8.2.0.70
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 19:17:50
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 30.01.2009 19:17:48
AESCN.DLL : 8.1.1.6 127348 Bytes 30.01.2009 19:17:46
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 18:04:20
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 12:56:30
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 17:01:30
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 30.01.2009 19:17:44
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 17:24:56
AEGEN.DLL : 8.1.1.12 328053 Bytes 30.01.2009 19:17:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:47:28
AECORE.DLL : 8.1.6.3 176501 Bytes 30.01.2009 19:17:36
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:47:28
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 18:31:16
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 18:31:16
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 10:51:40
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 18:31:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 21:18:54
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 18:31:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 21:18:54
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 18:31:16
NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 21:18:54
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 18:31:14
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 18:31:14

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, A:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 2. Februar 2009 10:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hijackthis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ymsgr_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoSTS08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERANTISPYWARE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\Programme\WLAN Quick-Starter\accG160.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] TR/Dropper.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<AccG160>=sz:accG160.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e9bbf4.qua' verschoben!

Die Registry wurde durchsucht ( '67' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besucher\Desktop\Sicherheitsordner\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\Prep.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> 32788R22FWJFW\Tail.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f3bf97.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP114\A0098740.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6c6f1.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP115\A0098784.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6c6f5.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP115\A0098790.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6c6f7.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP115\A0098825.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6c6fa.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP116\A0098968.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6c6ff.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP116\A0098969.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\Prep.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> 32788R22FWJFW\Tail.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6c708.qua' verschoben!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Montag, 2. Februar 2009 11:11
Benötigte Zeit: 48:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8197 Verzeichnisse wurden überprüft
416014 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
416002 Dateien ohne Befall
2225 Archive wurden durchsucht
2 Warnungen
8 Hinweise
__________
Danke für Eure super Unterstützung!
Lg Stefan

#19 Prüfe mal diese Datei(en) bei Virustotal

Zitat

C:\Programme\WLAN Quick-Starter\accG160.exe

Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste die Daten
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus

#20 Hallo Argus,

laut meinem Rechner gibt es diese Datei nicht. Im Order WLAN Quick.... sind nur die.


__________
Danke für Eure super Unterstützung!
Lg Stefan

#21 Da stet es O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe

Ich geh davon aus das es ein fehler Meldung von Avira ist

Hatte eben eine rücksprache es ist ein Fehlalarm und Avira weiss davon
also bitte den nächsten Update abwarten
__________
MfG Argus

#22 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

Klicke Fixed checked

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u11 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe

Start > Ausführen> Kopiere rein ComboFix /U OK

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp
cleanup.txt wird vom Internet geladen , von Firewall zulassen!
Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Damit werden Reste von benutzten Programme wieder entfernt
__________
MfG Argus

#23 Hallo Argus,

diesen Dropper.Gen habe ich immer noch drauf.
Was kann ich noch tun?

Gruß und Danke



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 2. Februar 2009 13:34

Es wird nach 1304080 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: KARIN

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 18:01:34
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 18:31:16
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 18:31:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 18:31:16
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:01:56
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 12:59:14
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 19:17:34
ANTIVIR3.VDF : 7.1.1.209 27648 Bytes 01.02.2009 19:15:28
Engineversion : 8.2.0.70
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 19:17:50
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 30.01.2009 19:17:48
AESCN.DLL : 8.1.1.6 127348 Bytes 30.01.2009 19:17:46
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 18:04:20
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 12:56:30
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 17:01:30
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 30.01.2009 19:17:44
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 17:24:56
AEGEN.DLL : 8.1.1.12 328053 Bytes 30.01.2009 19:17:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:47:28
AECORE.DLL : 8.1.6.3 176501 Bytes 30.01.2009 19:17:36
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:47:28
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 18:31:16
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 18:31:16
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 10:51:40
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 18:31:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 21:18:54
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 18:31:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 21:18:54
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 18:31:16
NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 21:18:54
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 18:31:14
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 18:31:14

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 2. Februar 2009 13:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ymsgr_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoSTS08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reader_SL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP123\A0099603.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6f357.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP124\A0099627.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6f35d.qua' verschoben!
C:\System Volume Information\_restore{C51DD5B9-59E4-4F0E-AB73-E5F6A07BE144}\RP124\A0099646.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\Prep.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> 32788R22FWJFW\Tail.com
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b6f361.qua' verschoben!


Ende des Suchlaufs: Montag, 2. Februar 2009 14:20
Benötigte Zeit: 46:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8038 Verzeichnisse wurden überprüft
355416 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
355410 Dateien ohne Befall
2174 Archive wurden durchsucht
2 Warnungen
3 Hinweise





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:12, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Hijack This\hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--
End of file - 7650 bytes
__________
Danke für Eure super Unterstützung!
Lg Stefan

#24 Benutze die Suchfunktion und suche nach C:\32788R22FWJFW
Und Berichte
__________
MfG Argus

#25 Keine Chance, findet er nicht.
__________
Danke für Eure super Unterstützung!
Lg Stefan

#26 Anscheinend hat es Probleme mit Combofix gegeben

Systemwiederherstellung (de)aktivieren

Und scanne nochmal
__________
MfG Argus

#27 Schau mal, die meldung habe ich gerade erhalten als ich ComboFix ausführen wollte.


__________
Danke für Eure super Unterstützung!
Lg Stefan

#28 Man muss Antivir auch de-aktivieren

Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
__________
MfG Argus

#29 Okay, schon wieder etwas schlauer.Danke!

Hier der log:

ComboFix 09-02-01.01 - Besucher 2009-02-02 17:08:05.5 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.503 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besucher\Desktop\Sicherheitsordner\ComboFix\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

2009-02-02 16:57 . 2009-02-02 16:57 <DIR> d-------- c:\dokumente und einstellungen\Favoriten\aaa
2009-02-02 13:09 . 2009-02-02 13:09 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-02 12:50 . 2009-02-02 13:09 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-02 10:17 . 2009-02-02 10:17 <DIR> d-------- c:\programme\Hijack This
2009-02-01 10:21 . 2009-02-01 10:21 <DIR> d-------- c:\dokumente und einstellungen\Favoriten\Viren
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\system32\de-de
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\system32\de
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\system32\bits
2009-01-21 13:15 . 2009-01-21 13:15 <DIR> d-------- c:\windows\l2schemas
2009-01-21 13:12 . 2009-01-21 13:12 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-16 10:26 . 2009-01-16 10:26 <DIR> d-------- c:\programme\GameSpy Arcade
2009-01-16 10:22 . 2009-01-16 10:22 <DIR> d-------- c:\programme\Firefly Studios
2009-01-12 03:01 . 2009-01-12 03:01 <DIR> d-------- c:\programme\MSXML 4.0
2009-01-11 16:44 . 2004-08-03 22:29 1,897,408 --------- c:\windows\system32\drivers\nv4_mini.sys
2009-01-11 16:22 . 2009-01-11 16:22 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-11 16:22 . 2009-01-11 16:22 <DIR> d-------- c:\dokumente und einstellungen\Besucher\Anwendungsdaten\Malwarebytes
2009-01-11 16:22 . 2009-01-11 16:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-11 16:22 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-01-11 16:22 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\dllcache\bthport.sys
2009-01-11 16:22 . 2008-08-14 11:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-01-11 16:22 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-11 16:22 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-11 16:21 . 2008-12-12 18:01 3,088,896 --------- c:\windows\system32\dllcache\mshtml.dll
2009-01-11 16:21 . 2008-08-14 14:19 2,191,488 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-11 16:21 . 2008-08-14 14:19 2,147,840 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-11 16:21 . 2008-08-14 14:19 2,068,352 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-11 16:21 . 2008-08-14 14:19 2,026,496 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-11 16:21 . 2008-09-15 16:24 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-01-11 16:21 . 2008-10-16 02:00 1,499,136 --------- c:\windows\system32\dllcache\shdocvw.dll
2009-01-11 16:21 . 2008-10-16 02:00 671,744 --------- c:\windows\system32\dllcache\wininet.dll
2009-01-11 16:21 . 2008-10-16 02:00 620,544 --------- c:\windows\system32\dllcache\urlmon.dll
2009-01-11 16:21 . 2008-12-11 11:57 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-01-11 16:20 . 2008-04-11 20:04 691,712 --------- c:\windows\system32\dllcache\inetcomm.dll
2009-01-11 16:20 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-11 16:20 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-01-11 16:20 . 2008-05-08 15:02 203,136 --------- c:\windows\system32\dllcache\rmcast.sys
2009-01-11 16:15 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-01-11 16:15 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-01-11 16:15 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-11 16:15 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\dokumente und einstellungen\Besucher\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-11 15:18 . 2009-01-11 15:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-02 18:23 . 2008-08-29 13:59 3,883,008 --a------ c:\windows\system32\Tropix2.scr
2009-01-02 18:23 . 2008-08-01 15:46 258,352 --a------ c:\windows\system32\unicows.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-25 14:07 41,544 ----a-w c:\dokumente und einstellungen\Besucher\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-21 14:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-12-16 10:40 --------- d-----w c:\dokumente und einstellungen\Besucher\Anwendungsdaten\FileZilla
2008-12-16 10:36 --------- d-----w c:\programme\FileZilla FTP Client
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-07 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-12-07 12:20 --------- d-----w c:\programme\LEGO Media
2008-12-07 11:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2008-12-02 22:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MythPeople
2008-09-07 12:12 623 ---ha-w c:\dokumente und einstellungen\Administrator\hpothb07.dat
2008-09-07 12:11 519 ---ha-w c:\programme\hpothb07.tif
2008-09-07 12:11 300 ---ha-w c:\programme\hpothb07.dat
2008-09-07 12:11 0 ---ha-w c:\dokumente und einstellungen\NetworkService\hpothb07.dat
2008-09-07 12:11 0 ---ha-w c:\dokumente und einstellungen\LocalService\hpothb07.dat
2008-09-07 12:11 0 ---ha-w c:\dokumente und einstellungen\Gast\hpothb07.dat
2008-09-07 12:10 0 ---ha-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\hpothb07.dat
2006-11-23 18:41 573 ---ha-w c:\dokumente und einstellungen\Eigene Dateien- karin\hpothb07.dat
2006-08-27 22:55 774,144 ----a-w c:\programme\RngInterstitial.dll
2006-08-24 17:00 8,282,187 ----a-w c:\programme\vlc-0.8.5-win32.exe
2000-07-14 23:00 253,952 ----a-w c:\dokumente und einstellungen\Eigene Dateien- karin\SETUP1.EXE
2008-11-19 10:59 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-11-19 10:59 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-19 10:59 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-11-19 10:59 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-11-19 10:59 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-28 68856]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-05-27 4269296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE" [2002-09-09 90112]
"LogitechGalleryRepair"="c:\programme\Logitech\ImageStudio\ISStart.exe" [2002-09-11 155648]
"LogitechImageStudioTray"="c:\programme\Logitech\ImageStudio\LogiTray.exe" [2002-09-11 45056]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-11-23 282624]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-06 185632]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-02 136600]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 61440]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mxmc"= MimicICM.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\CIMSVR.exe"=
"c:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\LEGO Media\\Games\\LEGO Schach\\Lego Chess.exe"=
"c:\\Programme\\Microsoft Office\\Office10\\FRONTPG.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [2006-10-23 71072]
.
Inhalt des "geplante Tasks" Ordners

2006-11-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 17:13]

2007-12-20 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1198193456.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]

2007-12-20 c:\windows\Tasks\WebReg 20071221003151.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-06 01:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 17:09:06
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(532)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-02-02 17:10:06
ComboFix-quarantined-files.txt 2009-02-02 16:10:06

Vor Suchlauf: 31 Verzeichnis(se), 26.100.957.184 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 26,121,175,040 Bytes frei

169 --- E O F --- 2009-01-21 23:05:36
__________
Danke für Eure super Unterstützung!
Lg Stefan

#30 Start > Ausführen> Kopiere rein ComboFix /U OK
Entferne den VLC player und download die letzte Version 0.9.8a
http://www.videolan.org/vlc/download-windows.html

Rechner Up-to-Date?
Ein Hilfsmittel koennte Update Checker von FileHippo sein
http://www.filehippo.com/updatechecker/
__________
MfG Argus