PC ist mit Viren infiziert, Desktop ist scharz,

#1 Hallo Leute ich brauche dringend Hilfe, zumal ich mich mit Computern nicht wirklich gut auskenne.
Ich habe folgendes Problem:
1. Ich kann mein Desktop-Hintergrund nicht ändern. Ich sehe lediglich einen schwarzen Bildschirm und in der Mitte ist eine Aufwschrift mit den Lettern Warnig, Dangerous Spyware...zu sehen.
2. Ich kann keine Systemwiederherstellung durchführen.
3. Ich kann zwar ins Internet, jedoch werde ich bei einem klich auf einem Link irgendwo hin verwiesen aber nicht dem Link entsprechend.

--> Ich habe RSIT und HiJack This heruntergeladen, das sind die Ergebisse. Ich habe log-Editor und info-Editor kopiert.
Vielen Dank für die Hilfe im Voraus.
Grüße,
AK

Das ist das Ergebnis des RSIT-Scans:
Logfile of random's system information tool 1.05 (written by random/random)
Run by Ajhan at 2009-02-15 10:07:20
Microsoft Windows XP Professional Service Pack 3
System drive C: has 25 GB (65%) free of 38 GB
Total RAM: 511 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:24, on 15.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ajhan\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Ajhan.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3930ED3-FE6E-4F2D-A7D8-14D9E11F01A8}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6E56418-D41D-4CEC-AAA4-7ED5146929B2}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

--
End of file - 4435 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-13 266497]
"ATIModeChange"=C:\WINDOWS\system32\Ati2mdxx.exe [2008-12-16 28672]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2008-12-16 65024]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2008-12-16 88363]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"PRONoMgr.exe"=C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe [2004-02-05 86016]
"LManager"=C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE [2003-12-15 262144]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe []
"AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll [2004-03-03 110592]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoSetActiveDesktop"=1
"NoActiveDesktopChanges"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSetActiveDesktop"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-02-15 10:07:20 ----D---- C:\rsit
2009-02-14 17:53:04 ----D---- C:\Programme\Trend Micro
2009-02-14 17:52:34 ----D---- C:\Programme\HJThis
2009-02-14 17:45:44 ----A---- C:\WINDOWS\system32\ntdll64.exe
2009-02-14 14:50:44 ----D---- C:\Programme\Adobe
2009-02-14 12:35:22 ----D---- C:\Programme\Adobe Acrobat
2009-02-14 11:49:43 ----D---- C:\WINDOWS\SxsCaPendDel
2009-02-13 22:16:29 ----D---- C:\Programme\ffdshow
2009-02-13 22:11:38 ----A---- C:\WINDOWS\system32\wmv9vcm.dll
2009-02-13 22:11:38 ----A---- C:\WINDOWS\system32\wmv8dmod.dll
2009-01-21 17:31:26 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-01-21 17:31:08 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-01-21 17:30:39 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-01-19 13:48:21 ----D---- C:\WINDOWS\Prefetch
2009-01-19 13:45:22 ----HDC---- C:\WINDOWS\$NtUninstallKB960714$
2009-01-19 13:45:14 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-01-19 13:45:06 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-01-19 13:44:56 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2009-01-19 13:44:48 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-01-19 13:44:42 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2009-01-19 13:44:32 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2009-01-19 13:44:24 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-01-19 13:44:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-01-19 13:44:06 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-01-19 13:43:59 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-01-19 13:43:51 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2009-01-19 13:43:44 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-01-19 13:43:37 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-01-19 13:43:28 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-01-19 13:43:21 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2009-01-19 13:43:14 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-01-19 13:43:07 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-01-19 13:43:00 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-01-19 13:42:53 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-01-19 13:42:46 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2009-01-19 13:39:26 ----D---- C:\Programme\Messenger
2009-01-19 13:38:32 ----D---- C:\WINDOWS\system32\de-de
2009-01-19 13:38:28 ----D---- C:\Programme\msn
2009-01-19 13:38:27 ----D---- C:\WINDOWS\system32\de
2009-01-19 13:38:27 ----D---- C:\WINDOWS\l2schemas
2009-01-19 13:38:25 ----D---- C:\WINDOWS\system32\bits
2009-01-19 13:33:33 ----D---- C:\WINDOWS\ServicePackFiles
2009-01-19 13:29:53 ----D---- C:\WINDOWS\network diagnostic
2009-01-19 13:27:00 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-01-19 13:22:54 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-01-17 11:21:23 ----D---- C:\Dokumente und Einstellungen\Ajhan\Anwendungsdaten\gtk-2.0
2009-01-17 11:16:29 ----D---- C:\Programme\GIMP-2.0

======List of files/folders modified in the last 1 months======

2009-02-15 09:55:02 ----D---- C:\WINDOWS\system32
2009-02-15 09:51:53 ----D---- C:\Programme\Mozilla Firefox
2009-02-15 09:50:29 ----D---- C:\WINDOWS\Temp
2009-02-15 09:49:21 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-02-14 22:57:35 ----SHD---- C:\System Volume Information
2009-02-14 22:57:35 ----D---- C:\WINDOWS\system32\Restore
2009-02-14 22:36:43 ----D---- C:\WINDOWS
2009-02-14 22:24:48 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-02-14 22:24:31 ----D---- C:\WINDOWS\system32\CatRoot2
2009-02-14 19:14:00 ----SHD---- C:\RECYCLER
2009-02-14 17:53:04 ----RD---- C:\Programme
2009-02-14 17:43:28 ----D---- C:\WINDOWS\system32\drivers
2009-02-14 17:14:48 ----SHD---- C:\WINDOWS\Installer
2009-02-14 17:14:48 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-02-14 17:08:37 ----HD---- C:\Config.Msi
2009-02-14 17:08:26 ----RSD---- C:\WINDOWS\Fonts
2009-02-14 17:08:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-02-14 17:07:50 ----D---- C:\Programme\Gemeinsame Dateien
2009-02-14 11:49:43 ----D---- C:\WINDOWS\WinSxS
2009-02-13 22:11:38 ----HD---- C:\WINDOWS\inf
2009-02-13 22:09:55 ----D---- C:\Programme\Downloads
2009-02-13 22:04:48 ----D---- C:\WINDOWS\Help
2009-02-12 11:57:37 ----D---- C:\Dokumente und Einstellungen\Ajhan\Anwendungsdaten\Skype
2009-01-30 13:40:43 ----D---- C:\WINDOWS\security
2009-01-22 05:30:40 ----D---- C:\WINDOWS\system32\CatRoot
2009-01-21 17:31:35 ----A---- C:\WINDOWS\imsins.BAK
2009-01-21 17:31:24 ----HD---- C:\WINDOWS\$hf_mig$
2009-01-19 13:50:56 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-01-19 13:49:34 ----A---- C:\WINDOWS\OEWABLog.txt
2009-01-19 13:49:27 ----D---- C:\WINDOWS\Debug
2009-01-19 13:48:29 ----A---- C:\WINDOWS\setuplog.txt
2009-01-19 13:47:52 ----D---- C:\WINDOWS\system32\Setup
2009-01-19 13:47:52 ----D---- C:\WINDOWS\AppPatch
2009-01-19 13:47:51 ----D---- C:\WINDOWS\system32\wbem
2009-01-19 13:39:28 ----D---- C:\Programme\Windows Media Player
2009-01-19 13:39:13 ----D---- C:\WINDOWS\ehome
2009-01-19 13:39:10 ----D---- C:\WINDOWS\system32\inetsrv
2009-01-19 13:39:08 ----D---- C:\WINDOWS\ime
2009-01-19 13:38:32 ----D---- C:\WINDOWS\system32\usmt
2009-01-19 13:38:28 ----D---- C:\Programme\Internet Explorer
2009-01-19 13:38:25 ----D---- C:\WINDOWS\PeerNet
2009-01-19 13:38:25 ----D---- C:\Programme\Movie Maker
2009-01-19 13:33:14 ----D---- C:\WINDOWS\system32\npp
2009-01-19 13:33:13 ----D---- C:\WINDOWS\msagent
2009-01-19 13:33:11 ----D---- C:\WINDOWS\srchasst
2009-01-19 13:33:09 ----D---- C:\Programme\NetMeeting
2009-01-19 13:33:07 ----D---- C:\WINDOWS\system32\Com
2009-01-19 13:33:03 ----D---- C:\Programme\Windows NT
2009-01-19 13:33:03 ----D---- C:\Programme\Outlook Express
2009-01-19 13:32:57 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-01-19 13:32:34 ----D---- C:\WINDOWS\system32\oobe
2009-01-19 13:32:30 ----D---- C:\WINDOWS\system
2009-01-19 13:27:20 ----D---- C:\WINDOWS\system32\ReinstallBackups

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-12-15 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-09 21248]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032]
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.2.1.0; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2009-01-14 14037]
R2 s24trans;WLAN Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2003-09-15 11258]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2008-12-16 1196460]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2008-12-16 391424]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-12-16 541548]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-12-16 701440]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver; C:\WINDOWS\System32\Drivers\DKbFltr.sys [2003-11-19 16512]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2005-10-28 19584]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2005-10-28 20992]
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2005-10-28 35913]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2008-01-07 2216064]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2004-06-22 51088]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2004-06-22 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2004-06-22 21744]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2005-10-28 12288]
S3 QV2KUX;Casio-Digitalkamera; C:\WINDOWS\system32\DRIVERS\qv2kux.sys [2005-10-28 3328]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 w22n51;Intel(R) PRO/Wireless 2200 Adapter-Treiber; C:\WINDOWS\system32\DRIVERS\w22n51.sys [2008-12-16 1657344]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-29 18944]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-16 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-16 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-12-16 397312]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 RegSrvc;RegSrvc; C:\WINDOWS\system32\RegSrvc.exe [2004-03-03 122880]
R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\system32\S24EvMon.exe [2004-03-03 311363]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-29 38912]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-29 89136]

-----------------EOF-----------------

Das sind die Ergebinse des Info-Editor:
Computer Name: PRIVAT-1901CC57
Event Code: 3001
Message: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 1848 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Record Number: 4
Source Name: LoadPerf
Time Written: 20081216035400.000000+060
Event Type: Fehler
User:

Computer Name: PRIVAT-1901CC57
Event Code: 2006
Message: Die Werte LastCounter und LastHelp der Leistungsindikatorenregistrierung sind beschädigt
und müssen aktualisiert werden. Das erste und zweite DWORD im Datenbereich sind die
ursprünglichen Werte, während das dritte und vierte DWORD im Datenbereich den aktualisierten
Wert darstellen.

Record Number: 3
Source Name: LoadPerf
Time Written: 20081216035400.000000+060
Event Type: Warnung
User:

Computer Name: MACHINENAME
Event Code: 3001
Message: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 1848 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Record Number: 2
Source Name: LoadPerf
Time Written: 20081215144658.000000+060
Event Type: Fehler
User:

Computer Name: MACHINENAME
Event Code: 3001
Message: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 1848 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Record Number: 1
Source Name: LoadPerf
Time Written: 20081215144658.000000+060
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0905
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

#2 Download MalwareBytes' Anti-Malware
Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware

Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Quick-scan durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen

Und ein Log von Hijack This
__________
MfG Argus

#3 Hier den Sendebericht:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

15.02.2009 11:32:32
mbam-log-2009-02-15 (11-32-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55977
Laufzeit: 3 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\bhonew.bho (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4937d5d1-2039-409a-bd83-fec9b39b2356} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{caf9d798-c659-4b9b-8e19-ee27c3d04ee7} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{87fd33c2-7891-45d5-acd1-7935f9aea26b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b3930ed3-fe6e-4f2d-a7d8-14d9e11f01a8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b6e56418-d41d-4cec-aaa4-7ed5146929b2}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b3930ed3-fe6e-4f2d-a7d8-14d9e11f01a8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b6e56418-d41d-4cec-aaa4-7ed5146929b2}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{b3930ed3-fe6e-4f2d-a7d8-14d9e11f01a8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{b6e56418-d41d-4cec-aaa4-7ed5146929b2}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\senekarbybrnvp.dll (Trojan.Seneka) -> Delete on reboot.
C:\WINDOWS\system32\senekawbwesiqv.dll (Trojan.Seneka) -> Delete on reboot.
C:\WINDOWS\system32\drivers\senekalltkpplr.sys (Trojan.Seneka) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ajhan\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-1466218.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-1466809.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-1496111.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-1496652.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekafswyitev.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekapawwyplv.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekaqmqpqbuf.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxsjkslkdv.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxpupqqxlt.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxqlliqwrh.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxtprqhyig.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.

#4 >>
Wende Fixwareout an:
FixWareout
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt Posten

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

Gruss Swiss

#5 Vielen Dank soweit,

ich habe alles befolgt. Nun die Repoerts aus Combofix und Fixwareout.

[b]Combofix:[/b]

ComboFix 09-02-14.01 - Ajhan 2009-02-15 19:06:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.257 [GMT 1:00]
ausgeführt von:: c:\programme\Fixwareout\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\_000002_.tmp.dll
c:\windows\system32\gaopdxcounter
c:\windows\system32\init32.exe
c:\windows\system32\uniq.tll
c:\windows\system32\win32hlp.cnf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_seneka


((((((((((((((((((((((( Dateien erstellt von 2009-01-15 bis 2009-02-15 ))))))))))))))))))))))))))))))
.

2009-02-15 18:54 . 2009-02-15 18:58 <DIR> d-------- C:\fixwareout
2009-02-15 18:53 . 2009-02-15 19:01 <DIR> d-------- c:\programme\Fixwareout
2009-02-15 11:34 . 2009-02-15 19:08 1,143,328 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-15 11:34 . 2009-02-15 19:08 155,680 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-02-15 11:34 . 2009-02-15 19:08 10,012 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-15 11:34 . 2009-02-15 19:08 1,612 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-02-15 11:18 . 2009-02-15 11:18 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-15 11:18 . 2009-02-15 11:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-15 11:18 . 2009-02-15 11:18 <DIR> d-------- c:\dokumente und einstellungen\Ajhan\Anwendungsdaten\Malwarebytes
2009-02-15 11:18 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-15 11:18 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-15 11:17 . 2009-02-15 11:18 <DIR> d-------- c:\programme\Malware Bytes Anti Malware
2009-02-15 11:11 . 2009-02-15 12:10 101,287 --a------ c:\windows\system32\drivers\klin.dat
2009-02-15 11:11 . 2009-02-15 12:10 89,601 --a------ c:\windows\system32\drivers\klick.dat
2009-02-15 11:10 . 2009-02-15 11:10 <DIR> d-------- c:\programme\Kaspersky Lab
2009-02-15 11:10 . 2009-02-15 19:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-15 11:06 . 2009-02-15 11:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-02-15 11:02 . 2009-02-15 11:05 <DIR> d-------- c:\programme\Kaspersky
2009-02-15 10:07 . 2009-02-15 10:07 <DIR> d-------- C:\rsit
2009-02-14 17:53 . 2009-02-14 17:53 <DIR> d-------- c:\programme\Trend Micro
2009-02-14 17:52 . 2009-02-14 17:52 <DIR> d-------- c:\programme\HJThis
2009-02-14 12:35 . 2009-02-14 19:08 <DIR> d-------- c:\programme\Adobe Acrobat
2009-02-14 11:49 . 2009-02-14 11:51 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-13 22:16 . 2009-02-13 22:16 <DIR> d-------- c:\programme\ffdshow
2009-02-13 22:11 . 2003-06-23 01:44 1,415,680 --a------ c:\windows\system32\wmv9vcm.dll
2009-02-13 22:11 . 2003-08-29 00:55 423,424 --a------ c:\windows\system32\WMAVDS32.ax
2009-02-13 22:11 . 2001-05-16 16:54 309,616 --a------ c:\windows\system32\wmv8dmod.dll
2009-02-13 22:11 . 2001-03-26 03:41 245,760 --a------ c:\windows\system32\mp4sds32.ax
2009-01-19 13:38 . 2009-01-19 13:38 <DIR> d-------- c:\windows\system32\de-de
2009-01-19 13:38 . 2009-01-19 13:38 <DIR> d-------- c:\windows\system32\de
2009-01-19 13:38 . 2009-01-19 13:38 <DIR> d-------- c:\windows\system32\bits
2009-01-19 13:38 . 2009-01-19 13:38 <DIR> d-------- c:\windows\l2schemas
2009-01-19 13:33 . 2009-01-19 13:39 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-19 13:27 . 2007-08-11 09:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-01-17 11:21 . 2009-02-09 17:18 <DIR> d-------- c:\dokumente und einstellungen\Ajhan\Anwendungsdaten\gtk-2.0
2009-01-17 11:20 . 2009-01-17 11:20 <DIR> d-------- c:\dokumente und einstellungen\Ajhan\.thumbnails
2009-01-17 11:19 . 2009-02-15 10:43 <DIR> d-------- c:\dokumente und einstellungen\Ajhan\.gimp-2.6
2009-01-17 11:19 . 2009-01-17 11:19 <DIR> d-------- c:\dokumente und einstellungen\Ajhan\.gegl-0.0
2009-01-17 11:16 . 2009-01-17 11:16 <DIR> d-------- c:\programme\GIMP-2.0
2009-01-15 21:29 . 2009-01-15 21:29 <DIR> d-------- c:\programme\Launch Manager
2009-01-15 21:29 . 2003-07-23 09:57 131,072 --a------ c:\windows\UNINST32.EXE
2009-01-15 21:29 . 2003-11-19 08:11 16,512 --a------ c:\windows\system32\drivers\DKbFltr.SYS
2009-01-15 21:29 . 2009-01-15 21:29 79 --a------ c:\windows\CPLBCL53.UNI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-15 11:10 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-02-15 10:07 --------- d-----w c:\programme\Avira
2009-02-15 10:07 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-14 16:14 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-02-13 21:09 --------- d-----w c:\programme\Downloads
2009-02-12 10:57 --------- d-----w c:\dokumente und einstellungen\Ajhan\Anwendungsdaten\Skype
2009-01-14 17:26 14,037 ----a-w c:\windows\system32\drivers\mdc8021x.sys
2009-01-14 17:26 --------- d-----w c:\programme\Intel
2009-01-14 17:20 --------- d-----w c:\programme\DIFX
2009-01-13 23:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-01-06 14:25 --------- d-----w c:\programme\Gemeinsame Dateien\Hewlett-Packard
2009-01-06 14:23 --------- d-----w c:\programme\HP
2008-12-22 09:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-12-22 09:13 --------- d-----r c:\programme\Skype
2008-12-18 01:06 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-18 00:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2008-12-18 00:53 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-18 00:30 --------- d-----w c:\programme\Microsoft.NET
2008-12-18 00:26 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2008-12-18 00:16 --------- d-----w c:\dokumente und einstellungen\Ajhan\Anwendungsdaten\Ahead
2008-12-18 00:15 --------- d-----w c:\programme\Nero
2008-12-16 08:33 1,657,344 ----a-w c:\windows\system32\drivers\w22n51.sys
2008-12-16 03:00 --------- d-----w c:\programme\microsoft frontpage
2008-12-16 02:57 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-16 01:19 88,363 ----a-w c:\windows\AGRSMMSG.exe
2008-12-16 01:19 65,024 ----a-w c:\windows\agrsmdel.exe
2008-12-16 01:19 1,196,460 ----a-w c:\windows\system32\drivers\AGRSM.sys
2008-12-16 01:08 65,024 ----a-w c:\windows\SOUNDMAN.EXE
2008-12-16 01:08 541,548 ----a-w c:\windows\system32\drivers\ALCXWDM.SYS
2008-12-16 01:08 391,424 ----a-w c:\windows\system32\drivers\ALCXSENS.SYS
2008-12-16 00:50 701,440 ----a-w c:\windows\system32\drivers\ati2mtag.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PRONoMgr.exe"="c:\programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2004-02-05 86016]
"LManager"="c:\progra~1\LAUNCH~1\CPLBCL53.EXE" [2003-12-15 262144]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-02-15 201992]
"ATIModeChange"="Ati2mdxx.exe" [2008-12-16 c:\windows\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2008-12-16 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2008-12-16 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2006-02-28 44544]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2004-03-03 16:48 110592 c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= c:\programme\ffdshow\ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-03-25 24592]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
HKCU-Run-AdobeUpdater - c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe


.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Ajhan\Anwendungsdaten\Mozilla\Firefox\Profiles\zefw4597.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 19:10:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1256)
c:\windows\system32\klogon.dll
c:\windows\system32\LgNotify.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\S24EvMon.exe
c:\windows\system32\ZCfgSvc.exe
c:\windows\system32\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\1XConfig.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-15 19:12:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-15 18:12:44

Vor Suchlauf: 14 Verzeichnis(se), 26.183.081.984 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 27,048,292,352 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

184 --- E O F --- 2009-01-22 04:29:43


und nun Fixwareout:

Username "Ajhan" - 15.02.2009 18:54:57 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache konnte nicht geleert werden: Beim Ausführen der Funktion ist ein Fehler aufgetreten.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\PROSetWireless\\NCS\\PROSet\\PRONoMgr.exe"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\CPLBCL53.EXE"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"AdobeUpdater"="\"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Updater5\\AdobeUpdater.exe\""
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

#6 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Geht der Desktop wieder?

Falls nicht mache folgendes:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry
mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm


Swiss

#7 Es sieht jetzt alles ganz gut aus. Desktop geht wieder. Ich habe allerdings nach wie vor das Problem, dass ich auf eine andere Seite verwiesen werde, wenn ich beispielsweise google und auf einen Link klicke.
Womit soll ich den scan machen? Hijack this??

#8 Neee du hast ja AVIRA als Antivirussoftware? Öffne Avira und stelle das Programm so ein wie hier beschrieben:
http://board.protecus.de/t23979.htm

Danach update Avira!
Und mach einen Scan mit Avira dan poste das Log.

Dazu dann noch ein neues HiJackThis log.

Gruss Swiss

#9 Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 16. Februar 2009 20:50

Es wird nach 1248499 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: PRIVAT-1901CC57

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 16.02.2009 19:32:55
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 19:32:56
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:32:56
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 19:32:56
ANTIVIR3.VDF : 7.1.2.33 112640 Bytes 16.02.2009 19:32:56
Engineversion : 8.2.0.79
AEVDF.DLL : 8.1.1.0 106868 Bytes 16.02.2009 19:32:57
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 16.02.2009 19:32:57
AESCN.DLL : 8.1.1.7 127347 Bytes 16.02.2009 19:32:57
AERDL.DLL : 8.1.1.3 438645 Bytes 16.02.2009 19:32:57
AEPACK.DLL : 8.1.3.8 397684 Bytes 16.02.2009 19:32:57
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 16.02.2009 19:32:56
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 16.02.2009 19:32:56
AEHELP.DLL : 8.1.2.0 119159 Bytes 16.02.2009 19:32:56
AEGEN.DLL : 8.1.1.16 332148 Bytes 16.02.2009 19:32:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.5 176501 Bytes 16.02.2009 19:32:56
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 16.02.2009 19:32:56
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 16. Februar 2009 20:50

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35988' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CPLBCL53.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '1XConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\fixwareout\FindT\nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0bc543.qua' verschoben!
C:\System Volume Information\_restore{FCBFBFD1-896B-455C-9D3C-007359EA82C5}\RP3\A0000107.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c9c73c.qua' verschoben!
C:\System Volume Information\_restore{FCBFBFD1-896B-455C-9D3C-007359EA82C5}\RP5\A0000356.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c9c74e.qua' verschoben!


Ende des Suchlaufs: Montag, 16. Februar 2009 21:16
Benötigte Zeit: 26:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2317 Verzeichnisse wurden überprüft
182927 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
182923 Dateien ohne Befall
1494 Archive wurden durchsucht
1 Warnungen
3 Hinweise
35988 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

und jetzt noch HiJack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:06, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

--
End of file - 3900 bytes

#10 >>
OTMoveIt3.exe
bleepingcomputer.com

->OTMoveIt3.exe auf dem Desktop speichern
OTMoveIt.exe klicken
1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTMoveIt automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Wirst du immernoch Umgeleitet? Dann folgendes:
>>
scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

Gruss Swiss