Virus/Spyware Dloadr-BGU / Agnet-HBT / Behav-191 gefunden

#16 vllt ohne die ??? und der dateiname auch?

#17 auch nicht ich hab nach "crosoft" suchen lassen und er findet mir nur den Microsoft.NET ordner

#18 ok ich muss da n paar nachforschungen anstellen.
mach du erst mal diese 2 online scans. alle optionen auswählen gesammten pc untersuchen lassen. bei f-secure löschen lassen und log posten bei kaspersky nur das log posten.
http://support.f-secure.com/ger/home/ols.shtml
www.kaspersky.com/de/virusscanner - 22k -

#19 hey markus,
der scannvorgang dauert beim f-secure scheinbar länger (ich hoffe dass ist normal)
ich laß in jetzt über die nacht laufen, muss morgen früh raus und will jetzt ims bett. morgen nach der arbeit (ab ca 18 uhr) bin ich wieder online und poste die logs.
danke schon mal für deine hilfe.
ich wünsch dir eine gute nacht.

liebe grüße
isabella

#20 Hallo Isabella,
mache dir keinen stress, es kann länger dauern bei größeren Dateien ;-)
Viel spaß bei der Arbeit und eine rusame Nacht wünsche ich dir.
Gruß
Markus

#21 hallo markus,

ich hoffe du hattest eine erholsame nacht und einen schönen tag...

hier die logs:

f-secure:
Result: 8 malware found
INI/Vundo.A (virus)
C:\Qoobox\Quarantine\C\WINDOWS.0\system32\pVEKmUtv.ini2.vir (Submitted)
TrackingCookie.2o7 (spyware)
System
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Tradedoubler (spyware)
System
TrackingCookie.Yieldmanager (spyware)
System
TrackingCookie.Zanox (spyware)
System
Vundo.FBW (virus)
C:\Qoobox\Quarantine\C\WINDOWS.0\system32\avwuoqok.ini.vir (Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 136764
System: 3144
Not scanned: 41
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 8
Submitted: 2
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS.0\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS.0\SYSTEM32\CONFIG\DEFAULT.LOG
C:\WINDOWS.0\SYSTEM32\CONFIG\SAM
C:\WINDOWS.0\SYSTEM32\CONFIG\SAM.LOG
C:\WINDOWS.0\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS.0\SYSTEM32\CONFIG\SECURITY.LOG
C:\WINDOWS.0\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS.0\SYSTEM32\CONFIG\SOFTWARE.LOG
C:\WINDOWS.0\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS.0\SYSTEM32\CONFIG\SYSTEM.LOG
C:\USERS\NETWORKSERVICE\NTUSER.DAT
C:\USERS\NETWORKSERVICE\NTUSER.DAT.LOG
C:\USERS\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\USERS\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
C:\USERS\LOCALSERVICE\NTUSER.DAT
C:\USERS\LOCALSERVICE\NTUSER.DAT.LOG
C:\USERS\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\USERS\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
C:\USERS\ALL USERS.WINDOWS.0\ANWENDUNGSDATEN\SOPHOS\SOPHOS ANTI-VIRUS\CONFIG\INTERCHK.CHK
C:\USERS\ADMINISTRATOR\NTUSER.DAT
C:\USERS\ADMINISTRATOR\NTUSER.DAT.LOG
C:\USERS\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\USERS\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
C:\Program Files\Nero\Nero 7\Nero BackItUp\BackItUp_ImageTool\root.img\root.img
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\NTUSER.DAT.LOG
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DAT.LOG
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS.WINDOWS.0\ANWENDUNGSDATEN\SOPHOS\SOPHOS ANTI-VIRUS\CONFIG\INTERCHK.CHK
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\NTUSER.DAT.LOG
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
C:\Avenger\backup.zip\avenger/avenger.txt
C:\Avenger\backup.zip\avenger/pmxqgyokiumbpem.sys

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 3.0.0
F-Secure Hydra: 3.6.8511, 2009-02-16
F-Secure AVP: 7.0.171, 2009-02-16
F-Secure Pegasus: 1.20.0, 1970-00-01
F-Secure Blacklight: 0.0.0
Scanning options:
Scan all files
Scan inside archives
Use Advanced heuristics


kaspersky log kommt sobald er durchgelaufen ist.

#22 hatte ich... Hoffendlich war die arbeit net so stressig?
das erste log sieht schon mal gut aus ;-)
hast du momentan probleme? also mit dem pc ;-)

#23 die arbeit war ganz ruhig, ist aber immer so am montag :-)

mir ist nichts aufgefallen, er läuft ruhig.
der kaspersky ist bei 42% und hat 2 viren und 2 infizierte objekte gefunden.

#24 na wvllt sind wir dann durch.
kannst gleich (wenn hijackthis fertig ist) noch n frisches hijackthis-log posten und dann updaten wir noch die programme auf deinem system... Dann (wenn kaspersky nichts sonderlich auffälliges findet) sind wr durch.

#25 ok ich versteh ja wirklich nicht viel von dem ganzen hier, aber der virenscanner zeigt doch 2 viren an. wie können wir da vllt durch sein?

hier der kaspersky log:
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 16. Februar 2009 18:28:04
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 16/02/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1803468
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 61186
Viren gefunden: 2
Infizierte Objekte gefunden: 2
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:53:15

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\hiberfil.sys Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7E50CBC3-3235-42AE-B6C3-34E3EAEB632E}\RP80\A0072525.exe Infizierte Objekte: Trojan.Win32.Scapur.k übersprungen
C:\System Volume Information\_restore{7E50CBC3-3235-42AE-B6C3-34E3EAEB632E}\RP81\A0073084.exe Infizierte Objekte: not-a-virusownloader.Win32.WinFixer.au übersprungen
C:\System Volume Information\_restore{7E50CBC3-3235-42AE-B6C3-34E3EAEB632E}\RP91\change.log Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009021620090217\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Users\All Users.WINDOWS.0\Anwendungsdaten\Sophos\Sophos Anti-Virus\config\interchk.chk Das Objekt ist gesperrt übersprungen
C:\Users\All Users.WINDOWS.0\Anwendungsdaten\Sophos\Sophos Anti-Virus\Logs\SAV.txt Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Users\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Users\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\RTacDbg.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS.0\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#26 hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:31, on 16.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\hkcmd.exe
C:\WINDOWS.0\system32\igfxpers.exe
C:\WINDOWS.0\RTHDCPL.EXE
C:\KMaestro\KMaestro.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.0\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BtcMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Nuwsb] C:\WINDOWS.0\??crosoft\??ool32.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EF6602-58BA-4182-8ADE-45E2EB4E6FC5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 5849 bytes

#27 die dateien sind in der systemwiderherstllung.
erstelle doch bitte noch mal ein neues avenger script:
files to delete:
C:\WINDOWS.0\??crosoft\??ool32.exe
poste dessen inhalt

#28 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\WINDOWS.0\??crosoft\??ool32.exe"
Deletion of file "C:\WINDOWS.0\??crosoft\??ool32.exe" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Completed script processing.

*******************

Finished! Terminate.

#29 kommen wir zu den updates.
die programme erst deinstalieren dann die neuen versionen drauf:
Adobe Reader 8.1.2 - Deutsch
www.adobe.com/de/products/reader/ - 32k -
Mozilla Firefox (2.0.0.17)
ersetzen durch:
www.mozilla-europe.org/de/firefox/ - 24k -

deinstalieren da unnötig:
Bonjour
weiterhin besuche die windows update-seite spiele alle wichtigen updates ein.
start ausfüren
combofix /u
OTCleanIt
http://www.virus-protect.org/artikel/tools/otmoveIt.html
Rechtsklick arbeitsplatz, eigenschaften systemwiderherstellung. Auf allen Laufwerken deaktiviren. Warte ein paar minuten schalte sie wieder ein.
Poste ein letztes hijackthis-log

#30 mir ist gerade aufgefallen dass im quarantäne ordner vom sophos folgendes steht:
Troj/Agent-HBT C:\WINDOWS.0\Microsoft\spool32.exe

das ist doch dass wonach wir suchen oder?
aber ich habe keinen Microsoft Ordner, es gibt lediglich einen der Microsoft.NET heißt