TR/Dldr.Agent - Ich bekomme seit heute Morgen ständig Trojaner Meldungen :(

#1 Guten Abend liebe Gemeinde.

Ich bekomme seit heute Morgen Trojaner Meldungen.

Heute morgen hatte ich diese Meldung.

Zitat

In der Datei 'C:\WINDOWS\system32\mstmdm.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.90112.1' [trojan] gefunden.

Im letzterem Falle bin ich einfach im Abgesicherten Modus gestartet und habe eine Datei mit gleichen namen ohne Inhalt erstellt. Dann war ruhe

Und 18 Uhr kam diese

Zitat

In der Datei 'C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\~DF9.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.90112.1' [trojan] gefunden.

Nun hab ich mich kurz belesen und fand diesen Thread: http://board.protecus.de/t14129.htm

Bin mir aber nicht sicher ob das die Lösung für mein Trojaner ist?

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:08, on 13.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.bsplayer-search.com/startpage
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

http://www.bsplayer-search.com/startpage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer -

{3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} -

C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} -

C:\Programme\BS.Player ControlBar\BSToolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} -

C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop

Calendar\ADC.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth

Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: UpdateCheck - {5A75EF2F-2125-40D9-BDF9-531F4BEE4449} -

C:\WINDOWS\system32\mstmdm.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH -

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile

Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. -

C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. -

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -

C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

--
End of file - 7780 bytes

Ich wäre für konstruktive Antworten Dankbar, dazu muss man sagen das ich mich in diesen gebiet nicht besonders auskenne.

Lieben Gruß

Thomas

#2 Hallo und willkommen an board!
http://board.protecus.de/t23188.htm
genau abarbeiten, logs posten

#3 Okay Danke für die rasche Antwort,

Da hab ich gleich ne Frage weil ich sehe das man die Systemwiederherstellung abschalten soll.
Kann ich nicht auch einfach mein System 2 Wochen zurück setzten? wäre den dann schluss?

Wenn nein für ich mal die gesamte Anleitung soweit wie ich komme aus.

Lieben Gruß

#4 füre die reinigung lieber durch.

#5 Okay Danke für die rasche Antwort,

1. hab ich jetzt Datenträgerbereinigung bei folgenden Punkten durchgeführt

Zitat

#Click:Temporäre Internet Files/Temporäre Internet Dateien
#Click:Temporäre Dateien
#Click:offline Webseiten

2. Systemwiederherstellung deaktiviert

3. Malwarebytes installiert, update gemacht, und scann durch laufen lassen.

Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1845
Windows 5.1.2600 Service Pack 2

13.03.2009 20:18:37
mbam-log-2009-03-13 (20-18-37).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 141811
Laufzeit: 27 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

4. Neustart

5. combofix

Hier hatte ich ein kleines Problem, und zwar wollte er die Systemwiederherstellung aktivieren was zur folge hatte das Antivir wieder da war. Hab ich abgebrochen, unter mscondig avir wieder ausgestellt neugestartet und das programm durch laufen lassen.
Das kam raus

Zitat

ComboFix 09-03-12.01 - Thomas 2009-03-13 21:25:01.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1603 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\hijack\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-13 bis 2009-03-13 ))))))))))))))))))))))))))))))
.

2009-03-13 21:21 . 2009-03-13 21:21 <DIR> d-------- c:\windows\LastGood
2009-03-13 19:47 . 2009-03-13 19:47 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-13 19:47 . 2009-03-13 19:47 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2009-03-13 19:47 . 2009-03-13 19:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-13 19:47 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-13 19:47 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-13 19:09 . 2009-03-13 19:09 <DIR> d-------- c:\programme\Trend Micro
2009-03-10 22:44 . 2009-03-10 22:44 <DIR> d-------- c:\programme\FDRLab
2009-03-06 17:04 . 2009-03-06 17:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe Systems Shared
2009-03-06 17:04 . 2009-03-06 17:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision
2009-03-03 15:01 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-03-03 15:01 . 2009-03-03 15:01 400 --a------ c:\windows\ODBC.INI
2009-03-03 15:00 . 2009-03-03 15:01 <DIR> d-------- c:\windows\SHELLNEW
2009-03-03 14:57 . 2009-03-03 14:57 <DIR> d-------- c:\programme\Microsoft.NET
2009-02-28 21:25 . 2009-02-28 21:25 <DIR> d-------- c:\programme\PowerQuest
2009-02-28 16:41 . 2009-02-28 16:41 <DIR> d-------- c:\programme\Defraggler
2009-02-26 16:06 . 2009-03-13 18:59 <DIR> d-------- c:\programme\Trillian
2009-02-26 16:06 . 2009-02-26 16:06 <DIR> d-------- c:\programme\AskPBar
2009-02-25 21:36 . 2009-03-06 17:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-02-25 21:36 . 2009-02-25 21:36 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\AdobeUM
2009-02-25 19:52 . 2004-08-04 00:46 14,848 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-25 19:52 . 2004-08-04 00:46 14,848 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-25 15:49 . 2009-02-25 15:49 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\streamripper
2009-02-25 15:48 . 2009-02-25 15:48 <DIR> d-------- c:\programme\Streamripper
2009-02-25 15:02 . 2009-02-25 15:02 <DIR> d-------- c:\programme\Gemeinsame Dateien\GTK
2009-02-25 15:02 . 2009-02-25 15:02 <DIR> d-------- c:\programme\Gaim
2009-02-25 15:02 . 2009-02-25 15:04 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\.gaim
2009-02-24 19:27 . 2009-02-24 19:27 <DIR> d-------- c:\programme\vso
2009-02-24 19:24 . 2009-02-24 19:24 67 --a------ c:\windows\AVIConverter.INI
2009-02-24 18:55 . 2009-02-24 18:55 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\vlc
2009-02-24 13:45 . 2009-02-24 13:45 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-02-24 12:33 . 2009-02-24 12:33 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\XemiComputers
2009-02-24 12:33 . 2009-02-24 12:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\XemiComputers
2009-02-24 12:30 . 2009-02-24 12:30 <DIR> d-------- c:\programme\XemiComputers
2009-02-24 12:07 . 2008-11-17 07:23 3,636,864 --a------ c:\windows\system32\drivers\NETw5x32.sys
2009-02-24 12:07 . 2008-06-20 09:33 2,756,608 --a------ c:\windows\system32\NETw5r32.dll
2009-02-24 12:07 . 2008-06-20 09:32 663,552 --a------ c:\windows\system32\NETw5c32.dll
2009-02-24 11:28 . 2009-02-24 11:28 <DIR> d-------- c:\programme\Wireless
2009-02-24 11:28 . 2009-02-24 11:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\Funk Software
2009-02-24 11:28 . 2009-02-24 11:28 <DIR> d-------- c:\programme\Funk Software
2009-02-24 11:28 . 2003-07-16 22:43 94,208 --a------ c:\windows\system32\W32N50CT.dll
2009-02-24 11:28 . 2003-05-14 16:01 62,673 -ra------ c:\windows\system32\drivers\odysseyIM3.sys
2009-02-24 11:28 . 2003-07-16 22:28 17,142 --a------ c:\windows\system32\CBTNDIS5.sys
2009-02-24 11:28 . 1998-05-13 00:00 4,716 --a------ c:\windows\system32\VERSION.LIB
2009-02-24 11:24 . 2009-02-24 11:24 <DIR> d-------- c:\programme\DVD Shrink
2009-02-24 11:24 . 2009-02-24 11:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-02-24 11:23 . 2009-02-24 11:23 <DIR> d-------- c:\programme\VideoLAN
2009-02-24 11:23 . 2009-02-24 11:23 <DIR> d-------- c:\programme\Skype
2009-02-24 11:23 . 2009-02-24 11:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2009-02-24 11:23 . 2009-03-07 21:11 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Skype
2009-02-24 11:23 . 2009-02-24 11:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-02-24 11:22 . 2009-02-24 11:22 <DIR> d-------- c:\programme\QuickTime
2009-02-24 11:22 . 2009-02-24 11:22 <DIR> d-------- c:\programme\iTunes
2009-02-24 11:22 . 2009-02-24 11:22 <DIR> d-------- c:\programme\iPod
2009-02-24 11:22 . 2009-02-24 11:22 <DIR> d-------- c:\programme\Bonjour
2009-02-24 11:22 . 2009-02-24 11:22 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Apple Computer
2009-02-24 11:22 . 2009-02-24 11:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-02-24 11:22 . 2009-03-13 21:23 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-24 11:22 . 2009-02-24 11:23 1,409 --a------ c:\windows\QTFont.for
2009-02-24 11:21 . 2009-02-24 11:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-02-24 11:21 . 2009-02-24 11:21 <DIR> d-------- c:\programme\Apple Software Update
2009-02-24 11:21 . 2009-02-24 11:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- c:\programme\Winamp
2009-02-24 11:20 . 2009-02-24 23:49 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Winamp
2009-02-24 11:20 . 2007-03-08 00:51 129,784 --------- c:\windows\system32\pxafs.dll
2009-02-24 11:20 . 2007-03-08 00:51 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys
2009-02-24 11:20 . 2007-03-08 00:51 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys
2009-02-24 11:19 . 2009-02-24 11:19 <DIR> d-------- c:\programme\gs
2009-02-24 09:49 . 2009-02-24 09:49 <DIR> d-------- c:\programme\MSXML 4.0
2009-02-24 00:17 . 2009-02-24 00:17 <DIR> d-------- c:\windows\Sun
2009-02-24 00:12 . 2009-02-24 00:12 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\ICQ Toolbar
2009-02-23 23:53 . 2009-02-23 23:53 268 --ah----- C:\sqmdata02.sqm
2009-02-23 23:53 . 2009-02-23 23:53 244 --ah----- C:\sqmnoopt02.sqm
2009-02-23 23:36 . 2009-02-24 00:09 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-02-23 23:35 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-23 23:31 . 2009-02-23 23:31 <DIR> d-------- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-02-23 23:31 . 2009-02-23 23:31 <DIR> d-------- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-02-23 23:29 . 2009-02-23 23:29 268 --ah----- C:\sqmdata01.sqm
2009-02-23 23:29 . 2009-02-23 23:29 244 --ah----- C:\sqmnoopt01.sqm
2009-02-23 23:26 . 2008-08-14 14:36 2,188,288 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-23 23:26 . 2008-08-14 14:35 2,145,280 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-23 23:26 . 2008-08-14 14:36 2,065,280 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-23 23:26 . 2008-08-14 14:35 2,023,424 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-23 23:26 . 2009-02-23 23:26 268 --ah----- C:\sqmdata00.sqm
2009-02-23 23:26 . 2009-02-23 23:26 244 --ah----- C:\sqmnoopt00.sqm
2009-02-23 23:25 . 2009-02-23 23:25 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-23 23:25 . 2009-02-23 23:25 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-23 23:24 . 2009-02-24 00:12 <DIR> d-------- c:\programme\ICQToolbar
2009-02-23 23:23 . 2009-03-13 17:34 <DIR> d-------- c:\programme\ICQ6
2009-02-23 23:23 . 2009-02-23 23:23 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\InstallShield
2009-02-23 23:23 . 2009-02-23 23:30 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\ICQ
2009-02-23 23:22 . 2009-02-23 23:22 <DIR> d-------- c:\programme\Webteh
2009-02-23 23:22 . 2009-02-23 23:22 <DIR> d-------- c:\programme\BS.Player ControlBar
2009-02-23 23:22 . 2009-02-23 23:22 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\BSplayer Pro
2009-02-23 23:22 . 2009-02-23 23:22 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\BSplayer
2009-02-23 23:20 . 2009-02-23 23:20 <DIR> d-------- c:\programme\Real
2009-02-23 23:20 . 2009-02-23 23:20 <DIR> d-------- c:\programme\Gemeinsame Dateien\xing shared
2009-02-23 23:20 . 2009-02-23 23:20 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2009-02-23 23:17 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-23 23:10 . 2008-10-03 11:15 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2009-02-23 23:08 . 2009-02-23 23:08 <DIR> d-------- c:\programme\MSN Messenger
2009-02-23 23:05 . 2009-02-23 23:05 <DIR> d-------- c:\programme\Avira
2009-02-23 23:05 . 2009-02-23 23:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-23 22:55 . 2009-02-23 22:55 0 --a------ c:\windows\nsreg.dat
2009-02-23 22:52 . 2009-03-13 00:09 69 --a------ c:\windows\NeroDigital.ini
2009-02-23 22:51 . 2009-02-23 22:51 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Bluetooth Software
2009-02-23 22:50 . 2009-02-23 22:50 <DIR> d-------- c:\programme\WIDCOMM
2009-02-23 22:49 . 2009-02-23 22:49 <DIR> d-------- c:\windows\Cache
2009-02-23 22:48 . 2009-02-24 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-23 22:47 . 2009-02-24 12:39 <DIR> d-------- c:\programme\TuneUp Utilities 2007
2009-02-23 22:47 . 2009-02-23 22:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-23 22:47 . 2009-02-23 22:47 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\TuneUp Software
2009-02-23 22:47 . 2009-02-23 22:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-23 22:47 . 2007-03-29 04:42 29,704 --a------ c:\windows\system32\uxtuneup.dll
2009-02-23 22:46 . 2009-02-23 22:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-02-23 22:46 . 2009-02-23 22:46 <DIR> d-------- c:\programme\Ahead
2009-02-23 22:46 . 2004-07-26 16:16 1,568,768 --------- c:\windows\system32\ImagX7.dll
2009-02-23 22:46 . 2004-07-26 16:16 476,320 --------- c:\windows\system32\ImagXpr7.dll
2009-02-23 22:46 . 2004-07-26 16:16 471,040 --------- c:\windows\system32\ImagXRA7.dll
2009-02-23 22:46 . 2004-07-26 16:16 262,144 --------- c:\windows\system32\ImagXR7.dll
2009-02-23 22:46 . 2001-07-09 10:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
2009-02-23 22:46 . 2004-03-02 16:37 125,184 --------- c:\windows\system32\drivers\imagesrv.sys
2009-02-23 22:46 . 2000-06-26 10:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
2009-02-23 22:46 . 2004-03-02 16:37 5,504 --------- c:\windows\system32\drivers\imagedrv.sys
2009-02-23 22:45 . 2009-02-24 11:28 <DIR> d-------- c:\windows\Downloaded Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-06 16:02 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-24 11:07 --------- d-----w c:\programme\DIFX
2009-02-23 22:25 --------- d-----w c:\programme\Java
2009-02-23 22:20 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-02-23 22:20 348,160 ----a-w c:\windows\system32\msvcr71.dll
2009-02-23 20:36 --------- d-----w c:\programme\Broadcom
2009-02-23 20:33 --------- d-----w c:\programme\Dell
2009-02-23 20:31 --------- d-----w c:\dokumente und einstellungen\Thomas\Anwendungsdaten\ATI
2009-02-23 20:29 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-23 20:29 --------- d-----w c:\programme\ATI Technologies
2009-02-23 20:27 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2009-02-23 20:26 --------- d-----w c:\programme\Synaptics
2009-02-23 20:25 --------- d-----w c:\programme\CONEXANT
2009-02-23 20:23 --------- d-----w c:\programme\SigmaTel
2009-02-23 20:22 --------- d-----w c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Intel
2009-02-23 20:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2009-02-23 20:21 --------- d-----w c:\programme\Intel
2009-02-23 20:18 5 ----a-w c:\windows\system32\drivers\DELL__.MRK
2009-02-23 20:18 5 ----a-w c:\windows\system32\drivers\1028_DELL__.MRK
2009-02-23 19:48 --------- d-----w c:\programme\microsoft frontpage
2009-02-23 19:45 --------- d-----w c:\programme\Online-Dienste
2009-02-23 19:44 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-23 19:41 --------- d-----w c:\programme\Windows Plus
.

((((((((((((((((((((((((((((( SnapShot@2009-03-13_21.10.05.95 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-13 20:19:56 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_710.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Active Desktop Calendar"="c:\programme\XemiComputers\Active Desktop Calendar\ADC.exe" [2007-11-15 3686400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-29 761947]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-23 148888]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"SigmatelSysTrayApp"="stsystra.exe" [2005-11-16 c:\windows\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-03-06 113664]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-05-24 622653]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowLOMControl]

[X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Active Desktop Calendar]
--a------ 2007-11-15 15:34 3686400 c:\programme\XemiComputers\Active Desktop Calendar\ADC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-10 13:00 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]
--a------ 2005-12-06 10:45 839680 c:\programme\Dell\QuickSet\quickset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-07-29 19:33 5354792 c:\programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-08-17 03:45 23120680 c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2009-01-26 15:31 2144088 c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2009-02-23 23:20 198160 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{117a465d-0263-11de-b325-0018deccf647}]
\Shell\AutoRun\command - H:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{117a465e-0263-11de-b325-0018deccf647}]
\Shell\AutoRun\command - I:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e863eb34-0586-11de-b335-0015c5c576c0}]
\Shell\AutoRun\command - G:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM
.
Inhalt des "geplante Tasks" Ordners

2009-03-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 05:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.bsplayer-search.com/startpage
uInternet Connection Wizard,ShellNext = hxxp://www.bsplayer-search.com/startpage
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\z5hueqmp.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\BS.Player ControlBar\FirefoxDTT\components\BSToolbarFF.dll
FF - component: c:\programme\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-13 21:26:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1208)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-13 21:27:35
ComboFix-quarantined-files.txt 2009-03-13 20:27:33
ComboFix2.txt 2009-03-13 20:10:49

Vor Suchlauf: 9 Verzeichnis(se), 23.539.056.640 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 23,525,875,712 Bytes frei

269 --- E O F --- 2009-02-24 09:35:19

6. HijackThis

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:39, on 13.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bsplayer-search.com/startpage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Programme\BS.Player ControlBar\BSToolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

--
End of file - 7111 bytes

7. Uninstall Liste

Zitat

Active Desktop Calendar 7.3
Ad-Aware SE Personal
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Photoshop CS
Adobe Reader 6.0.1 - Deutsch
Apple Mobile Device Support
Apple Software Update
Ask Toolbar
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Bonjour
Broadcom 440x 10/100 Integrated Controller
BS.Player ControlBar
BS.Player FREE
Conexant HDA D110 MDC V.92 Modem
DAEMON Tools
Defraggler (remove only)
Dell ResourceCD
DivxToDVD 0.5.2
DVD Shrink 3.2
Energieverwaltung der internen Netzwerkkarte
Gaim (nur entfernen)
GPL Ghostscript 8.62
GPL Ghostscript Fonts
GTK+ Runtime 2.10.7 rev a (nur entfernen)
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Windows Media Player 10 (KB903157)
Hotfix für Windows XP (KB888795)
Hotfix für Windows XP (KB891593)
Hotfix für Windows XP (KB899337)
Hotfix für Windows XP (KB899510)
Hotfix für Windows XP (KB902841)
Hotfix für Windows XP (KB952287)
ICQ6
iTunes
Java 2 Runtime Environment, SE v1.4.2_03
Java(TM) 6 Update 12
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB954430)
Nero OEM
Odyssey Client
PowerQuest PartitionMagic 8.0 Demo
QuickSet
QuickTime
RealPlayer
save2pc Light 3.43
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB912812)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB944338-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
SigmaTel Audio
Skype™ 3.5
Sonic Encoders
Spybot - Search & Destroy
Streamripper (Remove only)
Synaptics Pointing Device Driver
TP54USB Adapter
Trillian
TuneUp Utilities 2007
Update für Windows XP (KB898461)
Update für Windows XP (KB955839)
Update Rollup 2 für Windows XP Media Center Edition 2005
VideoLAN VLC media player 0.8.4a
WIDCOMM Bluetooth Software
Winamp
Windows Driver Package - Intel (NETw5x32) net (11/17/2008 12.2.0.11)
Windows Driver Package - Intel (w29n51) net (12/19/2007 9.0.4.39)
Windows Live Messenger
Windows Media Format Runtime
Windows Media Player Firefox Plugin
Windows XP-Hotfix - KB895961
Windows-Treiberpaket - Ricoh Company Memorystick Host Controller (07/09/2005 1.00.01.12)
Windows-Treiberpaket - Ricoh Company MMC Host Controller (07/14/2005 1.00.00.06)
Windows-Treiberpaket - Ricoh Company xD-Picture Card/SmartMedia Host Controller (07/14/2005 1.00.02.04)
WinRAR Archivierer

Ich hoffe das hilft dir/euch bei der weiteren Analyse EDIT:

Guten morgen,
ich habe jetzt nochmal ein kompletten Virenscan gemacht

Zitat

Beginn des Suchlaufs: Samstag, 14. März 2009 10:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Samstag, 14. März 2009 11:01
Benötigte Zeit: 22:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7592 Verzeichnisse wurden überprüft
266468 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
266467 Dateien ohne Befall
1285 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Sollte es das jetzt wirklich schon gewesen sein? wäre ja Cool :-)

Lieben Gruß Thomas

#6 start ausfüren
combofix /u
enter
stelle antivir so ein:
http://board.protecus.de/t23979.htm
zusätzlich rootkitsuche an
update, scanne poste das log.

#7 Mahlzeit,

Also ich hab deine Anweisungen durchgeführt :-)

hier das Ergebnis

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 14. März 2009 12:36

Es wird nach 1297221 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ABG-ARCO

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 22:06:01
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 19:25:47
ANTIVIR3.VDF : 7.1.2.171 61952 Bytes 13.03.2009 17:37:17
Engineversion : 8.2.0.114
AEVDF.DLL : 8.1.1.0 106868 Bytes 23.02.2009 22:06:11
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 12.03.2009 20:57:13
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 16:13:33
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 16:13:29
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 08:59:12
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 16:13:32
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 08:59:09
AEGEN.DLL : 8.1.1.28 336244 Bytes 12.03.2009 20:57:12
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 23.02.2009 22:06:03
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 14. März 2009 12:36

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41008' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten>
D:\Download\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e99b05.qua' verschoben!
D:\System Volume Information\_restore{D5BE94BE-CE8B-4C34-8201-F4F42A26F342}\RP3\A0000523.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49eb9eef.qua' verschoben!


Ende des Suchlaufs: Samstag, 14. März 2009 13:10
Benötigte Zeit: 34:41 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7575 Verzeichnisse wurden überprüft
267149 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
267146 Dateien ohne Befall
1292 Archive wurden durchsucht
1 Warnungen
2 Hinweise
41008 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Die 2 Funde hab ich in die Quarantäne geschobe weil ein Fund schonmal nix ist, dass mit Frizbox (denk ich).

Lieben Gruß

Thomas

#8 D:\Download\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
wenn du das brauchst, musst du in die quarantäne gehen (antivir öffnen quarantäne) und die datei wiederherstellen.
es folgen gleich noch ein paar kleinigkeiten dann bist du fertig ;-)

#9 folgende programme löschen:
Ask Toolbar
lösche auch
C:\Programme\AskPBar
leere den papierkorb
Bonjour
wird ungefragt von apple mit instaliert, benötigt man nicht.
Java 2 Runtime Environment, SE v1.4.2_03
folgende programme updaten zuvor deinstalieren:
Adobe Reader 6.0.1 - Deutsch
www.adobe.com/de/products/reader/ - 32k -
VideoLAN VLC media player 0.8.4a
www.chip.de/downloads/VLC-media-player_13005928.html - 111k -
Skype™ 3.5
www.skype.com/intl/de/download/ - 19k -
besuche nun:
http://v4.windowsupdate.microsoft.com/de/

#10 Danke,
hab ich alles gemacht bis auf windowsupdates, ich finde da sind mehr spionage programme als sonst wo, und die installieren mir auch ständig den IE wieder welchen ich dann immer deinstalliere
Ich hab zwar ne originalversion aber so wirklich trauen tu ich den Windows"spezialisten" dann irgentwie doch nich.

Meinste das bringt soviel das zu installieren?

Grüße

Thomas

#11 1. wenn man seinem betriebssystem nicht traut, sollte man ein anderes verwenden ;-=
2. ein klares ja, alle wichtigen updates müssen drauf auch der ie 7!

#12 Ja aber Mac läuft nich gerade gut auf Windowstechnik ;-)

Naja ich installiers mal noch

Ich Dank dir für deine Hilfe und deine Zeit

Lieben Gruß

Thomas

#13 linux... bitte melde dich mit einem neuen hijackthis log zurück.

#14 Okay hier der Log :-)

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57:38, on 14.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bsplayer-search.com/startpage
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Programme\BS.Player ControlBar\BSToolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

--
End of file - 8213 bytes

Anmerkung: IE7 konnte nicht installiert werden wurde abgebrochen, also hab ich automatische Updates installiert und jetzt kam halt noch eins dazu. SP 3 ist aber schon installiert

Grüße

#15 öffne hijackthis klicke scan hake an:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
so, folgende einträge würde ich auch mit fixen, da sie im autostart unnötig sind!
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
klicke fix cheked.
bitte instaliere den internetexplorer 7!
dann sind wir fertig