Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen entfernen

#1 Antivir hat den Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen
gefunden und ich möchte ihn entfernen.
Auszug aus dem Log von Antivir:

Zitat

G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
G:\Sacred 2\Crack + Patch\Sacred 2 Crack - Works after Level 13 (All patch Versions)\Sacred 2 Crack - Works after Level 13 (All patch Versions).rar
[0] Archivtyp: RAR
--> FAH.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'H:\' <EXTERN FAT>
H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

G und H ist eine externe Festplatte.

Temporäre Dateien habe ich danach beseitigt, wie befohlen

Der Scan mit Malewarebytes ergab folgendes:

Zitat

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1933
Windows 6.0.6001 Service Pack 1

02.04.2009 18:35:39
mbam-log-2009-04-02 (18-35-39).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 75947
Laufzeit: 3 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.
H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Infizierte Dateien:
G:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
H:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Der zweite scan ergab keinen Fund.

HijackThis Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:41, on 02.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\P4P\P4P.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HControlUser] "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\Windows\system32\pr2agqwc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 7179 bytes

Uninstall List:

Zitat

2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office system
32 Bit HP CIO Components Installer
Activation Assistant for the 2007 Microsoft Office suites
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.4
Adobe Reader 8.1.4 - Deutsch
AGEIA PhysX v7.11.13
ASUS InstantFun
ASUS LifeFrame3
ASUS Live Update
ASUS MultiFrame
ASUS Power4Gear eXtreme
ASUS Security Protect Manager
ASUS SmartLogon
ASUS Splendid Video Enhancement Technology
ASUS Virtual Camera
Asus_Camera_ScreenSaver
ATK Generic Function Service
ATK Hotkey
ATK Media
ATKOSD2
AUCOTEC ELCAD DIN 7.4.0 Demo
AuthenTec Fingerprint Sensor Minimum Install
Avira AntiVir Personal - Free Antivirus
Broken Sword 2.5
ccc-Branding
Command & Conquer 3
Command & Conquer™ 3: Kanes Rache
Crystal Reports Basic for Visual Studio 2008
Crystal Reports Basic German Language Pack for Visual Studio 2008
CyberLink LabelPrint
CyberLink Power2Go
CyberLink Power2Go
Deinstallation von DCE
Drakensang (Patch Version 1.02)
Express Gate
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Microsoft Visual Studio 2008 Professional Edition - DEU (KBKB952241)
HP Customer Participation Program 8.0
HP Imaging Device Functions 8.0
HP OCR Software 8.0
HP Officejet Pro L7400 Series
HP Product Assistant
HP Smart Web Printing
HP Solution Center 8.0
HP Update
ICQ6.5
Intel PROSet Wireless
IrfanView (remove only)
Live Usb Helper 0.0.8
Loki
Loki
Malwarebytes' Anti-Malware
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Device Emulator Version 3.0 - DEU
Microsoft Document Explorer 2008
Microsoft Document Explorer 2008
Microsoft Document Explorer 2008 Language Pack - DEU
Microsoft Document Explorer 2008 Language Pack - DEU
Microsoft Office Access MUI (Dutch) 2007
Microsoft Office Access MUI (English) 2007
Microsoft Office Access MUI (French) 2007
Microsoft Office Access MUI (German) 2007
Microsoft Office Access MUI (Italian) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (Dutch) 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Excel MUI (Italian) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office Language Pack 2007 Service Pack 1 (SP1)
Microsoft Office Live Add-in 1.3
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (Dutch) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office Outlook MUI (Italian) 2007
Microsoft Office PowerPoint MUI (Dutch) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office PowerPoint MUI (Italian) 2007
Microsoft Office Professional Hybrid 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (Dutch) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing (Italian) 2007
Microsoft Office Publisher MUI (Dutch) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Publisher MUI (Italian) 2007
Microsoft Office Shared MUI (Dutch) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Shared MUI (Italian) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Visual Web Developer 2007
Microsoft Office Visual Web Developer MUI (German) 2007
Microsoft Office Word MUI (Dutch) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Office Word MUI (Italian) 2007
Microsoft Silverlight
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)
Microsoft SQL Server Compact 3.5 Design Tools DEU
Microsoft SQL Server Compact 3.5 DEU
Microsoft SQL Server Compact 3.5 for Devices DEU
Microsoft SQL Server Database Publishing Wizard 1.2
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft Visio Professional 2002 [English]
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual Studio 2005 Tools for Office Runtime
Microsoft Visual Studio 2005 Tools for Office Runtime Language Pack
Microsoft Visual Studio 2008 Professional Edition - DEU
Microsoft Visual Studio Web Authoring Component
Microsoft Windows SDK for Visual Studio 2008 .NET Framework Tools
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SDK Reference Assemblies and IntelliSense
Microsoft Windows SDK for Visual Studio 2008 Tools
Microsoft Windows SDK for Visual Studio 2008 Win32 Tools
Motorola SM56 Speakerphone Modem
MSDN Library for Visual Studio 2008 - DEU
MSDN Library für Visual Studio 2008 - DEU
MSXML 4.0 SP2 (KB954430)
NB Probe
Notepad++
P4P
Picasa 2
PowerDVD
Realtek 8169 8168 8101E 8102E Ethernet Driver
Realtek High Definition Audio Driver
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.52.02
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office OneNote 2007 (KB950130)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Security Update for Microsoft Office Word 2007 (KB956358)
SmartFTP Client
SmartFTP Client 3.0 Setup Files (remove only)
Synaptics Pointing Device Driver
The Witcher
Tools für Microsoft SQL Server 2005 Express Edition
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Update for Microsoft Office 2007 Help for Common Features (KB957244)
Update for Microsoft Office Access 2007 Help (KB957241)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office PowerPoint 2007 Help (KB957247)
Update for Microsoft Office Publisher 2007 Help (KB957249)
Update for Microsoft Office Word 2007 Help (KB957252)
Update for Microsoft Script Editor Help (KB957253)
Update for Office 2007 (KB946691)
Update for Office 2007 (KB946691)
Update for Office 2007 (KB946691)
Update for Outlook 2007 Junk Email Filter (kb962871)
Update for Outlook 2007 Junk Email Filter (kb962871)
USB 2.0 1.3M UVC WebCam
VC Runtimes MSI
Ventrilo Client
Visual Studio 2005 Tools for Office Second Edition Runtime
Visual Studio Tools for the Office system 3.0 Runtime
Visual Studio Tools for the Office system 3.0 Runtime
Visual Studio-Tools für Office System 3.0 Runtime Language Pack - DEU
Vuze
Warcraft III
Winamp
Windows Live Anmelde-Assistent
Windows Mobile 5.0 SDK R2 for Pocket PC
Windows Mobile 5.0 SDK R2 for Smartphone
WinFACT 7
WinFlash
WinRAR
Wireless Console 2
World of Warcraft

Ist das Zeug nun entfernt oder muss ich noch was tun?
Danke schonmal für die Hilfe

#2 DAS GEHT GAR NICHT:

Zitat

Crack + Patch\Sacred 2 Crack

Bitte lass die Finger davon. Genau so schleust du diese Malware ein.

Gemäss Malwarebytes ist es der CONFICKER.

>>
Mach mal folgenden Test und berichte:
http://www.heise.de/security/dienste/browsercheck/tests/conficker/conficker.shtml

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#3 Die Festplatte gehört nicht mir, infiziert hat sie mich trotzdem. Is aber wohl auch egal...

Der Test zeigt ne normale Darstellung.

Das Combofixlog:

Zitat

ComboFix 09-04-01.01 - Admin 2009-04-03 13:57:08.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.3070.1933 [GMT 2:00]
ausgeführt von:: c:\users\Sebastian\Desktop\ComboFix.exe
AV: Trend Micro OfficeScan Antivirus *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\acovcnt.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-03 bis 2009-04-03 ))))))))))))))))))))))))))))))
.

2009-04-03 08:36 . 2009-04-03 08:36 <DIR> d-------- c:\windows\System32\log
2009-04-03 08:36 . 2009-04-03 14:02 <DIR> d-------- c:\program files\OfficeScan NT
2009-04-02 18:46 . 2009-04-02 18:46 <DIR> d-------- c:\users\Admin\AppData\Roaming\ATI
2009-04-02 18:45 . 2009-04-02 18:45 <DIR> d-------- c:\users\Admin\P4P
2009-04-02 18:44 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Searches
2009-04-02 18:44 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Contacts
2009-04-02 18:44 . 2009-04-02 18:44 <DIR> d-------- c:\users\Admin\AppData\Roaming\Malwarebytes
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Videos
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Saved Games
2009-04-02 18:43 . 2009-03-08 10:42 <DIR> d-------- c:\users\Admin\Roaming
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Pictures
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Music
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Links
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Downloads
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> dr------- c:\users\Admin\Documents
2009-04-02 18:43 . 2006-11-02 14:37 <DIR> d-------- c:\users\Admin\AppData\Roaming\Media Center Programs
2009-04-02 18:43 . 2009-04-02 18:44 <DIR> d--h----- c:\users\Admin\AppData
2009-04-02 18:43 . 2009-04-02 18:45 <DIR> d-------- c:\users\Admin
2009-04-02 18:31 . 2009-04-02 18:31 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Malwarebytes
2009-04-02 18:31 . 2009-04-02 18:31 <DIR> d-------- c:\programdata\Malwarebytes
2009-04-02 18:31 . 2009-04-02 18:31 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-02 18:31 . 2009-03-26 16:49 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-04-02 18:31 . 2009-03-26 16:49 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-04-02 18:17 . 2009-04-02 18:17 <DIR> d-------- c:\program files\Trend Micro
2009-03-29 14:54 . 2009-03-29 14:58 <DIR> d-------- c:\users\Christina\AppData\Roaming\Notepad++
2009-03-28 12:57 . 2009-03-28 12:57 <DIR> d-------- c:\program files\Synaptics
2009-03-28 12:57 . 2006-03-09 18:58 1,060,424 --a------ c:\windows\System32\WdfCoInstaller01000.dll
2009-03-28 12:57 . 2007-12-07 02:09 196,608 --a------ c:\windows\System32\SynCtrl.dll
2009-03-28 12:57 . 2007-12-07 03:12 196,400 --a------ c:\windows\System32\drivers\SynTP.sys
2009-03-28 12:57 . 2007-12-07 02:08 163,840 --a------ c:\windows\System32\SynCOM.dll
2009-03-28 12:57 . 2007-12-07 02:20 147,456 --a------ c:\windows\System32\SynTPAPI.dll
2009-03-28 12:57 . 2007-12-07 03:12 110,592 --a------ c:\windows\System32\SynTPCo4.dll
2009-03-27 22:07 . 2009-03-27 22:07 <DIR> d-------- c:\users\Christina\AppData\Roaming\Broken Sword 2.5
2009-03-26 10:47 . 2009-03-26 10:47 <DIR> d-------- c:\program files\Common Files\SWF Studio
2009-03-23 17:32 . 2008-10-10 05:52 4,379,984 --a------ c:\windows\System32\D3DX9_40.dll
2009-03-23 17:32 . 2008-10-10 05:52 2,036,576 --a------ c:\windows\System32\D3DCompiler_40.dll
2009-03-23 17:32 . 2008-10-27 11:04 514,384 --a------ c:\windows\System32\XAudio2_3.dll
2009-03-23 17:32 . 2008-10-10 05:52 452,440 --a------ c:\windows\System32\d3dx10_40.dll
2009-03-23 17:32 . 2008-10-27 11:04 235,856 --a------ c:\windows\System32\xactengine3_3.dll
2009-03-23 17:32 . 2008-10-27 11:04 70,992 --a------ c:\windows\System32\XAPOFX1_2.dll
2009-03-23 17:32 . 2008-10-27 11:04 23,376 --a------ c:\windows\System32\X3DAudio1_5.dll
2009-03-21 09:26 . 2009-03-21 09:26 <DIR> d-------- c:\programdata\WindowsSearch
2009-03-19 20:16 . 2009-03-19 20:16 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\DAEMON Tools Pro
2009-03-19 20:16 . 2009-03-19 20:16 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\DAEMON Tools
2009-03-19 20:15 . 2009-03-19 20:16 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\DAEMON Tools Lite
2009-03-19 20:15 . 2009-03-19 20:15 <DIR> d-------- c:\programdata\DAEMON Tools Lite
2009-03-19 20:15 . 2009-03-23 17:39 <DIR> d-------- c:\program files\DAEMON Tools Lite
2009-03-19 17:51 . 2009-02-13 12:31 55,640 --a------ c:\windows\System32\drivers\avgntflt.sys
2009-03-18 22:24 . 2009-03-18 22:24 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Command & Conquer 3 Kanes Rache
2009-03-18 19:44 . 2009-03-26 22:24 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Command & Conquer 3 Tiberium Wars
2009-03-18 09:07 . 2009-03-18 09:07 <DIR> d-------- c:\program files\aucotec
2009-03-18 09:06 . 2009-03-18 09:06 647,872 --a------ c:\windows\System32\mscomct2.OCX
2009-03-18 09:06 . 2009-03-18 09:06 209,608 --a------ c:\windows\System32\tabctl32.OCX
2009-03-18 09:06 . 2009-03-18 09:06 140,288 --a------ c:\windows\System32\comdlg32.OCX
2009-03-17 20:40 . 2009-03-17 20:40 <DIR> d-------- c:\programdata\Hewlett-Packard
2009-03-17 19:02 . 2009-03-17 19:02 <DIR> d-------- c:\program files\Alcohol Soft
2009-03-17 19:00 . 2009-03-17 19:00 717,296 --a------ c:\windows\System32\drivers\sptd.sys
2009-03-17 18:04 . 2009-03-17 18:04 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\SmartFTP
2009-03-17 18:03 . 2009-03-17 18:03 <DIR> d-------- c:\program files\SmartFTP Client 3.0 Setup Files
2009-03-17 18:03 . 2009-03-17 18:03 <DIR> d-------- c:\program files\SmartFTP Client
2009-03-17 09:56 . 2009-03-17 09:56 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo
2009-03-16 19:28 . 2009-03-16 19:33 <DIR> d-------- c:\program files\Live Usb Helper
2009-03-14 10:13 . 2009-03-14 10:13 <DIR> d-------- c:\program files\Western Digital
2009-03-13 21:00 . 2009-03-13 21:00 <DIR> d-------- c:\programdata\Office Genuine Advantage
2009-03-13 19:19 . 2009-03-26 17:25 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Azureus
2009-03-13 19:19 . 2009-03-13 19:19 <DIR> d-------- c:\programdata\Azureus
2009-03-13 19:18 . 2009-03-13 19:19 <DIR> d-------- c:\program files\Vuze
2009-03-13 19:18 . 2009-03-13 19:18 <DIR> d-------- c:\program files\Common Files\i4j_jres
2009-03-12 23:52 . 2009-03-12 23:52 107,888 --a------ c:\windows\System32\CmdLineExt.dll
2009-03-12 23:49 . 2008-07-12 09:18 3,851,784 --a------ c:\windows\System32\D3DX9_39.dll
2009-03-12 23:49 . 2008-07-12 09:18 1,493,528 --a------ c:\windows\System32\D3DCompiler_39.dll
2009-03-12 23:49 . 2008-07-31 11:40 509,448 --a------ c:\windows\System32\XAudio2_2.dll
2009-03-12 23:49 . 2008-07-12 09:18 467,984 --a------ c:\windows\System32\d3dx10_39.dll
2009-03-12 23:49 . 2008-07-31 11:41 238,088 --a------ c:\windows\System32\xactengine3_2.dll
2009-03-12 23:49 . 2008-07-31 11:41 68,616 --a------ c:\windows\System32\XAPOFX1_1.dll
2009-03-12 23:44 . 2009-03-12 23:44 <DIR> d-------- c:\windows\System32\AGEIA
2009-03-12 23:44 . 2009-03-12 23:44 <DIR> d-------- c:\program files\AGEIA Technologies
2009-03-12 23:39 . 2009-03-12 23:39 <DIR> d-------- c:\programdata\HP Product Assistant
2009-03-12 17:21 . 2009-03-12 17:21 <DIR> d-------- c:\program files\MSXML 4.0
2009-03-11 23:30 . 2009-03-11 23:30 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\CadSoft
2009-03-11 20:29 . 2009-03-13 18:57 39 --a------ c:\windows\vbaddin.ini
2009-03-11 19:58 . 2009-03-26 14:03 227 --a------ c:\windows\FTRUN32.INI
2009-03-11 19:56 . 2009-03-11 19:56 <DIR> d-------- c:\program files\Kahlert
2009-03-11 19:49 . 2009-03-11 19:49 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\HPAppData
2009-03-11 19:48 . 2009-03-11 19:48 <DIR> d-------- c:\program files\Common Files\HP
2009-03-11 19:47 . 2009-03-11 19:47 <DIR> d-------- c:\program files\Hewlett-Packard
2009-03-11 19:47 . 2009-03-11 19:47 <DIR> d-------- c:\program files\Common Files\Hewlett-Packard
2009-03-11 19:45 . 2009-03-11 19:45 <DIR> d-------- c:\windows\carrier_jr
2009-03-11 19:45 . 2007-01-12 11:42 892,928 --a------ c:\windows\System32\hpwtiop2.dll
2009-03-11 19:45 . 2007-01-12 11:42 675,840 --a------ c:\windows\System32\hpwwiax2.dll
2009-03-11 19:45 . 2006-12-04 00:32 364,544 --a------ c:\windows\System32\hppldcoi.dll
2009-03-11 19:45 . 2006-12-04 00:32 309,760 --a------ c:\windows\System32\difxapi.dll
2009-03-11 19:45 . 2006-12-19 20:55 294,912 --a------ c:\windows\System32\hpovst11.dll
2009-03-11 19:45 . 2007-09-11 11:39 258,048 --a------ c:\windows\System32\hpzids01.dll
2009-03-11 19:45 . 2007-08-29 20:20 118,272 --a------ c:\windows\System32\hpz3l4x9.dll
2009-03-11 19:44 . 2009-03-11 19:49 <DIR> d-------- c:\program files\HP
2009-03-11 19:42 . 2009-03-11 19:49 <DIR> d-------- c:\programdata\HP
2009-03-11 19:42 . 2009-03-11 19:50 163,342 --a------ c:\windows\hpwins18.dat
2009-03-11 19:31 . 2009-03-11 19:31 <DIR> d-------- c:\windows\LiedNet
2009-03-11 19:29 . 2009-03-11 19:29 <DIR> d-------- c:\program files\Longman DCE English
2009-03-11 19:29 . 2009-03-11 19:29 117 --a------ c:\windows\Ldoce.ini
2009-03-11 19:28 . 1998-10-21 19:43 328,704 --a------ c:\windows\IsUn0407.exe
2009-03-11 18:53 . 2009-02-09 05:10 2,033,152 --a------ c:\windows\System32\win32k.sys
2009-03-11 18:53 . 2008-11-27 06:43 268,288 --a------ c:\windows\System32\schannel.dll
2009-03-10 16:36 . 2009-03-12 17:36 <DIR> d-------- C:\NST
2009-03-10 12:14 . 2009-03-13 19:30 <DIR> d-------- c:\program files\NeoSmart Technologies
2009-03-09 19:27 . 2009-03-19 21:23 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\IrfanView
2009-03-09 19:27 . 2009-03-09 19:27 <DIR> d-------- c:\program files\IrfanView
2009-03-09 19:24 . 2009-03-09 19:30 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Winamp
2009-03-09 19:24 . 2009-03-09 19:24 <DIR> d-------- c:\program files\Winamp
2009-03-09 19:24 . 2009-03-09 19:24 <DIR> d-------- c:\program files\Common Files\PX Storage Engine
2009-03-09 19:22 . 2009-03-09 21:12 <DIR> d-------- c:\users\Sebastian\AppData\Roaming\Notepad++
2009-03-09 19:22 . 2009-03-09 19:22 <DIR> d-------- c:\program files\Notepad++
2009-03-08 14:03 . 2009-03-08 14:03 <DIR> dr------- c:\users\Christina\Searches
2009-03-08 14:03 . 2009-03-08 14:03 <DIR> d-------- c:\users\Christina\P4P
2009-03-08 14:03 . 2009-03-08 14:03 <DIR> dr------- c:\users\Christina\Contacts
2009-03-08 14:03 . 2009-03-08 14:03 <DIR> d-------- c:\users\Christina\AppData\Roaming\ATI
2009-03-08 14:02 . 2009-03-08 14:03 <DIR> dr------- c:\users\Christina\Videos
2009-03-08 14:02 . 2009-03-08 14:31 <DIR> dr------- c:\users\Christina\Saved Games
2009-03-08 14:02 . 2009-03-08 10:42 <DIR> d-------- c:\users\Christina\Roaming
2009-03-08 14:02 . 2009-03-08 14:15 <DIR> dr------- c:\users\Christina\Pictures
2009-03-08 14:02 . 2009-03-08 14:03 <DIR> dr------- c:\users\Christina\Music
2009-03-08 14:02 . 2009-03-15 18:33 <DIR> dr------- c:\users\Christina\Links
2009-03-08 14:02 . 2009-03-08 14:03 <DIR> dr------- c:\users\Christina\Downloads
2009-03-08 14:02 . 2009-03-08 14:15 <DIR> dr------- c:\users\Christina\Documents

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-19 18:17 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-12 14:57 --------- d-----w c:\program files\Windows Mail
2009-03-12 14:55 --------- d-----w c:\programdata\Microsoft Help
2009-03-11 17:38 --------- d-----w c:\programdata\CyberLink
2009-03-11 17:38 --------- d-----w c:\program files\CyberLink
2009-03-08 08:47 --------- d-----w c:\program files\ASUS
2009-03-08 08:41 --------- d-----w c:\program files\Intel
2009-03-07 07:54 --------- d-----w c:\program files\Microsoft.NET
2009-03-07 07:44 --------- d-----w c:\program files\MSBuild
2009-03-06 17:02 --------- d-----w c:\program files\Google
2009-03-06 17:02 --------- d-----w c:\program files\Common Files\Symantec Shared
2009-03-06 15:47 --------- d-----w c:\programdata\ASUS
2009-03-06 13:20 --------- d-----w c:\program files\Common Files\Adobe
2009-03-06 13:11 --------- d-----w c:\programdata\Symantec
2008-01-21 02:43 174 --sha-w c:\program files\desktop.ini
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControlUser"="c:\program files\ATK Hotkey\HcontrolUser.exe" [2008-01-12 98304]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2008-01-24 7766016]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"CognizanceTS"="c:\progra~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll" [2003-12-22 17920]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2008-02-02 61440]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-08-03 778240]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2008-11-03 3054136]
"ASUS Camera ScreenSaver"="c:\windows\AsScrProlog.exe" [2008-11-03 47672]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-07 1029416]
"OfficeScanNT Monitor"="c:\program files\OfficeScan NT\pccntmon.exe" [2009-01-09 718120]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-16 c:\windows\RtHDVCpl.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

c:\users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=APSHook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ASWLNPkg

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logitech SetPoint.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
--------- 2008-07-18 20:52 104936 c:\program files\CyberLink\Power2Go\CLMLSvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2Go_Menu]
--------- 2008-06-13 19:11 210216 c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
--a------ 2008-01-25 01:31 1208320 c:\program files\Motorola\SMSERIAL\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2007-12-07 03:12 1029416 c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-350602580-3622770832-192062616-1000]
"EnableNotificationsRef"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-350602580-3622770832-192062616-1001]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B2FD979B-D3F9-47DD-866B-3D274869A1B7}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{11B11AD5-DA05-437B-A70D-64419038E0AB}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{79A0B081-4EFC-460D-9A52-F2BA0D991A25}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{209FF6CC-201F-469C-95AE-7841C3CFD7FD}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{9DF043B6-3103-487C-8FD4-2F4681C8FAED}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{812E7024-998D-4BB7-8B1F-1FF74F3AA1E1}"= UDP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe
"{B2BC74E3-152A-452F-B3DC-E5B55CDBCF94}"= TCP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe
"TCP Query User{C86DC619-16D6-438C-8E0A-A74EED0F3935}d:\\world of warcraft\\launcher.exe"= UDP:d:\world of warcraft\launcher.exe:Blizzard Launcher
"UDP Query User{879BCB62-5847-425E-8AAE-43B4EFE3F20E}d:\\world of warcraft\\launcher.exe"= TCP:d:\world of warcraft\launcher.exe:Blizzard Launcher
"TCP Query User{54149AE9-956C-43E3-AAC2-497891A37CFC}d:\\games\\warcraft iii\\war3.exe"= UDP:d:\games\warcraft iii\war3.exe:Warcraft III
"UDP Query User{957D7565-57FD-4E10-ABB0-42F4A1BE5BFA}d:\\games\\warcraft iii\\war3.exe"= TCP:d:\games\warcraft iii\war3.exe:Warcraft III
"{71196360-FBC9-44E1-865E-0EB012D36F45}"= UDP:d:\games\Sacred 2 - DEMO\system\s2gs.exe:Sacred 2 Game Server
"{97072735-64AD-4ED7-A808-C8FA74852CAB}"= TCP:d:\games\Sacred 2 - DEMO\system\s2gs.exe:Sacred 2 Game Server
"{ECB46204-2CC8-4437-8972-BC637FCD550E}"= UDP:d:\games\Sacred 2 - DEMO\system\sacred2.exe:Sacred 2
"{563D2314-5571-4203-8EA2-B0F4CEF5A68F}"= TCP:d:\games\Sacred 2 - DEMO\system\sacred2.exe:Sacred 2
"TCP Query User{C198285B-33AF-49D1-A7CA-47B1A10B9E11}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus
"UDP Query User{0B580C59-4061-4B72-B79A-0009FB6A532F}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus
"{FA38B029-31EA-42A9-A200-840FE6993D07}"= UDP:c:\program files\SmartFTP Client\SmartFTP.exe:SmartFTP Client
"{1A09414A-736F-410C-BA39-629B0F734441}"= TCP:c:\program files\SmartFTP Client\SmartFTP.exe:SmartFTP Client
"{AFB47F10-7559-44C2-8AD3-CABC3369461A}"= UDP:d:\games\Loki\Loki.exe:Loki
"{D8A853F4-78C1-4486-91A5-F1EA8B99DCCC}"= TCP:d:\games\Loki\Loki.exe:Loki
"{9FAFC01C-DB9A-4EDC-96A7-58AD4209CB2E}"= UDP:d:\games\Loki\Autorun\AutoRun.exe:Loki - AutoRun
"{6BA69166-250D-45F7-A680-02D10EC8323C}"= TCP:d:\games\Loki\Autorun\AutoRun.exe:Loki - AutoRun
"{0D6E40A3-C830-47B7-9C38-3475BE1B34CB}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{BF932A22-1E71-4B2B-92C3-55B3B6714D5E}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{DB9D8A7B-4DF6-4444-8B09-43AD6BF9D8F2}"= UDP:24881:Trend Micro OfficeScan Listener

R0 pe3agqwc;Loki Environment Driver (pe3agqwc);c:\windows\System32\drivers\pe3agqwc.sys [2007-05-16 64880]
R0 ps6agqwc;Loki Synchronization Driver (ps6agqwc);c:\windows\System32\drivers\ps6agqwc.sys [2007-05-16 55160]
R2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [2008-01-21 21504]
R2 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe -k Cognizance [2008-01-21 21504]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [2008-08-29 3664384]
S2 pr2agqwc;Loki Drivers Auto Removal (pr2agqwc);c:\windows\system32\pr2agqwc.exe svc --> c:\windows\system32\pr2agqwc.exe svc [?]
S2 TmFilter;Trend Micro Filter;c:\program files\OfficeScan NT\TmXpflt.sys [2008-11-26 205328]
S2 TmPreFilter;Trend Micro PreFilter;c:\program files\OfficeScan NT\TmPreflt.sys [2008-11-26 36368]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\OfficeScan NT\TmProxy.exe [2008-06-26 652552]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-04-03 c:\windows\Tasks\User_Feed_Synchronization-{BE2992F5-D690-41B7-9DBB-6E13DBAD5600}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 04:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=ASUS&bmod=ASUS
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=ASUS&bmod=ASUS
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-03 14:03:47
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(768)
c:\program files\ASUS Security Center\ASUS Security Protect Manager\bin\ASWLNPkg.dll
c:\program files\ASUS Security Center\ASUS Security Protect Manager\bin\ItMsg.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\ATK Hotkey\AsLdrSrv.exe
c:\program files\ATKGFNEX\GFNEXSrv.exe
c:\windows\System32\wlanext.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\ASUS Security Center\ASUS Security Protect Manager\Bin\asghost.exe
c:\program files\ASUS\SmartLogon\sensorsrv.exe
c:\program files\ATK Hotkey\HControl.exe
c:\program files\ATK Hotkey\MsgTranAgt.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Wireless Console 2\wcourier.exe
c:\program files\P4G\BatteryLife.exe
c:\program files\ASUS\Splendid\ACMON.exe
c:\windows\System32\ACEngSvr.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\windows\System32\conime.exe
c:\program files\ATK Hotkey\KBFiltr.exe
c:\program files\ATK Hotkey\WDC.exe
c:\program files\OfficeScan NT\Misc\xpupg.exe
c:\program files\OfficeScan NT\PccNTUpd.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-03 14:07:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-03 12:06:57

Vor Suchlauf: 18 Verzeichnis(se), 25.092.681.728 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 25,249,796,096 Bytes frei

325 --- E O F --- 2009-04-03 11:42:19

Mit dem Log kann ich so gar nichts anfangen...
Mich wundern nur die einträge von Programmen die eigentlich nicht mehr da sind(Sacred2 Demo und Loki)

#4 >>
Combofix entfernen:
Windows Taste + R drücken
Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Also gehe ich davon aus, dass DU Loki nicht mehr benötigst:

Ist es dann auch nicht mehr unter Start --> Systemsteuerung --> Software drin? So dass DU es da löschen könntest?

Dürfte sich hier befinden:
d:\games\Loki

>>
Ich nehme an, dass Du die externe Festplatte nicht mehr anhängst??

>>
Scanne mit Cureit und poste das Log:
http://board.protecus.de/t29350.htm

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\Windows\system32\pr2agqwc.exe

und wähle fix checked.

Starte den Rechner neu.

>>
Poste ein neues HJT Log.

GRUSS sWIss

#5 Combofix entfernt

den Loki Ordner hab ich gelöscht und den Eintrag mit Hijack This entfernt
Cureit download ist extrem langsam ich such grad nen alternativ dl

Logs folgen wenn ich Cureit habe

*edit*

da Cure It sich nicht selbst aktualisiert lad ich es von drweb direkt(um wirklich die aktuellste zu haben), dauert aber 1 std da ich nur 3k hin kriege :/

*edit²*

n vorläufiges Hijack This Log Cure It ist noch NICHT drüber gelaufen

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:58, on 03.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\P4P\P4P.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OfficeScan NT\PccNTMon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\P4P\P4P.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OfficeScan NT\PccNTMon.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [HControlUser] "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKUS\S-1-5-21-350602580-3622770832-192062616-1000\..\Run: [NB Probe] (User 'Sebastian')
O4 - HKUS\S-1-5-21-350602580-3622770832-192062616-1000\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe (User 'Sebastian')
O4 - HKUS\S-1-5-21-350602580-3622770832-192062616-1000\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun (User 'Sebastian')
O4 - HKUS\S-1-5-18\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Default user')
O4 - S-1-5-21-350602580-3622770832-192062616-1000 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Sebastian')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\ntrtscan.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\Windows\system32\pr2agqwc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\TmProxy.exe

--
End of file - 8207 bytes

#6 Nach dem Scan mit DR Web mach folgendes:


ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

Gruss Swiss

#7 Hi Swiss,

Danke soweit schonmal für deine Hilfe, leider reicht meine Zeit heute nicht mehr für einen kompletten Scan mit Cure It. Da ich übers Wochenende nicht da bin hoffe ich einfach das du mir nächste Woche weiter hilfst alles zu entfernen.
Ich wünsche ein schönes und erholsames Frühlingswochenende

Gruß cly

#8 Ja klar bin ich hier Dir auch ein erholsames Wochenend

Grüsse aus der Schweiz

#9 Ich habe auch folgendes Problem mein Antivir zeigt auch andauernd folgendes an

TR/Proxy.Agent.BBQ.38
TR/Crypt.XPACK.Gen an
Antivir habe ich durchlaufen lassen hier der REport

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 4. April 2009 21:48

Es wird nach 1339172 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: RAYMAN-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:24:41
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 18:22:16
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 18:22:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 18:22:16
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:50:56
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:33:30
ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 16:33:16
ANTIVIR3.VDF : 7.1.3.13 57344 Bytes 03.04.2009 16:31:08
Engineversion : 8.2.0.138
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 17:30:50
AESCRIPT.DLL : 8.1.1.73 373114 Bytes 04.04.2009 16:31:14
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 16:31:14
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 17:24:41
AEPACK.DLL : 8.1.3.12 397687 Bytes 04.04.2009 16:31:13
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 17:30:23
AEHEUR.DLL : 8.1.0.114 1700214 Bytes 04.04.2009 16:31:13
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 17:30:21
AEGEN.DLL : 8.1.1.33 340340 Bytes 04.04.2009 16:31:12
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 09:16:11
AECORE.DLL : 8.1.6.7 176502 Bytes 04.04.2009 16:31:11
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 09:16:10
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 18:22:16
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 18:22:16
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 05:29:42
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 18:22:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 17:21:50
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 18:22:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 17:21:50
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 18:22:16
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 17:21:50
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 18:22:14
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 18:22:14

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 4. April 2009 21:48

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ovfsthqbcsvleixvmysnykqfivrbdbqdukxytf.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb2f.qua erstellt ( QUARANTÄNE )
c:\windows\system32\ovfsthvrrwvuuqpiicdlbqokbftxkfdcninoyq.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb30.qua erstellt ( QUARANTÄNE )
c:\windows\system32\ovfsthweujujcrvqrdwuguxqolvrnvbkxhqraq.dat
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb31.qua erstellt ( QUARANTÄNE )
c:\windows\system32\ovfsthwjtvqctwppiqpcsphkdtybbxkwkaprfo.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb32.qua erstellt ( QUARANTÄNE )
c:\windows\system32\ovfsthyosiiirxirrumgmxtmsxpctbsepppxwr.dat
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb33.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\ovfsth.sys
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb34.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\ovfsthceocvwitfxbcoqwpnekakcsppydxtshl.sys
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb35.qua erstellt ( QUARANTÄNE )
c:\windows\temp\ovfsthkeivpgpdnl.tmp
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.BBQ.38
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb36.qua erstellt ( QUARANTÄNE )
c:\windows\temp\ovfsthrmwoemttec.tmp
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.BBQ.38
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb37.qua erstellt ( QUARANTÄNE )
\systemroot\system32\drivers\ovfsthceocvwitfxbcoqwpnekakcsppydxtshl.sys
[INFO] Der Registrierungseintrag ist nicht sichtbar.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthmopjtuxfvxdxetbedsmiraixnxeumobn
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '112941' Objekte überprüft, '11' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieuser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shellmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VXUpdateService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'waol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'STRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Domino.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmsnap3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '72' Prozesse mit '72' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\HP\Digital Imaging\{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}\aio_cdb_productcontext1031.cab
[0] Archivtyp: CAB (Microsoft)
--> product.dll3.4A2692E9_8682_4A9C_8633_128BFD124D18
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> product.dll3.0C8AAA4E_4C92_4E61_9E2B_AF8C39E6F01D
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Rayman\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\2W2N6F9J\count[1].htm
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4cde62.qua' verschoben!
C:\Windows\Temp\setBA74.tmp
[0] Archivtyp: NSIS
--> [UnknownDir]/PB_N_FisherHut01.dds
[WARNUNG] Die Datei konnte nicht geschrieben werden!
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Sonntag, 5. April 2009 00:52
Benötigte Zeit: 3:04:09 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

24662 Verzeichnisse wurden überprüft
1082337 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1082330 Dateien ohne Befall
4538 Archive wurden durchsucht
6 Warnungen
10 Hinweise
112941 Objekte wurden beim Rootkitscan durchsucht
11 Versteckte Objekte wurden gefunden

hier die Auswertung von HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:32, on 05.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\aol\1177702967\ee\aolsoftware.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Windows\vmsnap3.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\STAMPIT\Binary\STRAY.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\helppane.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AOL 9.0 VRa\waol.exe
C:\Program Files\AOL 9.0 VRa\shellmon.exe
C:\Program Files\Common Files\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=38831
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177702967\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BigDog303] C:\Windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [VMSnap3] C:\Windows\VMSnap3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [igndlm.exe] C:\Program Files\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Program Files\STAMPIT\Binary\Stray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\Windows\system32\bgsvcgen.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Haufe iDesk-Service in C:\Program Files\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: VXUpdateService - camPoint AG - C:\Program Files\VX-Software2008\VXUpdateService.exe

--
End of file - 9219 bytes


wie bekomme ich die TRojaner vom Rechner,habe auch schon diverse Programme versucht nichts klappt,noch ein Problem jedes mal wenn ich den Rechner neustarte wurde das Sicherheitscenter deaktiviert,muss es jedesmal in der Systemsteuerung neu einstellen.
Über Hilfe währe ich dankbar...

#10 @Rayman2910

Bitte eröffne einen eigenen Thread und führe folgendes durch:

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Erstelle ein HiJACKThis Log und poste es hier:
http://virus-protect.org/hjtkurz.html

Gruss Swss

#11 okay ich hol den thread dann mal wieder aus der versenkung

Combofix /u hat (unter Vista) nicht funktioniert - es kam keine fehlermeldung, aber auch keine bestätigung das es entfernt wurde. Das Verzeichnis QooBox hab ich entfernt, allerdings ist da noch ein Verzeichnis C:\Combofix, darf/soll ich das auch entfernen?

als nächstes lass ich nun CureIt im abgesicherten laufen und danach Hijack This und ServiceFilter und poste logs. bis in 3h also

#12 wo ist wo sind denn die ganzen logs

#13 waaaaaaah nach über 4h scan hat meine freundin das programm geschlossen
gefunden hatte Cure It jedoch nichts
brauchst du das log unbedingt? :/ dann scan ich übernacht nochmal

Service Filter ist nur für XP das geht bei meinem Vista nicht

hier das neue Hijack This Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:35, on 06.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\P4P\P4P.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OfficeScan NT\PccNTMon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [HControlUser] "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKUS\S-1-5-21-350602580-3622770832-192062616-1000\..\Run: [NB Probe] (User 'Sebastian')
O4 - HKUS\S-1-5-21-350602580-3622770832-192062616-1000\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe (User 'Sebastian')
O4 - HKUS\S-1-5-21-350602580-3622770832-192062616-1000\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun (User 'Sebastian')
O4 - HKUS\S-1-5-18\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Default user')
O4 - S-1-5-21-350602580-3622770832-192062616-1000 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Sebastian')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\ntrtscan.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\TmProxy.exe

--
End of file - 7103 bytes

#14 Der Service von LOKI ist weg, Hast du noch Probleme?

>>
Mach noch ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

#15 Hi Swiss

Probleme habe ich keine mehr. BitDefender will für den Scan 30 Stunden(tendenz steigend, seit 6 minuten), das ist mir dann doch etwas zu lang

Ich würde mich auf Malewarebytes verlassen und behaupten alles ist entfernt, oder bist du anderer Meinung?

Gruß cly