hallo!

hab mir irgendwie über MSN einen fetten virus eingefangen, der das arbeiten mit dem PC fast unmöglich macht. Antivir und counterspy hab ich schon drüberlaufen lassen, hat nix gebracht. Antivir meldet, sobald ich irgendetwas öffne, und sei es nur ein neues tab im IE, den trojaner vundo.gen in der datei opnligf.dll zu finden, doch keine der angebotenen optionen bringt irgendwas. PC hat heute exakt 25 minuten gebraucht um hochzufahren... Ich bitte drum diese logfile von HijackThis auszuwerten und mir zu helfen!

Vielen dank im voraus!

Wohlstandskind



Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Zitat:

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)

Fixen

Mach alle Dateien sichtbar und lad dann C:\WINDOWS\SYSTEM32\opnligf.dll bei http://www.virustotal.com hoch. Poste das vollständige Ergebnis.

so, erstmal danke für die hilfe. dateien sind gefixt, opnligf.dll ist hochgeladen und es folgt das ergebnis. bitte um weitere instruktionen...

Complete scanning result of "opnligf.dll", received in VirusTotal at 04.29.2007, 00:18:19 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.28.0 04.27.2007 no virus found
AntiVir 7.4.0.15 04.28.2007 TR/Vundo.Gen
Authentium 4.93.8 04.27.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.464 04.26.2007 no virus found
BitDefender 7.2 04.28.2007 MemScan:Trojan.Vundo.DLO
CAT-QuickHeal 9.00 04.28.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.29.2007 Trojan.Packed-7
DrWeb 4.33 04.28.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.27.2007 no virus found
eTrust-Vet 30.7.3601 04.27.2007 Win32/Chisyne!generic
Ewido 4.0 04.27.2007 no virus found
FileAdvisor 1 04.29.2007 no virus found
Fortinet 2.85.0.0 04.28.2007 no virus found
F-Prot 4.3.2.48 04.27.2007 no virus found
F-Secure 6.70.13030.0 04.28.2007 no virus found
Ikarus T3.1.1.5 04.28.2007 not-a-virus:AdWare.Win32.Virtumonde.bq
Kaspersky 4.0.2.24 04.29.2007 no virus found
McAfee 5019 04.27.2007 potentially unwanted program Adware-Virtumundo
Microsoft 1.2405 04.28.2007 no virus found
NOD32v2 2226 04.28.2007 no virus found
Norman 5.80.02 04.27.2007 no virus found
Panda 9.0.0.4 04.28.2007 Suspicious file
Prevx1 V2 04.29.2007 SpywareQuake
Sophos 4.17.0 04.28.2007 Virtumundo
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.28.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.28.2007 no virus found
VirusBuster 4.3.7:9 04.28.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.28.2007 Trojan.Vundo.Gen


Aditional Information
File size: 26678 bytes
MD5: e0bb2b6630ece5beb2b1a38e3e4a8135
SHA1: e290b4725540a8f5e00bc8bfaa543e0c4e9a45b7
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=89a692045036
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Morgen,

Deaktiviere zu erst die Systemwiederherstellung. Anschließend mach das.

Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.



* Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
* Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo (1) Button.
* Wenn es gescannt hat, klicke auf den Remove Vundo (2) Button.
* Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
* Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
* Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.

Hinweis: es kann sein, dass das VundoFix eine Datei aufzählt, die es nicht entfernen konnte.
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab

* Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.

Vundofix Download

hab alles gefolgt, hat auch super geklappt, aber sobald ich den windows live messenger wieder öffne rastet alles aus! Gibts da evtl auch noch tipps, will nicht auf den messenger verzichten, wenns nicht unbedingt nötig ist.

MfG

Was rastet alles aus?

im prinzip nur der messenger, aber der komplett, dadurch meldet sich sekündlich antivir und der prozessor ist komplett ausgelastet, der mauszeiger bewegt sich nicht mehr, bis ich strg+alt+entf drücke, dann gehts kurz wieder, aber auch nur für eine oder zwei minuten, dann friert der zeiger wieder ein...

Hmm..Das ist komisch. Was meldet AntiVir? Ggf. schonmal probiert den Messenger neu zu installieren?

Gruß,
Apo

antivir meldetE immer wieder verschiedene vundo-viren.

hab grad den messenger neu installiert, das problem scheint damit gelöst zu sein, denn bisher ist ruhe. also vielen vielen dank, wenn nochmal was passiert weiß ich ja wo ich mich melden muss!

Wenn er verschiedene Vundo Viren meldet ist gar nichts ok. Interessant wäre noch gewesen wo er sie meldet. Mach mal einen Rootkitscan mit AntiVir und guck ob er was findet.

mach ich sofort

willst du noch irgendwie einen hijack-log zum prüfen oder so?

Ja wär gut aber es kann sein das der Vundo eine Rootkit funktion hat und damit kenn ich mich leider überhaupt nicht aus Müsstest du mal gucken ob Sunny, rene-gad etc. sich das mal angucken.

ich habe das gleiche problem, aber wenn ich vundofix scannen lasse, findet er nichts!!! was nu?

Jetzt machst du einen neuen Thread auf in dem du dein Problem schilderst und am besten gleich ein HiJackThis-Logfile mitlieferst. B2T

also, antivir hat noch ordentlich was gefunden, darunter einige (angebliche?) vundo-viren, die vundofix allerdings nicht findet. hier der report:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 29. April 2007 20:23

Es wird nach 758638 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 23.04.2007 21:04:37
AVSCAN.DLL : 7.0.4.0 41000 Bytes 23.04.2007 21:04:37
LUKE.DLL : 7.0.4.11 143400 Bytes 23.04.2007 21:04:39
LUKERES.DLL : 7.0.4.0 10792 Bytes 23.04.2007 21:04:39
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 20:06:23
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 20:02:08
ANTIVIR2.VDF : 6.38.1.56 1022976 Bytes 27.04.2007 21:31:38
ANTIVIR3.VDF : 6.38.1.64 11776 Bytes 28.04.2007 21:32:27
AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 25.04.2007 21:31:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 23.04.2007 21:04:37
AVPREF.DLL : 7.0.2.1 24616 Bytes 23.04.2007 21:04:37
AVREP.DLL : 7.0.0.1 155688 Bytes 23.04.2007 21:04:41
AVPACK32.DLL : 7.3.0.8 360488 Bytes 16.04.2007 20:02:11
AVREG.DLL : 7.0.1.2 31784 Bytes 23.04.2007 21:04:37
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 23.04.2007 21:04:35
AVARKT.DLL : 1.0.0.12 274472 Bytes 23.04.2007 21:04:33
NETNT.DLL : 7.0.0.0 7720 Bytes 23.04.2007 21:04:40
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 23.04.2007 21:04:19
RCTEXT.DLL : 7.0.45.0 86056 Bytes 23.04.2007 21:04:19

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 29. April 2007 20:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccEvtMgr.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSetMgr.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccProxy.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinCinemaMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Es wurden '15' Prozesse mit '15' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '22' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\serv.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.MF.7
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a6e50e.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AB1FDKUT\serv[1].mp3
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.MF.7
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a6ea1c.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AB1FDKUT\sp[1].mp3
[FUND] Enthält Signatur des Wurmes WORM/IM.Agent.D
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '468fea36.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E2EQ0452\sp[1].mp3
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '468fea79.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JV03ZYPS\ra[1].mp3
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '468feab8.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SI30T2TG\ra[1].mp3
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '468feaf8.qua' verschoben!
C:\VundoFix Backups\byxvspm.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46acf4df.qua' verschoben!
C:\VundoFix Backups\byxyvsq.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46acf4e0.qua' verschoben!
C:\VundoFix Backups\cbxvsqq.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46acf4ca.qua' verschoben!
C:\VundoFix Backups\cbxvtuu.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d77157.qua' verschoben!
C:\VundoFix Backups\cbxxwts.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46acf4c4.qua' verschoben!
C:\VundoFix Backups\ddcddab.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4697f4ce.qua' verschoben!
C:\VundoFix Backups\efcabya.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4697f4d1.qua' verschoben!
C:\VundoFix Backups\iifcdax.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469af4d4.qua' verschoben!
C:\VundoFix Backups\opnligf.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a2f4dc.qua' verschoben!
C:\VundoFix Backups\opnopop.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d97141.qua' verschoben!
C:\VundoFix Backups\pmnmnno.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a2f4da.qua' verschoben!
C:\VundoFix Backups\rqropnl.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a6f4de.qua' verschoben!
C:\VundoFix Backups\rqrqoon.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47dd7143.qua' verschoben!
C:\VundoFix Backups\tuvvust.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46aaf4e3.qua' verschoben!
C:\VundoFix Backups\urqomnn.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a5f4e0.qua' verschoben!
C:\VundoFix Backups\vtuvwvs.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a9f4e2.qua' verschoben!
C:\VundoFix Backups\wvuuuro.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a9f4e5.qua' verschoben!
C:\VundoFix Backups\wvuvuus.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d2717a.qua' verschoben!
C:\VundoFix Backups\xxyaxxw.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46adf4e7.qua' verschoben!
C:\VundoFix Backups\xxyxuus.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46adf4e8.qua' verschoben!
C:\VundoFix Backups\yayaxuv.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46adf4d1.qua' verschoben!


Ende des Suchlaufs: Sonntag, 29. April 2007 22:45
Benötigte Zeit: 2:22:19 min

Der Suchlauf wurde vollständig durchgeführt.

7448 Verzeichnisse wurden überprüft
381408 Dateien wurden geprüft
27 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
27 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
381381 Dateien ohne Befall
10129 Archive wurden durchsucht
2 Warnungen
41 Hinweise
0 Versteckte Objekte wurden gefunden




dazu der aktuelle hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 23:11:38, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SBCSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Installationsprogramme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EB1F5A0-D3DD-4F3F-AFFC-9DBE20DB79B0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9E01FE64-8681-46F5-9332-2DB9EEDB5046} - C:\WINDOWS\system32\rqrqoon.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera LTI301P
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Antivirus On-Access Service] C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/229?a12d036cd3944a51983f43d8dec8b12f
O8 - Extra context menu item: Open in new foreground tab - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/230?a12d036cd3944a51983f43d8dec8b12f
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2992961b611938985419/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147111921937
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\Consumer\SBCSSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe