Hallo Troj-Boarder,

AntiVir hat bei mir einen Trojaner mit dem Namen tr/keygen.q.12 u. 3 HEUR/Crypted gefunden. Habe natürlich alles soweit wie möglich gelöscht und der Virenscanner hat nichts mehr gefunden. Allerdings sind unter Windows Temp 2 Dateien die sich nicht löschen lassen die heißen ZLT****.TMP (*stern steht für Zahlen) Außerdem haben sich die TMP Dateien, wenn ich in den Ordner Temp gegangen bin manchmal einfach umgenannt. Ich glaub AVS**** oder so. Aber dann hab ich alle bis auf 2 löschen können und diese bleiben jetzt TMP Dateien, allerdings lassen diese sich nicht löschen. Habe Verdacht auf Trojaner. Ach ja, die TMP Dateien hatten eine unbekannte Anwendung und waren komplett weiss. Habe sie aber unter Eigenschaften- öffnen mit-WordPad-MFC-Anwendung verknüpft, ich dachte so kann ich die Datei unbrauchbar machen lässt sich aber trotzdem nicht löschen. Es kommt die Meldung Die Datei blablabla wird von einem anderen Benutzer od. Programm verwendet blablabla. Und nochwas als mit Hijack einen scan gemacht habe hat sich ein Fenster geöffnet mit folgendem Inhalt: Please help us improve HijackThis by reporting this error. Click jes t submit- Error Details. An unexpected erroer has occurred at procedere cmd scan_Click (Save log X) Error#70 zugriff verweigert. Also soweit zu meinem Problem, hoffe mir kann jemand Klarheit geben, Danke schonmal :-) Hier mein Logfile.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:07:23, on 04.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Lexmark 4300 Series\lxcemon.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinZip\WINZIP32.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\wz041d\HiJackThis_v2.exe

O1 - Hosts: 127.255.255.255 *****.com
O1 - Hosts: 127.255.255.255 *****.com
O1 - Hosts: 127.255.255.255 *****.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 8207 bytes

Hallo,
dein Logfile verrät mir, dass du ZoneAlarm benutzt. ZLT***.tmp-Dateien sind temporäre Dateien, die Zone-Alarm bei jedem Systemstart anlegt. Nach einem Neustart solltest du daher die "alten" ZLT***.tmp-Dateien löschen können, da sie nicht mehr verwendet werden.

Bei Problemen mit HijackThis benenne die Hijackthis_v2.exe-Datei um in irgendwas.com und lass es noch mal laufen; poste danach ein neues Log.

Lasse die folgende Datei bei virustotal.com scannen und poste das komplette Ergebnis:

Zitat:

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

Und schließlich wäre es natürlich hilfreich zu erfahren, welche Dateien AntiVir wo gemeldet hat (genaue Pfadangabe!).

hallo,

also hier das geprüfte File mit Virustotal:

Complete scanning result of "sfrem01.exe", received in VirusTotal at 06.04.2007, 14:56:27 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.04.2007 no virus found
AntiVir 7.4.0.29 06.04.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.04.2007 no virus found
AVG 7.5.0.467 06.03.2007 no virus found
BitDefender 7.2 06.04.2007 no virus found
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.04.2007 no virus found
DrWeb 4.33 06.04.2007 no virus found
eSafe 7.0.15.0 06.03.2007 no virus found
eTrust-Vet 30.7.3690 06.04.2007 no virus found
Ewido 4.0 06.04.2007 no virus found
FileAdvisor 1 06.04.2007 Not analyzed yet
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 no virus found
F-Secure 6.70.13030.0 06.04.2007 no virus found
Ikarus T3.1.1.8 06.04.2007 no virus found
Kaspersky 4.0.2.24 06.04.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.04.2007 no virus found
NOD32v2 2306 06.04.2007 no virus found
Norman 5.80.02 06.04.2007 no virus found
Panda 9.0.0.4 06.04.2007 no virus found
Prevx1 V2 06.04.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.04.2007 no virus found
TheHacker 6.1.6.129 06.04.2007 no virus found
VBA32 3.12.0 06.04.2007 no virus found
VirusBuster 4.3.23:9 06.03.2007 no virus found
Webwasher-Gateway 6.0.1 06.04.2007 Win32.Vulnerable.gen!High (suspicious)

Aditional Information
File size: 358008 bytes
MD5: 3077e15f8b804244105cc94a14dc2f5f
SHA1: d966699dce6a30f21473146a6f041c36f7ec884e
Bit9 info: Bit9 FileAdvisor - Search Results

und Antivir hat diesmal keinen Virus od. Trojaner gefunden. Den Pfad weiss ich leider nicht mehr.Ich glaub aber Eigene Dateien/Gemeinsame Dokumente/Eigene Videos/The Fast and the Furious/VSO. weiss aber nicht so genau. Aber bis hierhin Danke schonmal :-)

Praktischerweise merkt sich aber AntiVir solche Dinge (Hauptfenster öffnen -> Reiter "Ereignisse").
Ein neues HJT-Logfile wäre übrigens, wie bereits erwähnt, von Vorteil.

Bitteschön :-)

hat alles problemlos geklappt, hier noch die Virenmeldungen:

In der Datei 'C:\WINDOWS\Temp\AV15222.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.QQPass.LY.1' [TR/PSW.QQPass.LY.1] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\Temp\AV15220.tmp'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Crypted' [HEUR/Crypted] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

hoffe jetzt stimmt alles.

machts gut

Matthias


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:26:08, on 05.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\*****\Desktop\*****Ordner\HiJackThis_v2.com

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 7219 bytes

Hallo.
- Besorge dir den CCleaner (verzichte aber auf die Installation der angebotenen Toolbar)
- Lade dir ComboFix
- Lade und update Spybot - Search & Destroy

Fixe nun mit HijackThis (siehe Anleitung) die folgenden Einträge:

Zitat:

Zitat von Maddes05er

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com

Wechsle danach zurück in den Normal-Modus.

Lasse den CCleaner laufen. Danach starte im abgesicherten Modus Spybot S&D und schließlich - wieder im Normal-Modus - ComboFix. Berichte, was durch Spybot S&D entfernt wurde und poste das Logfile von ComboFix, das du als c:\ComboFix.txt finden wirst.

Wichtig: Die Durchführung dieser Tipps erfolgt auf eigene Gefahr. Für evtl. auftretenden Datenverlust übernehme ich keine Verantwortung.

hallo,

ich sag mal franz weil, sie (wegen franz 1968) die ganze zeit mir schreiben. diese

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com

kann ich genau sagen was für eine adresse ist nämlich:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

habe es mit sternen getarnt weil es leider nicht ganz legal aussieht. Aber vielleicht hilft das ja weiter um zu sagen ob ich wirklich die ganzen schritte ausführen muss.

gruß

matthias

Ich sag mal Matthias, da du die ganze Zeit mir schreibst.

Zitat:

Zitat von Maddes05er

ob ich wirklich die ganzen schritte ausführen muss.

Meiner Ansicht nach ja. Das Fixen mit HijackThis kannst du allerdings überspringen.

Hallo Franz,,

Sbybot hat nichts gefunden :-)


Ps: Logfile von ComboFix liegt im Anhang bei.
Ps2: ich hoffe mit Combofix hab ich nichts relevantes gelöscht,(ZoneLabs meldete änderung in der regestry und Spybot auch. Habe bei ZoneLabs zulassen und bei Spybot Verweigern gedrückt. Wusste nicht was ich machen sollte) weil einige Änderungen in der Regestry vorgenommen wurden. System fuhr aber normal hoch. Hoffe es lässt sich rauslesen ob mein System clean ist oder nicht. Achja,
Danke Franz für die Mühe und Tipps die du mir gegeben hast.

Gruß

Matthias

so geht´s schneller :-)

"Maddes05er" - 2007-06-06 16:18:55 Service Pack 2 NTFS
ComboFix 07-06-3B - Running from: "C:\Dokumente und Einstellungen\Maddes05er\Desktop\Setup-Ordner\"


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm
-------\npf


((((((((((((((((((((((((( Files Created from 2007-05-06 to 2007-06-06 )))))))))))))))))))))))))))))))


2007-06-05 22:42 <DIR> d-------- C:\Programme\Music_Manager_2006
2007-06-05 22:39 <DIR> d-------- C:\MAGIX
2007-06-05 22:21 <DIR> d-------- C:\Programme\MAGIX
2007-06-05 01:20 <DIR> d-------- C:\DOKUME~1\MADDES~1\ANWEND~1\Atari
2007-06-05 01:01 197,120 --a------ C:\WINDOWS\patchw32.dll
2007-06-05 01:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2007-06-05 00:58 <DIR> d--h----- C:\WINDOWS\PIF
2007-06-05 00:58 <DIR> d-------- C:\Programme\Atari
2007-06-05 00:55 45,568 --a------ C:\WINDOWS\UniFish3.exe
2007-06-05 00:55 <DIR> d-------- C:\Programme\Hasbro Interactive
2007-06-04 21:20 <DIR> d-------- C:\Programme\Alcohol Soft
2007-06-04 18:54 <DIR> d-------- C:\Programme\CPU-Z
2007-06-04 15:44 <DIR> d-------- C:\Programme\TMPGE
2007-06-04 15:40 <DIR> d-------- C:\Programme\VirtualDubMod_1_5_1_1a
2007-06-04 14:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Corel
2007-06-04 14:31 456,272 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\pswi_preloaded.exe
2007-06-04 14:14 <DIR> d-------- C:\WINDOWS\CD95F661A5C444F5A6AAECDD91C240B5.TMP
2007-06-04 04:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Philips Intelligent Agent
2007-06-04 04:21 <DIR> d-------- C:\Programme\Philips Intelligent Agent
2007-06-04 03:34 <DIR> d-------- C:\Programme\VSO
2007-06-04 01:24 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-06-03 13:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\vsosdk
2007-06-03 11:18 87,608 --a------ C:\DOKUME~1\MADDES~1\ANWEND~1\inst.exe
2007-06-03 11:18 47,360 --a------ C:\DOKUME~1\MADDES~1\ANWEND~1\pcouffin.sys
2007-06-03 11:18 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2007-06-03 11:18 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2007-06-03 11:18 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2007-05-23 22:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-05-19 20:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-05-12 23:14 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-05-08 11:11 <DIR> d-------- C:\Programme\Graphics


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-05 21:44:16 -------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-06-05 21:35:06 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\MAGIX
2007-06-05 19:51:52 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Vso
2007-06-05 13:32:34 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\foobar2000
2007-06-04 23:06:53 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-04 22:35:06 -------- d-----w C:\Programme\MyMicroBalance
2007-06-04 18:41:35 -------- d-----w C:\Programme\aEton CommunicaEor
2007-06-04 01:34:10 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2007-06-02 10:21:43 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-06-02 09:53:48 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\concept design
2007-05-10 21:42:15 -------- d-----w C:\Programme\Lexmark 4300 Series
2007-04-22 19:58:50 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-14 15:12:01 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Oxin's Style!
2007-04-13 19:21:00 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Ahead
2007-04-12 15:07:11 -------- d-----w C:\Programme\Total Video Converter
2007-04-12 13:29:53 -------- d-----w C:\Programme\Xilisoft
2007-04-11 22:52:58 -------- d-----w C:\Programme\AmP
2007-04-11 22:52:24 -------- d-----w C:\Programme\LingoPad
2007-04-11 22:52:23 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Lingo4u
2007-04-07 14:59:34 -------- d-----w C:\Programme\Security Task Manager
2007-04-07 02:12:26 71,794 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-07 02:12:26 408,958 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-06 22:50:22 -------- d-----w C:\Programme\foobar2000
2007-04-06 22:40:55 -------- d-----w C:\Programme\3GP Converter 2007
2007-04-06 19:37:27 -------- d-----w C:\Programme\AudioEffects
2007-04-06 15:40:06 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-03-23 21:30:40 4,199 ----a-w C:\WINDOWS\mozver.dat
2007-03-20 00:01:07 4,212 ---ha-w C:\WINDOWS\system32\zllictbl.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 23:06:52 2,450 ----a-w C:\WINDOWS\system32\tmp.reg
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2006-05-03 10:06:54 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47:16 31,744 --sha-r C:\WINDOWS\system32\msfDX.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}=C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll [2004-12-03 05:14]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 00:38]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 22:18]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 10:12]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 C:\WINDOWS\Alcmtr.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-26 14:46]
"TrayServer"="C:\Programme\MAGIX\TrayServer.exe" [2006-10-04 16:41]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Maddes05er^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Maddes05er\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
"C:\Programme\Lexmark 4300 Series\ezprint.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
"C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcemon.exe]
"C:\Programme\Lexmark 4300 Series\lxcemon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Philips Intelligent Agent]
"C:\Programme\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
C:\Programme\WinFast\WFTVFM\WFWIZ.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76ea92f4-c81f-11db-a91c-00146ca83181}]
AutoRun\command- G:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2204068-e2d2-11db-a953-00146ca83181}]
AutoRun\command- G:\Autorun.exe


Contents of the 'Scheduled Tasks' folder
2007-06-01 15:16:09 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-06 16:28:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
**************************************************************************

Completion time: 2007-06-06 16:31:12 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-06 16:30

--- E O F ---

Zitat:

Zitat von Maddes05er

es lässt sich rauslesen ob mein System clean ist oder nicht.

Es sieht meiner Meinung nach ganz sauber aus. Allerdings sagen mir die folgenden Dateinamen nichts:

Zitat:

C:\WINDOWS\patchw32.dll
C:\WINDOWS\UniFish3.exe
C:\DOKUME~1\MADDES~1\ANWEND~1\inst.exe
C:\DOKUME~1\MADDES~1\ANWEND~1\pcouffin.sys
G:\Autorun.exe
G:\start.exe /checksection

Dir vielleicht?

Da ich idiotischerweise nicht erwähnt hatte, dass du den Tea Timer von Spybot S&D ausschalten solltest, dürften die Änderungen an der Registry wieder rückgängig gemacht worden sein.

Gibt es eine Datei c:\combofix-quarantined-files.txt? Falls ja und falls sie nicht leer sein sollte, poste bitte ihren Inhalt.