Hallo Zusammen!

Bin beim Googlen auf Euer Board gestossen und wie mir scheint, sind hier ein paar echt erfahrene Leute. Hab mir vor ein paar Tagen nen Trojaner eingefangen, bzw. mehrere. Unter anderem so ein Antiviren Tool, daß mich ständig mit Pop-up Meldungen nervte. Dürfte recht bekannt sein, leider hab ich den Namen vergessen, glaub es war WinAntiVirus2006

Hab mit Kaspersky und Counterspy im abgesichteten Modus Scans laufen lassen und etliche unschöne Dinge gefunden. Konnten laut den Progs aber alle entfernt werden.

Weis leider nur noch, daß dieser Kerl hier dabei war:

packed.win32.klone.g

Also laut Kaspersky und Co ist das System wieder sauber, allerdings hätt ich da noch gerne, wenn möglich ne Expertenmeinung dazu.

System läuft auf WinXP SP2. Hab Adaware, Counterspy und Kaspersky drauf, nachdem ich von Norton umgestiegen bin.


Logfile of HijackThis v1.99.1
Scan saved at 17:12:48, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Free Desktop Clock\DesktopClock.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Installationsprogramme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/Home WU :: WU Wien
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\odokjqfg.dll
O2 - BHO: (no name) - {748E6C81-DC7D-4974-BE84-016C7A71A0D2} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programme\Free Desktop Clock\DesktopClock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA0774C1-7766-4D77-B485-A3C91E8ABFBE}: NameServer = 195.34.133.21 195.34.133.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Anscheinend war deine Bereinigung nicht gründlich genug:

Zitat:

O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\odokjqfg.dll

Dieser Eintrag ist immer noch vorhanden, weitere Einträge:

Zitat:

O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing)
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)

Obwohl diese anscheinend wirklos sind wegen "file missing" - nur dummerweise irrt sich HijackThis da manchmal und die Dateien sind trotzdem da.
Ich weiß nicht wieviel Zeit du schon in die Bereinigung investiert hast, aber lass dir sagen, dass das zu unsicher und nicht selten zeitaufwendiger als ein Neuaufsetzen ist.

Werte doch mal bitte die Datei

C:\WINDOWS\system32\odokjqfg.dll

bei Virustotal oder Jotti aus.

Also viel Zeit hab ich nicht wirklich investiert. Kenn mich auch nicht wirklich aus. Mein Horizont endet beim einsetzen von Antivirentools im abgesichteren Modus. Mehr hab ich bis dato nicht gemacht.

Neu aufsetzen is kein problem, dauert ja nicht lange, aber ich würds halt gern mal so versuchen. Reizt mich irgendwie ;-)

zu odokjqfg.dll sagt jotti folgendes:

Datei: odokjqfg.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Juan gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


während des scans bei jotti, wollte sich laut kaspersky ne datei namens openports.dll in einen prozess integrieren, klingt auch phööse. habs mal verboten *g*

Hast du beim Jotti-Scan auf die Dateigröße geachtet? Null Bytes deuten darauf hin, dass der Schädling den zugriff darauf verweigern will.
Besorg dir mal bitte Killbox. Kopier die Adresse der Datei also

C:\WINDOWS\system32\odokjqfg.dll

in das Adressfeld von killbox hinein. Aktivier unten die Option "delete on reboot" und klick anschließend auf das rote Schild mit dem weißen X. Folgende Abfrage ruhig bejahen, dann startet Windows neu.

Anschließend müsste o.g. Datei verschoben sein nach

C:\!killbox\odokjqfg.dll

Werte diese Datei im killbox-Ordner aus.

Hab die Datei wie angegeben mit Killbox bearbeitet. Mit auswerten meinst du schätz ich mal, nochmal mit Jotti Scannen!?

Jotti sagt, daß gleich wie zuvor. Die Datei ist 65 Kb groß.

Datei: odokjqfg.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Juan gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Hab das File dann noch bei Virustotal durchlaufen lassen. Der sagt folgendes:

STATUS: FINISHEDComplete scanning result of "odokjqfg.dll", received in VirusTotal at 07.03.2007, 18:37:57 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.03.2007 no virus found
AntiVir 7.4.0.37 07.03.2007 no virus found
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.03.2007 no virus found
AVG 7.5.0.476 07.03.2007 no virus found
BitDefender 7.2 07.03.2007 no virus found
CAT-QuickHeal 9.00 07.03.2007 no virus found
ClamAV devel-20070416 07.03.2007 no virus found
DrWeb 4.33 07.03.2007 Trojan.Juan
eSafe 7.0.15.0 07.03.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3760 07.03.2007 no virus found
Ewido 4.0 07.03.2007 no virus found
FileAdvisor 1 07.03.2007 no virus found
Fortinet 2.91.0.0 07.03.2007 no virus found
F-Prot 4.3.2.48 07.02.2007 no virus found
F-Secure 6.70.13030.0 07.03.2007 no virus found
Ikarus T3.1.1.8 07.03.2007 Backdoor.Win32.Elfrit.12
Kaspersky 4.0.2.24 07.03.2007 no virus found
McAfee 5066 07.03.2007 no virus found
Microsoft 1.2701 07.02.2007 no virus found
NOD32v2 2374 07.03.2007 no virus found
Norman 5.80.02 07.03.2007 no virus found
Panda 9.0.0.4 07.03.2007 Suspicious file
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 07.02.2007 VIPRE.Suspicious
Symantec 10 07.03.2007 no virus found
TheHacker 6.1.6.141 07.02.2007 no virus found
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.03.2007 no virus found
Webwasher-Gateway 6.0.1 07.03.2007 Virus.Win32.FileInfector.gen (suspicious)


Aditional Information
File size: 66112 bytes
MD5: 4461a35abae90599ba234268a7d8e182
SHA1: 9fa50d38c4ab037e92f6084f41dedc981124b6ed
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Ah, den Fund im ersten Scan hab ich übersehen. So wie es ausschaut scheint es recht unbekannte odergar brandneue Malware zu sein. Die Aussichten auf einen Erfolg einer Bereinigung schätze ich eher gering ein. Außerdem wer weiß was danoch alles vorher drauf war.

ich schätze du bist mit einem Neuaufsetzen besser beraten, danach hast du die Gewissheit, sauber zu sein

Danke mal für die Hilfe. Wie gesagt, neu aufsetzen is kein Ding. Mich würd einfach mal interessieren ob man die Dinge nicht auch so loswerden kann.

Als ich mir den Virus eingefangen habe, hatte Norton sofort angeschlagen, konnte die Datei allderdings nicht löschen. Hab dann im Offlinemodus Norton gegen Kaspersky getauscht und der konnte dann löschen.

Der Pc läuft auch im Prinzip "einwandfrei". Nur unmerklich langsamer beim Surfen, aber das hätte ich auf Kaspersky und die active protection zurückgeführt.

Wie würde man jetzt weiter vorgehen? Einfaches per Hand löschen der .dll Datei?

Zitat:

Zitat von SmOkEr

Wie würde man jetzt weiter vorgehen? Einfaches per Hand löschen der .dll Datei?

Nein lass das lieber - ist zu unsicher. Man müsste eine recht aufwendige Systemanalyse druchführen, ist via Forum immer recht nervig. Und dann hat man nach x Löschungen immer noch nicht die Gewissheit, alles schädliche erwischt zu haben.
Und die Zeit der Spaßviren ist längst vorbei.

Hallo,
vielleicht wäre diese Datei für die AV-Hersteller von Intresse ?

Datei einpacken,mit Kennwort versehen,als Anhang einer Mail und im Begleittext das Kennwort nennen mit einem Verweis auf diesen Thread.

Leider habe ich keinen passenden Link zur Hand...
Kennt jemand die EMail Addy von Klaffke oder so... ?

(Gedankennotiz für mich : schreib dir auf ,was du nicht im Kopf behalten kannst !)
Irrlicht

Von Markus ist die Adresse: virus@sicher-ins-netz.info

Moin

oder hier findet man ne Menge AV-Hersteller --> http://www.trojaner-board.de/19273-v...einsenden.html

MFG

Moin cosinus
Moin irrlicht

Habs mal an "Markus" gesendet. Bin ja mal gespannt ob wir hier ne Rückmeldung zu diesem Ding erhalten. Würd mich interessieren.

Guten Morgen!

Mail ist raus - es handelt sich wirklich um eine neue Malware (einer allerdings bekannten Schädlingsfamilie - hier: "Vundo" zuzuordnen).
Was ist mit der anderen Datei, die von Kaspersky gemeldet wurde? Konntest Du die auch isolieren?

War ja klar, was neues und ich habs zuerst *lol*. Ne spaß, is eigentlich der erste Virus den ich mir eingefangen habe, bin sonst immer extrem vorsichtig.

Kaspersky konnte eigentlich alles bereinigen, einzig die Files vom HJT-Logfile waren noch übrig.

Welche Datei meinst du jetzt genau, die von Kaspersky gemeldet wurde?

O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing)
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)

Die beiden waren aus dem HJT, sind aber nicht mehr auffindbar. Zumindest nicht mit Kaspersky, bzw. mit ner normalen Suche nach diesen Dateien.

Ich poste noch mal ein aktuelles HJT-Log, vielleicht fällt ja jemandem von Euch noch was auf, das ich versuchen kann zu isolieren und zu scannen.

Logfile of HijackThis v1.99.1
Scan saved at 02:31:35, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Free Desktop Clock\DesktopClock.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\TBPANEL.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Installationsprogramme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {748E6C81-DC7D-4974-BE84-016C7A71A0D2} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programme\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programme\Free Desktop Clock\DesktopClock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA0774C1-7766-4D77-B485-A3C91E8ABFBE}: NameServer = 195.34.133.21 195.34.133.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hgggffd - hgggffd.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Kaspersky, F-Secure und Avira haben sehr schnell mit passenden Signaturen reagiert; Sophos war aber auch recht schnell, eine kleine Beschreibung zum Schädling steht hier zur Verfügung:

Troj/BHO-CQ - Trojan - Sophos threat analysis