isch desch mei Log ?!
Dankööö

pepel, nochdigger

Was habt Ihr denn gemacht.
Das "kleine" Log braucht doch keiner

Hab im HJT Forum allerdings das "richtige" gefunden, pepel solche cross postings solltest Du lassen, mag niemand.

C:\WINDOWS\System32\Drivers\aq98zei4.SYS
C:\WINDOWS\System32\Drivers\a5ztl0ui.SYS

bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen, Ergebnis hier posten.

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

• Bitte starte Deinen Pc im abgesicherten Modus neu

• Starte den PC neu

• Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

• Anstatt Windows normal zu starten wird ein Menü erscheinen

• Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

• Wähle Deinen Anmeldenamen

• Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

• Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

• Drücke "Y" um das Script zu starten.

• Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

• Drücke eine Taste um zu reboooten.

• Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

• Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

• Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

Dann reparieren wir noch die Registry
Öffne das Notepad ( Start/Ausführen/Notepad[Enter])
Copy and Paste alles in der Quote box ins Notepad:

Zitat:

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\FCI]

Vergewissere Dich das vor Regedit4 keine Leerzeile ist.
Vergewissere Dich das nach der letzten Zeile eine leere Zeile ist.

Datei > Speichern unter
Speichere die Datei als Fix.reg
Ändere den Dateityp auf "Alle Dateien" und speicher die Datei auf Deinem Desktop.

Schließe Notepad und mach einen Doppleklick auf die Fix.reg, bestätige die aufpoppende Frage mit Ja.

Bata

Tschuldigung für's crossposten, aber ich wusste Mir da nicht zu helfen.
Pepel wollte Niemand nerven

Deine Anweisungen hab Ich befolgt; das wäre damit erledigt.
Die beiden SYS-Dateien kann ich nicht finden, weder im System32 noch mit Suchfunktion auf der Partition C:\. Alle Datein anzeigen hab ich an, falls es daran
liegen könnte.

Die Probleme, die Ihr Mir jetzt hier behoben habt, kamen die den eigentlich von dem im Titel stehenden Trojaner oder der Datei?
Ich bin definitiv kein vorsichtiger Internetnutzer und nicht überrascht wenn Ich Mir was einfange, aber Ich aboniere brav meinen AVK, hab spybot,ad-aware und jetzt auch noch spywaredoc...
Ich bin leicht iritiert, dass der AVK zwar anschlägt, aber erst der Spywaredoc die Schädlinge gefunden und behoben hat.

Naja jedenfalls Danke für Eure liebe und schnelle Hilfe
Grosses Lob und weiter so

Zitat:

Zitat von pepel

Die Probleme, die Ihr Mir jetzt hier behoben habt, kamen die den eigentlich von dem im Titel stehenden Trojaner oder der Datei?

Was wir versucht haben ist die Bereinigung eines Schädlings mit Rootkit Funktion. Eigentlich sollte man da immer an eine Neuinstallation denken.

Da es nun grad wieder da ist, lass mal Combofix laufen, auch dort ist eine Rootkit Detection drin.

Bata

ComboFix 07-08-30.3 - "pepe" 2007-08-30 16:41:44.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.597 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 )))))))))))))))))))))))))))))))


2007-08-30 16:41 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-29 22:45 <DIR> d-------- C:\WINDOWS\ERUNT
2007-08-29 20:24 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-29 20:24 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-29 20:24 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-29 20:24 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-08-29 20:24 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-29 20:24 <DIR> d-------- C:\Programme\Spyware Doctor
2007-08-29 20:24 <DIR> d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\PC Tools
2007-08-29 19:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\WinZip
2007-08-26 18:16 <DIR> d-------- C:\!KillBox
2007-08-26 14:11 <DIR> d-------- C:\Programme\MSXML 6.0
2007-08-26 14:05 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-08-26 13:31 66,048 --a------ C:\WINDOWS\ieResetIcons.exe
2007-08-25 13:44 <DIR> d-------- C:\Programme\Trend Micro
2007-08-24 21:01 9,728 -ra------ C:\WINDOWS\system32\bdco1.dll
2007-08-24 21:01 33,536 -ra------ C:\WINDOWS\system32\drivers\NVENETFD.sys
2007-08-24 21:01 32,256 -ra------ C:\WINDOWS\system32\nvconrm.dll
2007-08-24 21:01 261,888 -ra------ C:\WINDOWS\system32\drivers\nvnrm.sys
2007-08-24 21:01 208,256 -ra------ C:\WINDOWS\system32\drivers\nvsnpu.sys
2007-08-24 21:01 201,728 -ra------ C:\WINDOWS\system32\fdco1.dll
2007-08-24 21:01 176,128 --a------ C:\WINDOWS\system32\nvunrm.exe
2007-08-24 21:01 12,928 -ra------ C:\WINDOWS\system32\drivers\nvnetbus.sys
2007-08-24 13:05 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-08-24 13:05 <DIR> d-------- C:\WINDOWS\nview
2007-08-24 13:04 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-08-24 13:00 <DIR> d-------- C:\NVIDIA
2007-08-24 12:58 6,807,328 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys
2007-08-24 12:58 6,807,328 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-08-23 11:21 <DIR> d-------- C:\Programme\Realtek AC97
2007-08-22 17:53 <DIR> d-------- C:\Programme\DAEMON Tools
2007-08-22 16:21 <DIR> d-------- C:\Programme\RegCleaner
2007-08-22 16:13 23 --ahs---- C:\WINDOWS\system32\cdae7_r.dll
2007-08-21 20:39 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-21 19:07 33,280 --a------ C:\WINDOWS\system32\NVCOI.DLL
2007-08-21 19:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-08-21 19:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-08-21 19:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-08-21 19:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2007-08-21 14:43 63 --a------ C:\WINDOWS\system\SysSD.dll
2007-08-21 12:20 <DIR> d-------- C:\Programme\Google
2007-08-21 12:20 <DIR> d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Talkback
2007-08-21 12:20 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Google
2007-08-21 12:07 12,738 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2007-08-21 12:02 <DIR> d-------- C:\Programme\CDRecordKit
2007-08-20 18:31 <DIR> d-------- C:\Programme\VideoLAN
2007-08-20 11:47 102,352 --a------ C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\firstlsp.reg.dat
2007-08-18 21:19 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-08-18 21:19 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-08-18 21:19 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-08-18 21:19 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-08-13 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2007-08-12 17:21 3,082 --a------ C:\WINDOWS\system32\affv208325p1now.sys
2007-08-12 17:21 <DIR> d-------- C:\Programme\WinAVIVideoConverter
2007-07-27 01:06 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 144,704 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-07-27 01:06 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-24 15:00 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-07-24 15:00 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-07-24 14:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-14 13:28 <DIR> d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Ahead
2007-07-12 22:27 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-07-12 10:49 49,536 --a------ C:\WINDOWS\system32\drivers\a8137k5s.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-28 16:25 --------- d---s---- C:\Programme\Xfire
2007-08-28 16:25 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-08-28 16:25 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\FrostWire
2007-08-26 13:32 --------- d-------- C:\Programme\AntiVirenKit 2004
2007-08-25 23:04 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Xfire
2007-08-25 17:03 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Vso
2007-08-25 16:07 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\Skype
2007-08-25 13:01 --------- d-------- C:\Programme\Ad-Aware SE Personal
2007-08-23 11:37 --------- d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spybot - Search & Destroy
2007-08-23 11:21 --------- d-------- C:\Programme\AvRack
2007-08-22 19:53 --------- d-------- C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\DivX
2007-08-22 17:49 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-08-22 17:44 --------- d-------- C:\Programme\Ruff-Rose
2007-08-22 16:38 14336 --a------ C:\WINDOWS\system32\svchost.exe
2007-08-21 12:07 50458 --a------ C:\WINDOWS\system32\interceptor.sys
2007-08-21 12:05 --------- d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-08-21 12:01 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-13 14:30 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-12 17:30 --------- d-------- C:\Programme\DivX
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-27 01:06 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-27 01:06 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-27 01:06 129784 --a------ C:\WINDOWS\system32\pxafs.dll
2007-07-27 01:06 120056 --a------ C:\WINDOWS\system32\pxcpyi64.exe
2007-07-27 01:06 118520 --a------ C:\WINDOWS\system32\pxinsi64.exe
2007-07-27 01:03 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-07-27 01:03 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-07-27 01:03 81920 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-27 01:03 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-07-27 01:03 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-07-27 01:03 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-27 01:03 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-27 01:03 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-07-27 01:03 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-27 01:03 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-27 01:03 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-07-27 01:03 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-27 01:03 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-07-13 15:05 94080 --a------ C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\ezplay.sys
2007-07-13 15:05 81920 --a------ C:\DOKUME~1\PEPE~1.PEP\ANWEND~1\ezpinst.exe
2007-07-13 15:05 --------- d-------- C:\Programme\VSO
2007-07-07 17:37 --------- d-------- C:\Programme\FrostWire
2007-06-30 22:15 --------- d-------- C:\Programme\Ahead
2007-06-29 00:43 8466432 --a------ C:\WINDOWS\system32\nvcpl.dll
2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvmctray.dll
2007-06-29 00:43 753664 --a------ C:\WINDOWS\system32\nvcplui.exe
2007-06-29 00:43 6729728 --a------ C:\WINDOWS\system32\nvoglnt.dll
2007-06-29 00:43 6234112 --a------ C:\WINDOWS\system32\nvdisps.dll
2007-06-29 00:43 5690624 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-06-29 00:43 5455872 --a------ C:\WINDOWS\system32\nvdispsr.dll
2007-06-29 00:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2007-06-29 00:43 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2007-06-29 00:43 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2007-06-29 00:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2007-06-29 00:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcodins.dll
2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcod.dll
2007-06-29 00:43 360448 --a------ C:\WINDOWS\system32\nvapi.dll
2007-06-29 00:43 3600384 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2007-06-29 00:43 3518464 --a------ C:\WINDOWS\system32\nvvitvs.dll
2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2007-06-29 00:43 3321856 --a------ C:\WINDOWS\system32\nvgames.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrshe.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrsar.dll
2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2007-06-29 00:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2007-06-29 00:43 3072000 --a------ C:\WINDOWS\system32\nvgamesr.dll
2007-06-29 00:43 307200 --a------ C:\WINDOWS\system32\nvexpbar.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2007-06-29 00:43 2854912 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsfr.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrses.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsel.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-02-28 14:00]
"MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-06-19 10:50]
"RefreshLock"="G:\pepeback\installs\refreshlock\RefreshLock.exe" [2003-10-15 21:53]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.exe" [2004-04-26 14:26]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2004-10-07 15:04]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 08:45 C:\WINDOWS\soundman.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43]
"nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 18:25]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^pepe.PEPEMAT^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\pepe.PEPEMAT\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
c:\programme\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys
R2 ACEDRV08;ACEDRV08;\??\C:\WINDOWS\system32\drivers\ACEDRV08.sys
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2004\AVKService.exe
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys
R2 nhksrv;Netropa NHK Server;C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
R3 DT154_A02;Sinus 154 data II Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys
R3 GDInterceptor;GDInterceptor;\??\C:\WINDOWS\system32\interceptor.sys
R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys
R3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
S3 hSONYPVh;hSONYPVh;\??\C:\DOKUME~1\PEPE~1.PEP\LOKALE~1\Temp\hSONYPVh.sys

*Newly Created Service* - CATCHME

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-30 16:42:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-30 16:43:06
C:\ComboFix-quarantined-files.txt ... 2007-08-30 16:43

--- E O F ---
Neuinstallation, ja das sollte Ich am WE wohl mal in angriff nehmen.

Die Datei

C:\WINDOWS\system32\cdae7_r.dll

bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen, Ergebnis hier posten.

Dann machen wir noch einen ADS Test

LADS für Alternate Data Streams

* Lade das Programm von hier.
* Entpacke es mittels eines Zip Tools -> 7 Zip

Wähle als Ziel für das entpacken den Pfad c:\
Unter c:\ liegen jetzt die Dateien lads.exe und Lads_ReadMe.txt

* klicke auf Start / ausführen
* tippe ein cmd drücke [Enter]
* tippe ein cd c:\
* tippe ein lads /s >lads.txt
* sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [enter]
* nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Laufwerk c: und öffnest die Datei lads.txt
* deren Inhalt postest Du in den Thread
----------------------------------------
Fehlermeldungen

• Falls beim ausführen von lads die Nachricht "Der Befehl "lads" ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter c:\. Kopiere sie in dem Fall dorthin

• Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload Dienst *Klick* und poste den Link ins Forum

Bata

Hallo,
die dll.Datei ist im sytem32 oder ganzem Windos-Verzechnis nicht zu finden.
Da frag Ich doof, ob das möglich ist, wenn die Datei im gmer-Log aufgeführt wird?

Das Log ist diesmal definitiv nicht zu gross.....

LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!
Could not find directory \s

Fehlermeldungen bei der cmd-Eingabe gabs keine.
Readme und exe liegen unter C:\ .
Kann das an meinen Partitionen liegen, Ich weiss so Sachen nich?

Ratlos bin Ich und Angst vorm Internet hab ich jetzt auch

Wenn Du meinst wär sicherer, hab Ich kein Problem mit einer Neuinstallation.

Zitat:

/s

nicht andersherum.

Bitte nochmal versuchen.

Bata

lol ohne Worte


LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\ with subdirectories

size ADS in file
---------- ---------------------------------
0 C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable
Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Anwendungsdaten\Mozilla\Firefox\Profiles\uwx1lmb2.default\parent.lock
0 C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Thumbs.db:encryptable
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Temp\Perflib_Perfdata_5f4.dat
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Temp\~DF6B87.tmp
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\Lokale Einstellungen\Temp\~DF6BAB.tmp
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\pepe.PEPEMAT\ntuser.dat.LOG
Error 32 opening C:\pagefile.sys
Error 32 opening C:\WINDOWS\system32\config\default
Error 32 opening C:\WINDOWS\system32\config\default.LOG
Error 32 opening C:\WINDOWS\system32\config\SAM
Error 32 opening C:\WINDOWS\system32\config\SAM.LOG
Error 32 opening C:\WINDOWS\system32\config\SECURITY
Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG
Error 32 opening C:\WINDOWS\system32\config\software
Error 32 opening C:\WINDOWS\system32\config\software.LOG
Error 32 opening C:\WINDOWS\system32\config\system
Error 32 opening C:\WINDOWS\system32\config\system.LOG
Error 32 opening C:\WINDOWS\system32\drivers\sptd.sys

The following summary might be incorrect because there was at least one error!

0 bytes in 3 ADS listed

Ok, so far so good.

Ich sehe keine Infeaktion mit dem Rootkit mehr, das hat was, was mir fehlt ist der Report.txt der SdFix, kannst Du diesen noch posten.

Hier habe ich grade noch einen Schreibfehler entdeckt, daher bitte noch einmal ausführen!

Dann reparieren wir noch die Registry
Öffne das Notepad ( Start/Ausführen/Notepad[Enter])
Copy and Paste alles in der Quote box ins Notepad:

Zitat:

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\FCI]

Zitat:REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\FCI]

Vergewissere Dich das vor Regedit4 keine Leerzeile ist.
Vergewissere Dich das nach der letzten Zeile eine leere Zeile ist.

Datei > Speichern unter
Speichere die Datei als Fix.reg
Ändere den Dateityp auf "Alle Dateien" und speicher die Datei auf Deinem Desktop.

Bata

SDFix Report.txt


SDFix: Version 1.100

Run by pepe on 29.08.2007 at 22:45

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix\SDFix

Safe Mode:
Checking Services:

Name:
FCI

ImagePath:
C:\WINDOWS\system32\svchost.exe:ext.exe

FCI - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\BitComet\\BitComet.exe"="C:\\Programme\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\Programme\\Java\\jre1.5.0_05\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost"
"C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPop.exe"="C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPop.exe:*:Enabled:AVK POP3/IMAP Proxy"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Xfire\\Xfire.exe"="C:\\Programme\\Xfire\\Xfire.exe:*:Enabled:Xfire"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:
---------------


Files with Hidden Attributes:

C:\WINDOWS\system32\cdae7_r.dll
C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\Programme\Outlook Express\msimn.exe

Finished
zu den oben aufgeführten 3 Dateien:
cdae7_r.dll ist nicht mehr vorhanden
DLMCleanup.exe hab ich vorsichtshalber bei AntivirusTotal geprüft, wird nicht als Virus erkannt
msimn.exe wird mir von Google als Bestandteil von outlook genannt

Ok, Status Quo.
Wir haben alles getan, alle dafür nötigen Tols verwandt Deinen Rechner wieder zu säubern.
Es scheint als sei er nun sauber, dennoch bitte ich Dich alle Zugangsdaten die Du auf dem Rechner benutzt hast (eMail, Hompage, FTP, Homebanking, Messenger) zu ändern.
Poste bitte abschließend noch ein neues HJT Log.

Bata

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:12, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
G:\pepeback\installs\refreshlock\RefreshLock.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.4.29.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [RefreshLock] G:\pepeback\installs\refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188124984328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7408 bytes

Riesen Danke an meine Helfer hier, besonders an Bata, Retter von pepel's Rechner. Das Du die ganzen Logs geprüft und es auch noch geschafft hast, mir zu erklären was ich machen muss, da zieh ich den Hut.
Echt sauber der Bata

pepel

Das Log ist ok.

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand!

Bata, der Dir nun wieder viel Spaß im Web wünscht.