Hier sind die Ergebnisse bezüglich der beiden Dateien zuerst:


C:\WINDOWS\nmcuninstall.exe

Datei nmcuninstall.exe empfangen 2007.10.19 15:10:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/32 (12.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 -
AntiVir 7.6.0.27 2007.10.19 -
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.18 -
AVG 7.5.0.488 2007.10.19 -
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.19 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 Trojan-Downloader.Win32.Zlob.dmx
Ikarus T3.1.1.12 2007.10.19 -
Kaspersky 7.0.0.125 2007.10.19 Trojan-Downloader.Win32.Zlob.dmx
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.19 -
NOD32v2 2603 2007.10.19 -
Norman 5.80.02 2007.10.19 -
Panda 9.0.0.4 2007.10.18 Suspicious file
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.099 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.19 -
weitere Informationen
File size: 33280 bytes
MD5: c9be9807d29fa7ac8dee943a3b583bb0
SHA1: b8c85c276dec7add37c5195a7b90e8e8607a3d8d
packers: UPX_LZMA




----und die Datei -----------
C:\WINDOWS\hostctrl.dll


Datei hostctrl.dll empfangen 2007.10.19 15:11:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/32 (18.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 8.
Geschätzte Startzeit is zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 Win-Trojan/Agent.254976.D
AntiVir 7.6.0.27 2007.10.19 TR/Dldr.Agent.fud
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.18 -
AVG 7.5.0.488 2007.10.19 -
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.19 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 -
Ikarus T3.1.1.12 2007.10.19 not-a-virus:AdWare.Win32.Agent.bn
Kaspersky 7.0.0.125 2007.10.19 -
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.19 TrojanDownloader:Win32/Zlob.gen!L
NOD32v2 2603 2007.10.19 -
Norman 5.80.02 2007.10.19 Agent.CUUF
Panda 9.0.0.4 2007.10.18 -
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.099 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.19 Trojan.Dldr.Agent.fud
weitere Informationen
File size: 255488 bytes
MD5: 027f5cb0af73630612390cb6c7a66acb
SHA1: c9e77df2e34fe3d23a6f29c5751bf4c7b31341e9

Bei Ad-Aware war nichts kritisches dabei...

Was mache ich aber mit den beiden Dateien im Windows verzeichnis?

Jup, das hab' ich mir gedacht..

Trojan-Downloader.Win32.Zlob.dmx

Zitat:

Was mache ich aber mit den beiden Dateien im Windows verzeichnis?

wechsel bitte in den abgesicherten Modus und lösche die Dateien. Danach räumst du mit CCleaner auf.

Starte den Rechner neu und überprüfe ob die Dateien gelöscht wurden.

Dann folgst du bitte meiner ursprünglichen Anleitung und führst eScan und iClean aus.

Hi

Hab die beiden Dateien gelöscht (abgesicherter Modus) und sind auch nach dem Neustart nicht mehr dran. mache nun die beiden Scans...

Hier ist der iClean Report:

iclean log 21.10.2007 16:43:45

Windows XP SP2, Using advanced Kernel functions

Processes
---------
1440 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1580 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1604 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1648 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1660 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1824 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1932 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
264 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
320 - C:\Programme\Intel\Wireless\Bin\EvtEng.exe - Intel(R) PROSet/Wireless Event Log
416 - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe - Wireless Management Service
576 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
724 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
972 - C:\Programme\Tools\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service (Signed)
1020 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1080 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1520 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
516 - C:\WINDOWS\Explorer.EXE - Windows Explorer
612 - C:\Programme\Internet\TortoiseSVN\bin\TSVNCache.exe - TortoiseSVN status cache
740 - C:\Programme\Sony\ISB Utility\ISBMgr.exe - C:\Programme\Sony\ISB Utility\ISBMgr.exe
732 - C:\Programme\Sony\VAIO Power Management\SPMgr.exe - SPM Module
820 - C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe - Virtual CloneDrive Daemon
832 - C:\Programme\Tools\Notebook Hardware Control\nhc.exe - Notebook Hardware Control
856 - C:\Programme\Apoint\Apoint.exe - Alps Pointing-device Driver
940 - C:\WINDOWS\system32\igfxsrvc.exe - igfxsrvc Module
964 - C:\WINDOWS\system32\hkcmd.exe - hkcmd Module
1004 - C:\WINDOWS\system32\igfxpers.exe - persistence Module
1284 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
1312 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1344 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
764 - C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe - Nero Home
1396 - WindowsSearch.e - WindowsSearch.e
1724 - C:\Programme\Apoint\Apntex.exe - Alps Pointing-device Driver for Windows NT/2000/XP
1872 - mDNSResponder.e - mDNSResponder.e
1988 - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe - Cisco Systems VPN Client (Signed)
2124 - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe - Machine Debug Manager
2324 - C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe - C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
2364 - C:\WINDOWS\system32\oodag.exe - O&O Defrag Agent
2424 - C:\Programme\Agnitum\Outpost Firewall\outpost.exe - Outpost Firewall main module
2452 - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe - Intel(R) PROSet/Wireless Registry Service
2564 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2616 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
2652 - C:\Programme\Sony\VAIO Event Service\VESMgr.exe - VAIO Event Service (Service Module)
2756 - searchindexer.e - searchindexer.e
2964 - C:\WINDOWS\system32\igfxext.exe - igfxext Module
2988 - C:\WINDOWS\system32\igfxsrvc.exe - igfxsrvc Module
3368 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
3400 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3616 - searchprotocolh - searchprotocolh
3920 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1228 - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe - Intel Framework MFC Application
1128 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
2096 - C:\WINDOWS\system32\wbem\wmiprvse.exe - WMI
588 - C:\Programme\Multimedia\DVBViewer\dvbviewer.exe - DVB Viewer Pro
1624 - C:\WINDOWS\system32\igfxext.exe - igfxext Module
2004 - searchfilterhos - searchfilterhos
3264 - C:\Dokumente und Einstellungen\Administrator\Desktop\Iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\tools\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\programme\bonjour\mdnsresponder.exe=Bonjour Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
c:\programme\cisco systems\vpn client\cvpnd.exe=CVPND
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
c:\programme\intel\wireless\bin\evteng.exe=EvtEng
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe=MDM
c:\programme\mysql\mysql server 5.0\bin\mysqld-nt --defaults-file=c:\programme\mysql\mysql server 5.0\my.ini mysql=MySQL
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\windows\system32\oodag.exe=O&O Defrag
c:\programme\agnitum\outpost firewall\outpost.exe=OutpostFirewall
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
c:\programme\intel\wireless\bin\regsrvc.exe=RegSrvc
C:\WINDOWS\system32\svchost.exe=RpcSs
c:\programme\intel\wireless\bin\s24evmon.exe=S24EventMonitor
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
c:\programme\sony\vaio event service\vesmgr.exe=VAIO Event Service
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\searchindexer.exe=WSearch
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe"
000=HKCU\Run: ctfmon.exe=c:\windows\system32\ctfmon.exe
000=HKLM\Run: Apoint=c:\programme\apoint\apoint.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: HotKeysCmds=c:\windows\system32\hkcmd.exe
000=HKLM\Run: IgfxTray=c:\windows\system32\igfxtray.exe
000=HKLM\Run: ISBMgr.exe=c:\programme\sony\isb utility\isbmgr.exe
000=HKLM\Run: Kernel and Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: Logitech Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: NotebookHardwareControl="c:\programme\tools\notebook hardware control\nhc.exe" -quiet
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: Outpost Firewall=c:\programme\agnitum\outpost firewall\outpost.exe
000=HKLM\Run: Persistence=c:\windows\system32\igfxpers.exe
000=HKLM\Run: SonyPowerCfg=c:\programme\sony\vaio power management\spmgr.exe
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: VirtualCloneDrive="c:\programme\tools\virtualclonedrive\vcddaemon.exe" /s
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: hstsys=c:\windows\hstsys.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\multimedia\acrobat 7.0\activex\acroiehelper.dll (AcroIEHlprObj Class)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\tools\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {AE7CD045-E861-484f-8273-0445EE161910}=c:\programme\multimedia\acrobat 7.0\acrobat\acroiefavclient.dll (AcroIEToolbarHelper Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\multimedia\acrobat 7.0\acrobat\acroiefavclient.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\multimedia\acrobat 7.0\acrobat\acroiefavclient.dll

Startup Folders
---------------
Common: desktop.ini
Common: windows-desktopsuche.lnk -> C:\PROGRA~1\WINDOW~4\WINDOW~1.EXE
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Und das hier ist der Report von eScan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/19/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator\aircrack.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = C:\WINDOWS\system32\NavLogon.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon). Deleting Registry Key NavLogon...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 182578
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 23
Dauer des Scans bisher: 01:49:13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:06:06,93
Batchende: 19:06:24,00

Wie sieht es nun aus mit meinem Virus?
Ich les da nicht sonderlich viel raus...

Und das hier ist dann noch mein HijackThis.log

Logfile of HijackThis v1.99.1
Scan saved at 19:20:19, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Tools\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Tools\Notebook Hardware Control\nhc.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Multimedia\DVBViewer\dvbviewer.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Multimedia\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Tools\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Tools\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Tools\Free Download Manager\dlselected.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Tools\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\Tools\Seiten downloaden\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\Tools\Seiten downloaden\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O21 - SSODL: hstsys - {584C1CE2-244E-4BD9-9EA0-15C9A7D8CFB7} - C:\WINDOWS\hstsys.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Tools\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Tools\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

Vertraust du dieser Datei?
" C:\Dokumente und Einstellungen\Administrator\aircrack.exe "

Wenn nicht dann lösche sie ebenfalls aus dem abgesicherten Modus heraus.

Hast du noch Probleme?


PS: Suche mal bitte wie in meiner Signatur beschrieben nach folgender Datei: " C:\WINDOWS\hstsys.dll " Sie dürfte eigentlich nicht zu finden sein.

Fixe also folgenden HJT Eintrag: * O21 - SSODL: hstsys - {584C1CE2-244E-4BD9-9EA0-15C9A7D8CFB7} - C:\WINDOWS\hstsys.dll (file missing) *

Hi

Habe die Datei im abgesicherten Modus gelöscht.

Die Datei hstsys.dll habe ich auch nicht gefunden, dann mit HijackThis gefixt. Nach einem Neustart steht da auch nichts mehr komisches drin.

Ansonsten hab ich auch keine Probleme mehr. Scheint wieder gut zu laufen.

Sonst noch einen Test, den ich machen kann?

Zitat:

Sonst noch einen Test, den ich machen kann?

jede Menge

aber ich glaube, das sollte es gewesen sein.

OK

Dann vielen Dank für deine Hilfe