Hi,

ein Freund von mir hatte einen Trojaner (TR/Vundo.Gen) drauf den ich mit Hilfe dieses Forums entfernen konnte. Aber da wir grade dabei sind hab ich mir gedacht ich poste mal das Hijack Logfile, da findet sich dann bestimmt noch das ein andere was man entfernen könnte. Würde mich also freuen wenn sich das jemand anguckt und mir ein paar verdächtige Einträge aufzeigt falls vorhanden.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 22:32:13, on 29.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\winsys2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Delux\PS2 Keyboard English Edition\keyboard.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O2 - BHO: {98adea36-5442-fb29-57d4-db99c097d974} - {479d790c-99bd-4d75-92bf-244563aeda89} - C:\WINDOWS\system32\largrncd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {AB0EB38C-6E12-440E-AB55-6D013EDD2976} - C:\WINDOWS\system32\pmkhh.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [24f9058f] rundll32.exe "C:\WINDOWS\system32\xsuqsdlw.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: PS2 Keyboard English Edition.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: awttsrp - C:\WINDOWS\SYSTEM32\awttsrp.dll
O20 - Winlogon Notify: gebyx - C:\WINDOWS\
O20 - Winlogon Notify: pmkhh - C:\WINDOWS\system32\pmkhh.dll (file missing)
O20 - Winlogon Notify: vtstu - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe
         

MfG
Winterheat

Hallo

macht bitte zuerst alle versteckten Dateien und Ordner sichtbar und dann bitte diese Dateien :
C:\WINDOWS\System32\winsys2.exe
C:\WINDOWS\system32\xsuqsdlw.dll
hier Virustotal
hier virscan.org
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Die winsys2.exe hab ich mal bei Virustotal durchlaufen lassen:

WinSys2.exe
File size: 217088 bytes
MD5: 246ed5328f940e4fdaab0b2fc987da01
SHA1: d5e2592cf25b48efb1225e37c45bce99a13466c8
Ergebnis: 0/32 (0%)

Die andere Datei konnte ich nicht hochladen, da ich sie nicht gefunden habe, auch nicht mit der windows suchfunktion. Das versteckte Dateien und Ordner angezeigt werden hab ich bereits eingestellt.

Hallo

Hm, lässt du dir alle versteckten Dateien und Ordner anzeigen?

Führe bitte mal einen eScan nach Anleitung durch
http://www.trojaner-board.de/42731-escan-anleitung.html

MFG

Zitat:

Zitat von nochdigger

Hallo

Hm, lässt du dir alle versteckten Dateien und Ordner anzeigen?

Ja, hab auch nochmal anhand deiner Anleitungnachgeschaut. Hab auch gemerkt, dass Windows beim Hochfahren eine Fehlermeldung bringt, nämlich, dass die Datei xsuqsdlw.dll nicht gefunden werden konnte (EDIT: hab unter msconfig->Systemstart das Häkchen weggemacht, damit Windows nicht mehr versucht diese Datei zu laden). Keine Ahnung ob es in diesem Zudammenhasng relevant ist, aber ich habe auch gemerkt, dass Windows, wenn man auf Start->Computer ausschalten... klickt ca. 2-3 Minuten braucht bis der Auswahlbildschirm mit herunterfahren, neu starten oder standby erscheint und dann nochmal 2-3 Minuten zum runterfahren.

Zitat:

Zitat von nochdigger

Führe bitte mal einen eScan nach Anleitung durch
http://www.trojaner-board.de/42731-escan-anleitung.html
MFG

Das escan-Update hat zwar nicht geklappt, habs trotzdem mal durchlaufen lassen. Hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL 
    
eScan Version: 9.5.1 
Sprache: German 
Virus-Datenbank Datum: 10/30/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen. 
 System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen. 
 System found infected with hotbar Spyware/Adware (hbinstie.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. 
 System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. 
 System found infected with hotbar.shopperreports Toolbar (whitelist.xip)! Action taken: Keine Aktion vorgenommen. 
 System found infected with hotbar.shopperreports Toolbar (persist.dbs)! Action taken: Keine Aktion vorgenommen. 
 System found infected with hotbar.shopperreports Toolbar (whitelist.dbs)! Action taken: Keine Aktion vorgenommen. 
 System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. 
 System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. 
 System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. 
 System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\awttsrp.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\awttsrp.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\gsmmfiiv.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\lhvxstnm.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\***\LOKALE~1\Temp\cd15.tmp.exe//data0013//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\***\LOKALE~1\Temp\HbToolsU.exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\***\LOKALE~1\Temp\Installer.exe//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\8ZSJA14Z\HotbarUpgrade[1].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\8ZSJA14Z\HotbarUpgrade[2].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\Y9C5SLMR\HotbarUpgrade[1].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cd15.tmp.exe//data0013//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HbToolsU.exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Installer.exe//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZSJA14Z\HotbarUpgrade[1].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZSJA14Z\HotbarUpgrade[2].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y9C5SLMR\HotbarUpgrade[1].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cd45.tmp.exe//data0013//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Installer.exe//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6TE92BOZ\HotbarUpgrade[1].exe//stream//data0001 markiert als "not-a-virus:AdWare.Win32.180Solutions.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll markiert als "not-a-virus:AdWare.Win32.Shopper.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021615.exe//UPX markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021616.exe markiert als "not-a-virus:AdWare.Win32.HotBar.by". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021618.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021619.dll markiert als "not-a-virus:AdWare.Win32.HotBar.be". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021620.dll markiert als "not-a-virus:AdWare.Win32.HotBar.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021621.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021622.exe markiert als "not-a-virus:AdWare.Win32.HotBar.by". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021623.dll markiert als "not-a-virus:AdWare.Win32.HotBar.be". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP89\A0021624.exe markiert als "not-a-virus:AdWare.Win32.Hotbar.an". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021634.dll markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021635.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021642.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021643.dll markiert als "not-a-virus:AdWare.Win32.HotBar.bz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021644.dll markiert als "not-a-virus:AdWare.Win32.HotBar.bx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021645.dll markiert als "not-a-virus:AdWare.Win32.Hotbar.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{937F01A2-4777-419F-902A-3B6FCD5B60F1}\RP90\A0021646.dll markiert als "not-a-virus:AdWare.Win32.HotBar.be". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\Downloaded Program Files\HbInstIE.dll markiert als "not-a-virus:AdWare.Win32.HotBar.bj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\awttsrp.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\gsmmfiiv.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\lhvxstnm.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\DOWNLO~1\hbinstie.dll 
 Offending file found: C:\DOKUME~1\Dejan\LOKALE~1\Temp\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\securom\userdata\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\shoppingreport\cs\dwld\whitelist.xip 
 Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\shoppingreport\cs\persist.dbs 
 Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\shoppingreport\cs\res1\whitelist.dbs 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq lite\425288838\ralf_116880456\yasu\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq lite\425288838\ralf_116880456\yasu\readme.txt 
 Offending file found: C:\WINDOWS\system32\unrar.dll 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\savenow !!! 
 Offending Key found: HKLM\Software\ptech !!! 
 Offending Key found: HKCU\Software\hbtools !!! 
 Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\hotbar !!! 
 Offending Key found: HKCR\magnet !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{54bed59d-3959-11dc-9c41-000f3de0c15b} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... 
 Invalid Entry DllName = C:\WINDOWS\system32\pmkhh.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmkhh). Deleting Registry Key pmkhh... 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\7zS6.tmp\disk1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 101542 
 Gefundene Viren: 63 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 59 
 Dauer des Scans bisher: 01:20:16 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart:  3:55:58,75 
Batchende:  3:56:03,53
         

Hallo

erstelle bitte noch ein log mit der Filelist dann können wir glaub ich mit der Bereinigung anfangen.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG