Ich habe den Trojaner TR/Patchd.Winlogon.B.
Ich bekomme ständig eine Meldung von Antivir!! ich kann die datei aber nicht löschen oder sonst was machen!!

dies ist mein Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:10:00, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Java\bin\jusched.exe
C:\WINDOWS\Mixer.exe
D:\Winamp\Winampa.exe
D:\SSS\SIMPLESCREENSHOT.EXE
D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Winamp Remote\bin\Orb.exe
C:\WINDOWS\eHome\ehmsas.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Kunde\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [MDNS] C:\WINDOWS\system32\service.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SimpleScreenshot] D:\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56924A80-972E-4238-9238-8CCEE7C6FB96} (DownloadManager Control) - h**p://www.bluvista.tv/files/DownloadManager.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Bitte helft mir. ich habe nicht so viel Ahnung vom PC!!

Hier lese ich weiter...

edit: die Datei

Zitat:

C:\WINDOWS\system32\service.exe

bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten, incl. MD5/SHA1 und dem Kopf, wobei es starkdanach aussieht.

das hier ist das ergebnis:

0 bytes size received / Se ha recibido un archivo vacio

was meinste mit

Zitat:

Zitat von BataAlexander

incl. MD5/SHA1 und dem Kopf

Schelchtes Zeichen.

Dateien verschieben mit OTMoveIt
- Lade Dir OTMoveIt von OldTimer.
- Speichere es auf Deinem Desktop.
- Doppelklicke OTMoveIt.exe um das Programm zu starten.
- Kopiere die untenstehenden Dateien mittels markieren STRG+C ode nach dem markieren, Rechtsklick und kopieren wählen.

C:\WINDOWS\system32\service.exe

- Zurück zur OTMoveIt Oberfläche, Rechtsklick auf dem "Paste List of Files/Folders to be moved" Fenster und wähle "Einfügen" oder direkt STRG+V.
- Klick den roten Moveit! button.
- Klick "Exit" um OTMoveIt zu schließen.

- Wenn Du soweit bist, poste den Inhalt des Logs im Forum. Das Logfile liegt im Windows Stammverzeichnis (meist C:\)
Bsp.: C:\_OTMoveIt\MovedFiles\********_******.log
(wobei "********_******" das "Datum_Zeit" ist)
- Wenn eine Datei oder ein Ordner nicht direkt verschoben werden kann, wirst Du gefragt ob Du Neustarten willst um den Vorgang abzuschließen. Falls diese Frage auftaucht, den Rechner neu starten.
- Dann bitte das Log posten.
- wenn geglückt (was nicht sein muss), jetzt die verschobene Datei bei VT hochladen (SHA1/MD5 kommen nur, wenn die Datei nicht geschützt wird, wie bei Dir)

Hallo Gorsow

vorher wende bitte Combofix an, da kann man besser sehen, was sich so alles auf dem Rechner tummelt, auch in der Registry
wende das Proggie laut Anleitung an + poste hier den Report
combofix

Hallo Sabina.
ich habe combofix mal durchlaufen lassen!!
Das ist der log:

ComboFix 08-03-10.1 - Kunde 2008-03-11 14:56:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.678 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kunde\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-11 bis 2008-03-11 ))))))))))))))))))))))))))))))
.

2008-03-10 22:51 . 2008-03-10 22:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser
2008-03-10 22:49 . 2007-09-13 15:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-10 22:49 . 2007-09-13 16:34 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-10 22:49 . 2007-09-13 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-10 22:49 . 2007-09-13 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-10 22:49 . 2007-09-13 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-10 22:49 . 2007-09-13 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-10 22:49 . 2007-09-13 16:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-01 18:38 . 2008-03-01 18:38 <DIR> d-------- C:\WINDOWS\system32\RTL8187
2008-03-01 18:38 . 2008-03-01 18:39 <DIR> d-------- C:\Programme\REALTEK USB Wireless LAN Driver and Utility
2008-03-01 18:38 . 2006-11-15 16:23 38,144 --a------ C:\WINDOWS\system32\drivers\EAPPkt.sys
2008-03-01 18:38 . 2007-01-08 11:41 3,078 --a------ C:\WINDOWS\system32\drivers\EAPPkt.inf
2008-02-13 17:11 . 2008-03-09 19:18 <DIR> d-------- C:\Programme\ICQToolbar

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-11 13:49 --------- d-----w C:\Dokumente und Einstellungen\Kunde\Anwendungsdaten\BitTorrent DNA
2008-03-10 20:59 --------- d-----w C:\Programme\Winamp Remote
2008-03-01 17:39 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-03-01 17:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-17 16:42 18,312 ----a-w C:\Dokumente und Einstellungen\Kunde\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-08 18:00 --------- d-----w C:\Dokumente und Einstellungen\Kunde\Anwendungsdaten\BitTorrent
2008-02-04 20:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-02-01 16:41 --------- d-----w C:\Programme\Gemeinsame Dateien\logishrd
2008-01-29 21:42 --------- d-----w C:\Dokumente und Einstellungen\Kunde\Anwendungsdaten\ICQ
2008-01-28 20:31 --------- d-----w C:\Dokumente und Einstellungen\Kunde\Anwendungsdaten\vlc
2008-01-26 21:33 --------- d-----w C:\Dokumente und Einstellungen\Kunde\Anwendungsdaten\mIRC
2008-01-26 21:32 --------- d-----w C:\Programme\mIRC
2008-01-25 20:55 --------- d-----w C:\Programme\VideoLAN
2008-01-25 06:19 --------- d-----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\DivX
2008-01-19 15:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-01-19 15:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-01-19 15:23 --------- d-----w C:\Programme\Windows Live
2008-01-18 16:09 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-01-18 13:04 --------- d-----w C:\Programme\Windows Live Toolbar
2008-01-15 22:30 --------- d-----w C:\Programme\MSXML 4.0
2008-01-15 15:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar
.

------- Sigcheck -------

2004-11-05 21:51 507392 33aa1f31de9099bb306f4195fec61421 C:\WINDOWS\system32\winlogon.exe
2004-11-05 21:51 507392 33aa1f31de9099bb306f4195fec61421 C:\WINDOWS\system32\dllcache\winlogon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 21:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"updateMgr"="D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"BitTorrent DNA"="C:\Programme\BitTorrent_DNA\dna.exe" [2007-11-29 21:23 286016]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 21:02 495616]
"ICQ"="D:\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 03:04 59392]
"SoundMan"="SOUNDMAN.EXE" [2006-11-16 22:42 577536 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-03-01 06:22 7700480]
"nwiz"="nwiz.exe" [2007-03-01 06:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-03-01 06:22 86016]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2004-11-10 08:40 266240]
"NWEReboot"="" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:01 249896]
"SunJavaUpdateSched"="D:\Java\bin\jusched.exe" [2007-09-25 01:11 132496]
"MDNS"="C:\WINDOWS\system32\service.exe" [ ]
"C-Media Mixer"="Mixer.exe" [2003-03-20 01:21 1855488 C:\WINDOWS\mixer.exe]
"WinampAgent"="D:\Winamp\Winampa.exe" [2007-10-10 06:28 36352]
"SimpleScreenshot"="D:\SSS\SIMPLESCREENSHOT.EXE" [2005-04-14 01:00 962048]
"PCSuiteTrayApplication"="D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-03-22 09:39 167936]
"DataLayer"="C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" [2005-03-31 09:30 1106944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-10-21 18:27:14 610304]
Microsoft Office.lnk - D:\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
REALTEK USB Wireless LAN Utility.lnk - C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe [2008-03-01 18:38:55 794624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"D:\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"D:\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 app_filter;app_filter;C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe [2004-11-10 08:40]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R3 AF15BDA;Cinergy T USB XE (MKII) service;C:\WINDOWS\system32\drivers\AF15BDA.sys [2006-11-20 06:57]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2007-05-21 08:29]
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 13:05]
S3 FXDRV;FXDRV;K:\Fxdrv.sys []
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 13:05]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 14:57:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-11 14:57:58
.
2008-02-13 06:04:56 --- E O F ---

nur ganz kurz: bei der zu prüfenden datei könnte es sich
um das hier handeln:
CastleCops® MDNS service.exe Startup and file information

in puncto winlogon.exe verweise ich mal auf diesen thread:
AntiVir PersonalEdition Support Forum | Viren und andere Sicherheitsrisiken | in WINLOGON.exe Trojaner gefunden - Falschmeldung wie vor 1 Jahr od. richtig?

Hallo Gorsow,

wende bitte sdfix an
SDFix

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) abgesicherter Modus ist wichtig !!! sonst funktioniert sdfix nicht.............

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,