Hallo erstmal!

Der Antivirguard hat heute nach dem öffnen von "Systemsteuerung->Programme und Funktionen" einen Virus-Alarm angezeigt.
Es wurde das Trojanische Pferd Killav.NT gefunden.
Pfad:
C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\killbill.exe
Komischer Weise ist dieser Ordner auf C:\ nicht zu finden obwohl "alle Dateien anzeigen" aktiviert ist.
Diese Meldung kommt immer wenn "Systemsteuerung->Programme und Funktionen" geöffnet wird.

System:
Samsung Q45
Windows Vista Home Premium
32 Bit
Intel Core 2 Duo T7250
2046 MB RAM

Hier noch das LOG-File des kompletten Systemscans mit Antivir und Hijackthis



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 2. April 2008 12:27

Es wird nach 1174697 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: SYSTEM
Computername: ****

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 11:29:07
ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27.03.2008 10:21:44
ANTIVIR3.VDF : 7.0.3.107 90624 Bytes 02.04.2008 10:21:44
AVEWIN32.DLL : 7.6.0.78 3408384 Bytes 02.04.2008 10:21:45
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 17.01.2008 12:51:09
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 2. April 2008 12:27

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLUBackgroundService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '61' Prozesse mit '61' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '12' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\killbill.exe
[FUND] Ist das Trojanische Pferd TR/Killav.NT
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Mittwoch, 2. April 2008 13:45
Benötigte Zeit: 1:18:22 min

Der Suchlauf wurde vollständig durchgeführt.

11579 Verzeichnisse wurden überprüft
266188 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
266187 Dateien ohne Befall
1855 Archive wurden durchsucht
2 Warnungen
5 Hinweise




Logfile of HijackThis v1.99.1
Scan saved at 14:00:21, on 02.04.2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Windows\Explorer.EXE
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\conime.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Maria\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4312DE2E-0E64-45FA-800E-405ECE5B510D}: NameServer = 217.237.151.51,217.237.149.205
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 006 (ClipInc006) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 007 (ClipInc007) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Bitte um Hilfe zwecks enfernen oder ist es vielleicht ein Fehlarlam!?!

Danke schon mal im Voraus!

hi meckie und Herzlich Willkommen


Das es eine Fehlmeldung ist kann ich mir nur schlecht vorstellen, also dieser Trojaner kann relativ schädlich sein.
Ganz kurze Beschreibung: Also er kann AntiViren Programme ausschalten, systemabhängige dateien verändern, er kann auch weitere Malware auf dein System laden oder auch einfach persönliche Daten von dir ausspionieren

Bitte lasse einmal ComboFix (findest du in meiner Signatur) laufen. Vorher aberCCleaner benutzen. Das Logfile bitte posten (nur das von ComboFix)

Bitte wende auch einmal Malwarebytes an. (Report posten)
Bitte die infizierte Datein einmal hier oder hier online scannen lassen. (report posten)

Danke für die Hilfe!


Malwarebytes' Anti-Malware 1.10
Datenbank Version: 583

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 107561
Scan Dauer: 22 minute(s), 4 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Die Onlinescans kann ich leider nicht machen weil ich die datei bzw. das verzeichnis, in dem antivir den trojaner entdeckt hat, nicht sehen bzw. finden kann.



ComboFix 08-04-01.2 - ******* 2008-04-02 20:59:46.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1282 [GMT 2:00]
ausgeführt von:: D:\Downloads\ComboFix.exe
.

Weitere Löschungen
.

C:\Windows\msetup
C:\Windows\msetup\BASW-00500A10\Install.exe
C:\Windows\msetup\BASW-00500A10\install.ini
C:\Windows\msetup\BASW-00500A10\setup.exe
C:\Windows\msetup\BASW-00500A10\SWDesc.txt
C:\Windows\msetup\MSetup.exe

.
Dateien erstellt von 2008-03-02 bis 2008-04-02

2008-04-02 11:30 . 2008-04-02 11:30 <DIR> d-------- C:\Users\******\AppData\Roaming\Canon
2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\Users\*******\AppData\Roaming\ScanSoft
2008-04-02 11:27 . 2008-04-02 11:46 <DIR> d-------- C:\Users\All Users\ScanSoft
2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\Users\All Users\InstallShield
2008-04-02 11:27 . 2008-04-02 11:46 <DIR> d-------- C:\ProgramData\ScanSoft
2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\ProgramData\InstallShield
2008-04-02 11:17 . 2008-04-02 11:17 <DIR> d--h----- C:\Windows\System32\CanonIJ Uninstaller Information
2008-04-02 11:17 . 2008-04-02 11:17 <DIR> d--h----- C:\Program Files\CanonBJ
2008-04-02 11:16 . 2008-04-02 11:45 <DIR> d-------- C:\Program Files\Canon
2008-04-02 11:15 . 2008-04-02 11:15 <DIR> d--h----- C:\Users\All Users\CanonBJ
2008-04-02 11:15 . 2008-04-02 11:15 <DIR> d--h----- C:\ProgramData\CanonBJ
2008-04-02 11:14 . 2006-03-26 22:00 161,792 --a------ C:\Windows\System32\CNMLM82.DLL
2008-03-23 20:53 . 2008-03-24 19:11 <DIR> d-------- C:\Users\*******\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo
2008-03-23 20:31 . 2008-03-23 20:31 <DIR> d-------- C:\Users\*******\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo
2008-03-23 20:24 . 2008-03-05 16:56 3,786,760 --a------ C:\Windows\System32\D3DX9_37.dll
2008-03-23 20:24 . 2008-03-05 16:56 1,420,824 --a------ C:\Windows\System32\D3DCompiler_37.dll
2008-03-23 20:24 . 2007-10-12 16:14 1,374,232 --a------ C:\Windows\System32\D3DCompiler_36.dll
2008-03-23 20:24 . 2008-03-05 17:03 479,752 --a------ C:\Windows\System32\XAudio2_0.dll
2008-03-23 20:24 . 2008-02-06 00:07 462,864 --a------ C:\Windows\System32\d3dx10_37.dll
2008-03-23 20:24 . 2007-10-02 10:56 444,776 --a------ C:\Windows\System32\d3dx10_36.dll
2008-03-23 20:24 . 2007-10-22 04:39 267,272 --a------ C:\Windows\System32\xactengine2_10.dll
2008-03-23 20:24 . 2008-03-05 17:03 238,088 --a------ C:\Windows\System32\xactengine3_0.dll
2008-03-23 20:24 . 2008-03-05 17:00 25,608 --a------ C:\Windows\System32\X3DAudio1_3.dll
2008-03-23 20:06 . 2008-03-23 20:06 <DIR> d-------- C:\Program Files\Electronic Arts
2008-03-23 17:35 . 2008-03-23 17:35 <DIR> d-------- C:\Users\*******\AppData\Roaming\Zylom
2008-03-12 12:31 . 2008-03-19 14:48 <DIR> d-------- C:\Users\*******\AppData\Roaming\teamspeak2
2008-03-12 10:41 . 2007-12-17 00:50 1,060,920 --a------ C:\Windows\System32\drivers\ntfs.sys
2008-03-12 10:41 . 2007-12-16 11:56 41,984 --a------ C:\Windows\System32\drivers\monitor.sys
2008-03-11 17:28 . 2008-03-11 17:28 <DIR> d-------- C:\Users\*******\AppData\Roaming\teamspeak2
2008-03-11 17:28 . 2008-03-11 17:28 34,064 --a------ C:\Windows\System32\lhacm.acm
2008-03-11 17:27 . 2008-03-11 17:28 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2008-03-05 11:43 . 2008-03-05 12:01 <DIR> d-------- C:\Program Files\Common Files\Blizzard Entertainment
2008-03-03 19:01 . 2008-03-23 17:36 <DIR> d-------- C:\Users\All Users\Zylom
2008-03-03 19:01 . 2008-03-23 17:36 <DIR> d-------- C:\ProgramData\Zylom

.
Find3M Bericht
.
2008-04-02 12:30 27,335 ----a-w C:\Users\*******\AppData\Roaming\nvModes.dat
2008-04-02 09:27 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-03-28 12:22 --------- d-----w C:\Users\*******\AppData\Roaming\Azureus
2008-03-23 18:33 27,905 ----a-w C:\Users\*******\AppData\Roaming\nvModes.dat
2008-03-23 18:05 --------- d-----w C:\Program Files\Java
2008-03-12 15:07 --------- d-----w C:\Program Files\Windows Mail
2008-03-03 15:55 1,538,824 ----a-w C:\Windows\CISUnins.exe
2008-03-03 15:55 1,538,824 ----a-w C:\Windows\CICUnins.exe
2008-03-01 20:39 --------- d-----w C:\Users\*******\AppData\Roaming\ICQ
2008-02-13 15:07 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-13 15:07 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-13 15:04 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-13 15:04 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 15:04 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 15:04 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-13 15:04 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-02-13 15:04 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-13 15:04 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-13 15:03 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-13 15:03 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 15:03 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 15:03 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 15:03 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 15:03 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 15:03 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-13 15:03 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 15:03 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 15:03 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 15:03 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-13 15:01 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-13 15:01 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-13 15:01 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-13 15:01 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-01-09 15:39 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2007-11-11 13:17 174 --sha-w C:\Program Files\desktop.ini
.

Autostart Punkte der Registrierung
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-09-26 02:05 1006264]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-05-23 08:35 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-05-23 08:35 8433664]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-05-23 08:35 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-15 01:50 4399104 C:\Windows\RtHDVCpl.exe]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-07 04:17 839680]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 08:10 56928]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 15:55 54832]
"avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-12 00:25 249896]
"ClipIncSrvTray"="D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" [2008-01-10 19:42 434176]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoHotStart"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{2B0D1C36-16BE-44C1-BC12-6537855CB3DA}D:\\program files\\icq6\\icq.exe"= UDP:D:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{EC6D2111-7982-47DB-B5BD-1812C3712948}D:\\program files\\icq6\\icq.exe"= TCP:D:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{95CFB972-5903-434D-9C03-542D713F719E}D:\\programme\\tobit clipinc\\player\\clipinc-player.exe"= UDP:D:\programme\tobit clipinc\player\clipinc-player.exe:ClipInc. Player
"UDP Query User{36E02A33-DCE8-40CB-8D9A-49ABC5030CD6}D:\\programme\\tobit clipinc\\player\\clipinc-player.exe"= TCP:D:\programme\tobit clipinc\player\clipinc-player.exe:ClipInc. Player
"TCP Query User{032298EF-A9BB-46A9-9E34-7E18E9708B7D}D:\\program files\\azureus\\azureus.exe"= UDP:D:\program files\azureus\azureus.exe:Azureus
"UDP Query User{3D4C9986-0476-4152-A291-E1AEABF6519C}D:\\program files\\azureus\\azureus.exe"= TCP:D:\program files\azureus\azureus.exe:Azureus
"TCP Query User{248DD9CA-81FB-4A1A-8287-C60E29FF9D9B}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"UDP Query User{7FCDFF4F-0A5F-46AA-B6E4-DA22C3A376FA}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"TCP Query User{DFAA826C-CD78-4C56-9515-36599BB7F3E5}D:\\downloads\\wow-dede-installer-downloader(2).exe"= UDP:D:\downloads\wow-dede-installer-downloader(2).exe:Blizzard Downloader
"UDP Query User{DB8A9307-6EF4-46B5-B9A6-09B4A8752DA0}D:\\downloads\\wow-dede-installer-downloader(2).exe"= TCP:D:\downloads\wow-dede-installer-downloader(2).exe:Blizzard Downloader
"TCP Query User{7139B4D3-74A7-4CAE-A3A4-3630131C051B}D:\\downloads\\wow-burningcrusade-dede-installer-downloader(2).exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader(2).exe:Blizzard Downloader
"UDP Query User{0853D1BF-0554-4EF4-8F68-0B6ACFA05DCC}D:\\downloads\\wow-burningcrusade-dede-installer-downloader(2).exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader(2).exe:Blizzard Downloader
"TCP Query User{E152FFEC-CA94-460C-8154-7F20F304AEAB}D:\\downloads\\wow-dede-installer-downloader(3).exe"= UDP:D:\downloads\wow-dede-installer-downloader(3).exe:Blizzard Downloader
"UDP Query User{E5470AA3-169E-4078-B85B-469E3AC6DFF4}D:\\downloads\\wow-dede-installer-downloader(3).exe"= TCP:D:\downloads\wow-dede-installer-downloader(3).exe:Blizzard Downloader
"TCP Query User{3BC2AA92-A856-44CD-A458-3904D6156DB5}D:\\downloads\\wow-dede-installer-downloader(4).exe"= UDP:D:\downloads\wow-dede-installer-downloader(4).exe:Blizzard Downloader
"UDP Query User{A9EC7C1D-1C74-4641-86C9-BC59F8C62BB1}D:\\downloads\\wow-dede-installer-downloader(4).exe"= TCP:D:\downloads\wow-dede-installer-downloader(4).exe:Blizzard Downloader
"TCP Query User{56814CAA-D469-4E48-B2B6-9249301DBC3A}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"UDP Query User{89A68961-46EA-4C18-BC30-1E67C69F5927}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader
"TCP Query User{81A6D3E8-B8E9-41D3-BB3B-9C0482B0E05E}D:\\program files\\icq6\\icq.exe"= UDP:D:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{F22287B6-3550-4350-91E7-AEB2C124FC84}D:\\program files\\icq6\\icq.exe"= TCP:D:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{C15C5E74-2C65-42B4-98BC-E0AF8222EA26}D:\\programme\\world of warcraft\\backgrounddownloader.exe"= UDP:D:\programme\world of warcraft\backgrounddownloader.exe:Blizzard Downloader
"UDP Query User{93CDA4B1-D42E-439A-B9F2-637FD02E7CEC}D:\\programme\\world of warcraft\\backgrounddownloader.exe"= TCP:D:\programme\world of warcraft\backgrounddownloader.exe:Blizzard Downloader
"TCP Query User{927266F1-98E0-4D6D-A253-EE69645FA5F1}D:\\programme\\world of warcraft\\repair.exe"= UDP:D:\programme\world of warcraft\repair.exe:Blizzard Repair Utility
"UDP Query User{CF832AC3-0B34-4B6D-B4FE-9EB4E4981DA8}D:\\programme\\world of warcraft\\repair.exe"= TCP:D:\programme\world of warcraft\repair.exe:Blizzard Repair Utility
"TCP Query User{557221C3-1C53-4000-9FB0-42122C3CB4B6}D:\\programme\\world of warcraft\\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe"= UDP:D:\programme\world of warcraft\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe:Blizzard Downloader
"UDP Query User{9AB49DCB-0394-49DF-B155-EA060590B72A}D:\\programme\\world of warcraft\\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe"= TCP:D:\programme\world of warcraft\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe:Blizzard Downloader

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 ClipInc001;ClipInc 001;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 ClipInc004;ClipInc 004;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 004 []
R2 ClipInc005;ClipInc 005;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 005 []
R2 ClipInc006;ClipInc 006;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 006 []
R2 ClipInc007;ClipInc 007;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 007 []
R2 KMDFMEMIO;SAMSUNG Kernel Driver;C:\Windows\system32\DRIVERS\kmdfmemio.sys [2006-11-14 02:11]
R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-12-20 21:08]
R3 btwavdt;Bluetooth AVDT Service;C:\Windows\system32\drivers\btwavdt.sys [2006-12-20 21:04]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-12-20 21:07]
R3 VMC302;Vimicro Camera Service VMC302;C:\Windows\system32\Drivers\VMC302.sys [2007-10-17 16:48]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-15 19:12]
S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;C:\Windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 09:30]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]
S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 03:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

.
Inhalt des "geplante Tasks" Ordners
"2008-04-02 08:40:09 C:\Windows\Tasks\User_Feed_Synchronization-{9C268030-B79E-4802-A26B-05DD5327AA1A}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w**.gmer.net
Rootkit scan 2008-04-02 21:00:54
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-02 21:01:13
ComboFix-quarantined-files.txt 2008-04-02 19:01:11
7 Verzeichnis(se), 10,610,475,008 Bytes frei
15 Verzeichnis(se), 10,583,334,912 Bytes frei
.
2008-04-02 15:06:08 --- E O F ---

Hast du es auch mal mit der Option alle verstecken Ordner und Verzeichnisse anzeigen versucht??

Wenn du nicht weisst wie, also: du gehst auf deinen Arbeitsplatz danach auf Extras, Ordneroptionen, Ansicht und scrollst etwas nach unten dort siehst du dann "Alle Ordner und Dateien anzeigen" bitte dieses anwählen und schauen ob die die Datein doch nicht findest

Ok ich guck nochmal nach aber "versteckte und systemdateien anzeigen" hab ich schon aktiviert gehabt und ich sehe auch die üblichen versteckten dateien aber halt weder das verzeichniss noch die datei, auch bei einer suche nach der vermeintlichen killbill.exe bekomme ich kein ergebnis. Es besteht doch bestimmt die möglichkeit, dass das schadprogramm in der lage ist sich selbst zu tarnen oder? Oder es ist wirklich ein Fehlalarm!?! Was sagen denn die Log's aus, ist dort irgendwas ungewöhnliches zu erkennen? Ich bin dort nicht so bewandert aber möchte behaupten, dass das ok aussieht....
Bis jetzt hat sich der Trojaner auch noch nicht bemerkbar gemacht, einzig das notebook arbeitet ein wenig langsamer als sonst aber das kann auch einbildung meinerseits sein.
Mach es sinn mal einen Portscan zu machen, ob der Trojaner heimlich Ports geöffnet und Dienste gestartet hat?

gruß Meckie

ALso ich hatte mich vertan bei Antivir heißt das Verzeichniss komischer weise "Programm Files" auf C:\ heißt es aber Programme....
Ebenfalls interessant ist, das sich der Schädling in dem Verzeichniss befindet, in dem der Treiber bzw. Software für die Verwendung der eingebauten 1.3 MP Webcam befindet.
Meine Freundin hat bei der letzten Meldung einfach auf virus löschen gedrückt und seit dem meldet sich Antivir nicht mehr und die killbill.exe is auch weg....daher kann ich sie leider nicht mehr mit weiteren tools scannen
Aber heute hab ich das hier gesehen:

http://www.trojaner-board.de/51321-trojanermeldung-killbill-exe-bei-heute-neugekauften-notebook-samsung-r700.html

Gruß Meckie

das heisst du hasst die datein gelöscht???

Ist dein Problem jetzt verschwunden?

Ja scheint so...zumindest meldet sich nichts mehr!
Aber soweit ich das gehört habe lässt sich so ein schadprogramm (wenn es denn eines ist) nicht ohne weiteres von einem system entfernen.
Der Ausgangsquellcode kann mit sicherheit gelöscht bzw. bereinigt werden aber so ein programm ist doch auch in der lage sich zu verändern...
Naja wie dem auch sei, ich werd die sache mal beobachten, ansonsten vielen dank für die Hilfe.

MfG Meckbert

Die Malware die Malwarebytes gefunden hat, hast du diese gelöscht??
Bitte mach nochmals nen komplett Scan mit Kaspersky(Link in meiner Signatur) und poste nochmals ein neues HijackThis Logfile

Also die von Malwarebytes erkannten infektionen hatte ich nicht gelöscht aber ich hab einen erneuten scan gemacht. Scheinbar sind durch das Löschen des Schadprogramms mit antivir auch die meldungen von Malwarebytes verschwunden:

Malwarebytes' Anti-Malware 1.10
Database version: 583

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 106048
Time elapsed: 25 minute(s), 49 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Kaspersky:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 7. April 2008 21:48:10
Betriebssystem: Microsoft Windows Vista Home Edition, (Build 6000)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 7/04/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 688898
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 74356
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:44:57

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Boot\BCD Das Objekt ist gesperrt übersprungen
C:\Boot\BCD.LOG Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\c7e205391bbbc6ccab5c80e8c5f60b6a_bc6dee06-c1ee-4cb6-89c2-1476e8f24dab Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_bc6dee06-c1ee-4cb6-89c2-1476e8f24dab Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\eHome\logs\eHomeLog00.sqm Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\eHome\logs\eHomeLog01.sqm Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\User Account Pictures\***_admin.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\UsrClass.dat{16968e87-8fc2-11dc-933e-001dd9ed1a01}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\UsrClass.dat{16968e87-8fc2-11dc-933e-001dd9ed1a01}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Windows\UsrClass.dat{16968e87-8fc2-11dc-933e-001dd9ed1a01}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\frm90ps2.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\frm90ps2.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\frm90ps2.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\frm90ps2.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\frm90ps2.default\XUL.mfl Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Local\Temp\~DF47D1.tmp Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\frm90ps2.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Users\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\***\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\***\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Microsoft\Windows\UsrClass.dat{6a0b290c-8faf-11dc-828b-001dd9ed1a01}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Microsoft\Windows\UsrClass.dat{6a0b290c-8faf-11dc-828b-001dd9ed1a01}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Microsoft\Windows\UsrClass.dat{6a0b290c-8faf-11dc-828b-001dd9ed1a01}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\AppData\Local\Temp\~DF7895.tmp Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\***_admin\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\bthservsdp.dat Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\sam.log Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\WIA\wiatrace.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\CBS\CBS.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\CBS\CBS.persist.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\MEMORY.DMP Das Objekt ist gesperrt übersprungen
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\security\database\secedit.sdb Das Objekt ist gesperrt übersprungen
C:\Windows\SoftwareDistribution\EventCache\{96AA3457-E269-4E4C-B47C-D62EFE826CF1}.bin Das Objekt ist gesperrt übersprungen
C:\Windows\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\edb.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.0.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.1.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.2.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.blf Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000003.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000004.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Scm\SCM.EVM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\restore\MachineGuid.txt Das Objekt ist gesperrt übersprungen
C:\Windows\System32\spool\SpoolerETW.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\21D7529435092A1DD242FD6ACF494493.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3460B7617E0429A960E481B197F238A3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4D9F92C0437DBC456F4433CDD8506F52.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\8A20D7181B570E2E2142FB6261D170A2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\8A94AF24F162D580E3D9889344A3A317.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\B8F066315788F9A2DF744CF3A9F7F3D6.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\E478A5DB75C9721E744C05D78DBACFD3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\EC45C70F2A3D9DED718E71631C38E2FE.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Logs\WMITracing.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Application.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\DFS Replication.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\HardwareEvents.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Internet Explorer.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Key Management Service.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Media Center.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-PLA%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Networking%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Help%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-International%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-LanguagePackSetup%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-MUI%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ParentalControls%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Program-Compatibility-Assistant%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReliabilityAnalysisComponent%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Leak-Diagnostic%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RestartManager%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\ODiag.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\OSession.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Security.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Setup.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\System.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\Tasks\SCHEDLGU.TXT Das Objekt ist gesperrt übersprungen
C:\Windows\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Windows\winsxs\x86_microsoft-windows-n..n_service_datastore_31bf3856ad364e35_6.0.6000.16386_none_cef7ceb03914a67f\dnary.xsd Das Objekt ist gesperrt übersprungen
D:\Downloads\Download_mbam-setup.exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.fs übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.eXTreMe on RauteMusik.FM[20-03 07-04-2008 128520722348821695].mp3 Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.eXTreMe on RauteMusik.FM[20-03 07-04-2008 128520722348821695].sync Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.Goldies on RauteMusik.FM[20-56 07-04-2008 128520753884539695].mp3 Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.Goldies on RauteMusik.FM[20-56 07-04-2008 128520753884539695].sync Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.JaM on RauteMusik.FM[19-07 07-04-2008 128520688394801695].mp3 Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.JaM on RauteMusik.FM[19-07 07-04-2008 128520688394801695].sync Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.Main on RauteMusik.FM[19-07 07-04-2008 128520688394831695].mp3 Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\#Musik.Main on RauteMusik.FM[19-07 07-04-2008 128520688394831695].sync Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\FFN[21-09 07-04-2008 128520761852189695].mp3 Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\Audio\FFN[21-09 07-04-2008 128520761852189695].sync Das Objekt ist gesperrt übersprungen
D:\Programme\Tobit ClipInc\Server\clipinc.db Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Hier nochmal hijack log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:57, on 07.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Azureus\Azureus.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1226213780-291867263-3289688574-1004\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe (User '****')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 006 (ClipInc006) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 007 (ClipInc007) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

--
End of file - 6969 bytes

gruß Meckie

Dein Logfile sieht wieder sauber aus bitte einfach noch diesen Eintrag fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*.daemon-search.com/default

Aber ich würde sagen den Trojaner bist du los

Na das hört sich ja mal gut an, weil ich ansonsten immer keine gute erfahrung mit der löschen funktion von Antiviren programmen hab.
Ja den Eintrag werd ich noch fixen...is aber nich so wild da ich ja eh Firefox benutze

Danke nochmal!

Gruß Meckie