Habe mich vorher dummer Weise mit Ultimate Cleaner, und was da noch so dabei ist infiziert. Versuchte mich mit Smitfraud Fix zu retten, aber wenn ich das Programm starte bekomme ich die Fehlermeldung Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Weiß nicht mehr weiter! Bitte um Hilfe!

Hier ist mein Hijack Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53: VIRUS ALERT!, on 25.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Alcohol\StarWind\StarWindServiceAE.exe
C:\Programme\KingDTV\WinManager\WinManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: QXK Olive - {B33B96B9-E0C2-4648-9819-A38DDCAFA33C} - C:\WINDOWS\boqnrwdmstg.dll
O3 - Toolbar: atfxqogp - {9E6CD9DF-5EF9-40F4-84FA-C4842EB1F283} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol\axcmd.exe" /automount
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: WinManager.lnk = C:\Programme\KingDTV\WinManager\WinManager.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab?AuthParam=1206120717_36bfd7fdbc57d616c5c60a54467e18d5&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O21 - SSODL: vregfwlx - {E55B027F-B2BB-42F6-9EAB-4411612B36DB} - C:\WINDOWS\vregfwlx.dll
O21 - SSODL: vltdfabw - {18207C6C-CF14-40AD-8E6F-0850D92E9DC9} - C:\WINDOWS\vltdfabw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol\StarWind\StarWindServiceAE.exe

--
End of file - 9943 bytes

Hallo

Zitat:

Versuchte mich mit Smitfraud Fix zu retten, aber wenn ich das Programm starte bekomme ich die Fehlermeldung Die Eingabeaufforderung ist vom Administrator deaktiviert worden.

Smitfraudfix im abgesicherten Modus (beim start F8 drücken) versucht oder im normalen Modus?

Starte HijackThis mit der Option - Scan - und hake diese Einträge an

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: QXK Olive - {B33B96B9-E0C2-4648-9819-A38DDCAFA33C} - C:\WINDOWS\boqnrwdmstg.dll
O3 - Toolbar: atfxqogp - {9E6CD9DF-5EF9-40F4-84FA-C4842EB1F283} - C:\WINDOWS\atfxqogp.dll
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O21 - SSODL: vregfwlx - {E55B027F-B2BB-42F6-9EAB-4411612B36DB} - C:\WINDOWS\vregfwlx.dll
O21 - SSODL: vltdfabw - {18207C6C-CF14-40AD-8E6F-0850D92E9DC9} - C:\WINDOWS\vltdfabw.dll

klicke auf - fix checked - und beende Hijackthis.
Wechsel in den abgesicherten Modus von Windows und lass Smitfraudfix laufen.
Sollte Smitfraudfix im abgesicherten Modus nicht funktionieren versuche es mit Malwarebytes.
http://www.trojaner-board.de/51187-a...i-malware.html

Poste bitte im Anschluss anfallende Logs.

MFG

Bin den Anweisungen soweit gefolgt, hat auch alles funktioniert , aber ich habe noch immer keine C: Platte und kann daher auch keine Logs finden. Die Icons am Desktop sind auch noch vorhanden und neben der Uhr in der Taskleiste steht noch immer VIRUS ALERT. Aber die Fehlermeldungen sind verschwunden, das Internet funktioniert normal und der Rechner ist so schnell wie vorher. Hast du vielleicht noch einen Tipp für mich?

Hallo

Zitat:

aber ich habe noch immer keine C: Platte

Äh ja, wie jetzt?
Kannst du nicht auf die Platte zugreifen (über Arbeitsplatz oder so...)?

Hast du schon einen Neustart durchgeführt?

Zitat:

Icons am Desktop sind auch noch vorhanden und neben der Uhr in der Taskleiste steht noch immer VIRUS ALERT.

Hast du Malwarebytes laufen lassen?
Wenn nicht bitte nachholen.


Erstelle bitte ein Runscan.run mit dem RunScanner nach Anleitung, dann sehen wir mal weiter.

MFG

Nur eine kurze Antwort. Im Arbeitsplatz fehlt das Logo der Platte. Neustart wurder durchgeführt. Befolge jetzt deine neuen Anweisungen. Danke!!!

Habe Malware drüber laufen lassen. Die Icons vom Desktop sind verschwunden und das ist das Log:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 786

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 91130
Scan Dauer: 56 minute(s), 34 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 24

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\vregfwlx.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\setup.player (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\setup.player.2k2 (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{35b7e48b-9d81-4c6c-9578-5fd4f620d886} (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.bsog (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9e6cd9df-5ef9-40f4-84fa-c4842eb1f283} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{de4a7692-b2cb-4d1a-9956-76a8a028caa0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{1c2a0cbe-9c8b-49f3-9e56-bd989db7e8c3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{14a9da84-0c80-4520-8452-f5c7c911a003} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3177b0aa-7c67-46b4-ba02-574d7e368d4f} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{890f3f83-dca0-42a9-935e-dd01e78970b8} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{dfbc03d7-aeb3-41cc-99d4-7f70814b61d3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fae24bed-eddb-4cf5-9c34-34a915bb6678} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6f0959cd-cd22-46df-a943-264ae9b6579c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vregfwlx (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\DriveCleaner (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\atfxqogp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\Cleaner.ini (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\DCleaner.fen (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\DLLSprechblasen.dll (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\DriveCleaner.chm (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\DriveCleaner.exe (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\DriveCleaner.ini (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\GHUpdateManagerInfo1.dat (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\HuonkerAktualisierung.exe (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\HuonkerForm.dll (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\StatusHelpControl.dll (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\UpdateDLL.dll (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Programme\DriveCleaner\UpdatesRegistrierung.chm (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\WINDOWS\xmpstean.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\vregfwlx.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\vltdfabw.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\edwf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\DriveCleaner.lnk (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\MadMasta\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\MadMasta\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\MadMasta\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\MadMasta\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\MadMasta\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\MadMasta\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

Habe jetzt auch noch RunScanner ausgeführt.

Meine Probleme (soweit mir bekannt):

das Icon der C: Platte im Arbeitsplatz fehlt,
das Icon der Systemsteuerung bei Start\Einstellungen fehlt,
neben der Uhr steht VIRUS ALERT!, mehr ist mir nicht bekannt.

Der Rest funktioniert soweit ohne Probleme.

Würde mich über deine weitere Hilfe sehr freuen!!!
Mit bestem Dank im Vorraus!!!

Das ist noch das Log vom Runscanner:

Runscanner logfile RunScanner freeware startup, hijack and malware analyzer

* = signed file
- = file not found

000 General info
----------------
Computer name : MAD
Creation time : 25.5.2008 21:43:43
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

001 Running processes
---------------------
c:\programme\microsoft activesync\wcescomm.exe (Microsoft Corporation)
c:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH)
c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple, Inc.)
* c:\windows\system32\alg.exe (Microsoft Corporation)
c:\programme\ati technologies\ati control panel\atiptaxx.exe (ATI Technologies, Inc.)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
c:\progra~1\widcomm\blueto~1\btstac~1.exe (Broadcom Corporation.)
c:\programme\widcomm\bluetooth software\bin\btwdins.exe (Broadcom Corporation.)
c:\programme\widcomm\bluetooth software\bttray.exe (Broadcom Corporation.)
c:\programme\bonjour\mdnsresponder.exe (Apple Inc.)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\ctfmon.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\programme\microsoft office\office12\groovemonitor.exe (Microsoft Corporation)
c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard Co.)
c:\programme\hpq\hp wireless assistant\hp wireless assistant.exe (Hewlett-Packard Company)
c:\programme\hpq\shared\hpqwmi.exe (Hewlett-Packard Development Company, L.P.)
* c:\programme\internet explorer\iexplore.exe (Microsoft Corporation)
* c:\programme\ipod\bin\ipodservice.exe (Apple Inc.)
* c:\programme\itunes\ituneshelper.exe (Apple Inc.)
* c:\programme\java\jre1.6.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
* c:\programme\nero\nero8\nero backitup\nbservice.exe (Nero AG)
* c:\programme\gemeinsame dateien\nero\lib\NMIndexStoreSvr.exe (Nero AG)
* c:\programme\gemeinsame dateien\nero\lib\nmindexingservice.exe (Nero AG)
c:\programme\hpq\quick launch buttons\eabservr.exe (Hewlett-Packard)
* c:\dokumente und einstellungen\madmasta\desktop\runscanner.exe (Runscanner.net)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
c:\programme\alcohol\starwind\starwindserviceae.exe (Rocket Division Software)
* c:\programme\synaptics\syntp\syntpenh.exe (Synaptics, Inc.)
* c:\programme\synaptics\syntp\syntplpr.exe (Synaptics, Inc.)
c:\programme\winamp\winampa.exe
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\programme\messenger\msmsgs.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
* c:\windows\system32\wdfmgr.exe (Microsoft Corporation)
c:\programme\kingdtv\winmanager\winmanager.exe
c:\programme\winzip\wzqkpick.exe (WinZip Computing, Inc.)
* c:\windows\system32\wbem\wmiprvse.exe (Microsoft Corporation)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\ati technologies\ati control panel\atiptaxx.exe (ATI Technologies, Inc.)
c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)
c:\programme\hpq\default settings\cpqset.exe
c:\programme\hpq\quick launch buttons\eabservr.exe (Hewlett-Packard)
c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard Co.)
c:\programme\hpq\hp wireless assistant\hp wireless assistant.exe (Hewlett-Packard Company)
* c:\programme\itunes\ituneshelper.exe (Apple Inc.)
* c:\programme\nero\nero8\nero backitup\nbkeyscan.exe (Nero AG)
c:\programme\quicktime\qttask.exe (Apple Inc.)
c:\programme\winamp\winampa.exe

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
* c:\programme\alcohol\axcmd.exe (Alcohol Soft Development Team)
c:\programme\microsoft activesync\wcescomm.exe (Microsoft Corporation)
* c:\programme\gemeinsame dateien\nero\lib\NMIndexStoreSvr.exe (Nero AG)

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
--------------------------------------------------------------------------
c:\progra~1\widcomm\blueto~1\bttray.exe (Broadcom Corporation.)
c:\progra~1\kingdtv\winman~1\winman~1.exe
c:\progra~1\winzip\wzqkpick.exe (WinZip Computing, Inc.)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\avira\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\programme\avira\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple Mobile Device)
c:\programme\widcomm\bluetooth software\bin\btwdins.exe (Bluetooth Service)
c:\programme\bonjour\mdnsresponder.exe (Bonjour-Dienst)
c:\programme\hpq\shared\hpqwmi.exe (HP WMI Interface)
* c:\programme\ipod\bin\ipodservice.exe (iPod-Dienst)
* c:\programme\nero\nero8\nero backitup\nbservice.exe (Nero BackItUp Scheduler 3)
* c:\programme\gemeinsame dateien\nero\lib\nmindexingservice.exe (NMIndexingService)
c:\programme\alcohol\starwind\starwindserviceae.exe (StarWind AE Service)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
* c:\programme\avira\antivir personaledition classic\avgio.sys (avgio)
* c:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt)
* C:\WINDOWS\system32\drivers\avipbb.sys (avipbb)
C:\WINDOWS\system32\drivers\btaudio.sys (Bluetooth-Audiogerät)
C:\WINDOWS\system32\drivers\btkrnl.sys (Bluetooth-Bus-Enumerator)
C:\WINDOWS\system32\drivers\btwdndis.sys (Bluetooth-LAN-Zugangsserver)
- c:\windows\system32\drivers\changer.sys (Changer)
C:\WINDOWS\system32\drivers\udttafat.sys (DVB-T USB Stick)
* C:\WINDOWS\system32\drivers\gearaspiwdm.sys (GEARAspiWDM)
- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
- c:\windows\system32\drivers\pcidump.sys (PCIDump)
- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- c:\windows\system32\drivers\pdframe.sys (PDFRAME)
- c:\windows\system32\drivers\pdreli.sys (PDRELI)
- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
C:\WINDOWS\system32\drivers\sptd.sys (sptd)
C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)
C:\WINDOWS\system32\drivers\btport.sys (Virtueller Bluetooth-Kommunikationstreiber)
- c:\windows\system32\drivers\wdica.sys (WDICA)
C:\WINDOWS\system32\drivers\btwusb.sys (WIDCOMM USB Bluetooth Driver)

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\programme\microsoft activesync\aatp.dll (Microsoft Corporation) {d7b95390-b1c5-11d0-b111-0080c712fe82}
c:\windows\system32\btxppanel.dll (Broadcom Corporation.) {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
* c:\programme\itunes\itunesminiplayer.dll (Apple Inc.) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}
c:\windows\system32\btneighborhood.dll (Broadcom Corporation.) {6af09ec9-b429-11d4-a1fb-0090960218cb}
* c:\programme\nero\nero8\nero coverdesigner\coveredextension.dll (Nero AG) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79305-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79306-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79307-84BE-11CE-9641-444553540000}

069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
--------------------------------------------------------
C:\WINDOWS\system32\bthcrp.dll (Broadcom Corporation.)

100 Internet Explorer settings
------------------------------
ShellNext HKCU : meinAOL | HP
Start Page HKCU : Google

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
* c:\programme\quicktime\qtplugin.ocx (Apple Inc.) {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
c:\programme\java\jre1.5.0_02\bin\npjpi150_02.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
Nach Microsoft E&xel exportieren : res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
Senden an &Bluetooth : C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

107 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
---------------------------------------------------------------------------------
c:\programme\bonjour\mdnsnsp.dll (Apple Inc.)

160 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
------------------------------------------------------------------
DisableTaskMgr : 1
NoDispCPL : 1

170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
------------------------------------------------------------------------
{3bc65044-0d69-11dd-9063-0010c6c54bfc} : F:\setupSNK.exe

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
* c:\programme\nero\nero8\nero coverdesigner\coveredextension.dll (Nero AG) {73FCA462-9BD5-4065-A73F-A8E5F6904EF7}
* c:\programme\nero\nero8\nero backitup\nbshell.dll (Nero AG)
* c:\programme\secure eraser\seceraser.dll {2A8DEC8D-934E-4FF8-825A-05A800047649}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
* c:\programme\nero\nero8\nero coverdesigner\coveredextension.dll (Nero AG) {73FCA462-9BD5-4065-A73F-A8E5F6904EF7}
* c:\programme\nero\nero8\nero backitup\nbshell.dll (Nero AG)
* c:\programme\secure eraser\seceraser.dll {2A8DEC8D-934E-4FF8-825A-05A800047649}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\nero\nero8\nero backitup\nbshell.dll (Nero AG)
* c:\programme\nero\nero8\nero backitup\nbshell.dll (Nero AG)
* c:\programme\secure eraser\seceraser.dll {2A8DEC8D-934E-4FF8-825A-05A800047649}
* c:\programme\secure eraser\seceraser.dll {2A8DEC8D-934E-4FF8-825A-05A800047649}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}

Hallo

Zitat:

das Icon der C: Platte im Arbeitsplatz fehlt,
das Icon der Systemsteuerung bei Start\Einstellungen fehlt,
neben der Uhr steht VIRUS ALERT!, mehr ist mir nicht bekannt.

Hört sich sehr wild an...
fahre nun bitte mit Combofix fort.

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

MFG

Habe alles durchgeführt wie beschrieben.
Das Icon der C: Platte ist wieder da und das der Systemsteuerung auch!
Es steht nur noch neben der Uhr das VIRUS ALERT!

ComboFix 08-05-27.4 - MadMasta 2008-05-28 20:13:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.619 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MadMasta\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-28 20:04 . 2008-05-28 20:04 <DIR> d-------- C:\Programme\CCleaner
2008-05-28 18:45 . 2008-05-28 18:45 <DIR> d-------- C:\WINDOWS\LastGood
2008-05-25 20:27 . 2008-05-25 20:27 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-25 20:27 . 2008-05-25 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\Malwarebytes
2008-05-25 20:27 . 2008-05-25 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-25 20:27 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-25 20:27 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-25 19:42 . 2008-03-03 18:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MAD\Vorlagen
2008-05-25 19:42 . 2008-03-03 18:34 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.MAD\Startmenü
2008-05-25 19:42 . 2008-03-03 18:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MAD\Netzwerkumgebung
2008-05-25 19:42 . 2008-05-28 20:14 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MAD\Lokale Einstellungen
2008-05-25 19:42 . 2008-03-03 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MAD\Favoriten
2008-05-25 19:42 . 2008-03-03 18:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MAD\Druckumgebung
2008-05-25 19:42 . 2008-03-03 18:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.MAD\Anwendungsdaten
2008-05-25 19:42 . 2008-05-25 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MAD
2008-05-25 19:36 . 2008-05-25 19:47 2,902 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-25 19:35 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-25 19:35 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-25 19:35 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-25 19:35 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-25 19:35 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-25 19:35 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-25 19:35 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-25 19:35 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-25 19:31 . 2008-03-03 18:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-25 19:31 . 2008-03-03 18:34 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-25 19:31 . 2008-03-03 18:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-25 19:31 . 2008-03-03 18:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-25 19:31 . 2008-03-03 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-25 19:31 . 2008-03-03 18:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-25 19:31 . 2008-03-03 18:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-25 19:31 . 2008-05-25 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-25 17:53 . 2008-05-25 17:53 <DIR> d-------- C:\Programme\Trend Micro
2008-05-25 15:32 . 2008-05-25 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\TmpRecentIcons
2008-05-25 14:15 . 2008-05-25 14:31 <DIR> d-------- C:\Programme\Secure Eraser
2008-05-25 13:52 . 2008-05-25 13:52 <DIR> d-------- C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\ASCOMP Software
2008-05-25 13:15 . 2008-05-25 13:15 <DIR> d-------- C:\Programme\Huonker_Inst
2008-05-16 22:22 . 2008-05-25 13:15 <DIR> d-------- C:\Programme\Easy Eraser V.1.2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-25 11:40 --------- d-----w C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\Azureus
2008-05-18 19:22 --------- d-----w C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\LimeWire
2008-04-24 17:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-04-23 19:19 --------- d-----w C:\Programme\Microsoft Works
2008-04-23 19:18 --------- d-----w C:\Programme\MSBuild
2008-04-23 19:16 --------- d-----w C:\Programme\Microsoft.NET
2008-04-23 19:10 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-04-23 18:55 --------- d-----w C:\Programme\Luxor 3
2008-04-23 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
2008-04-23 18:49 --------- d-----w C:\Programme\MumboJumbo
2008-04-23 18:42 --------- d-----w C:\Programme\Azureus
2008-04-21 18:16 --------- d-----w C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\AdobeUM
2008-04-15 16:36 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-04-15 16:36 --------- d-----w C:\Programme\Common Files
2008-04-15 16:36 --------- d-----w C:\Programme\AvantGo Connect
2008-04-07 12:43 --------- d-----w C:\Dokumente und Einstellungen\MadMasta\Anwendungsdaten\Apple Computer
2008-04-05 17:08 --------- d-----w C:\Programme\ImTOO
2008-04-05 15:49 --------- d-----w C:\Programme\iTunes
2008-04-05 15:48 --------- d-----w C:\Programme\iPod
2008-04-05 15:47 --------- d-----w C:\Programme\QuickTime
2008-03-29 17:20 --------- d-----w C:\Programme\Safari
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 20:10 1688872]
"AlcoholAutomount"="C:\Programme\Alcohol\axcmd.exe" [2008-03-20 18:46 217544]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 12:27 405583]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 22:05 339968]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2005-02-17 15:01 233534]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-17 00:11 49152]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 14:12 102492]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 14:11 692316]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 14:24 290816]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-11 16:21 794624]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 23:41 262401]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 15:21 2213160]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2004-12-23 12:07:30 569405]
WinManager.lnk - C:\Programme\KingDTV\WinManager\WinManager.exe [2008-03-21 16:58:43 77824]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2008-03-05 15:39:44 106560]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2005-03-22 16:39]
S3 UDTTAFAT;DVB-T USB Stick;C:\WINDOWS\system32\DRIVERS\UDTTAFAT.sys [2006-08-28 11:45]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bc65044-0d69-11dd-9063-0010c6c54bfc}]
\Shell\AutoRun\command - F:\setupSNK.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-05 15:41:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 20:14:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????1?4?0?5??????? ???B?????????????hLC????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 20:15:47
ComboFix-quarantined-files.txt 2008-05-28 18:15:41

8 Verzeichnis(se), 3,236,409,344 Bytes frei
11 Verzeichnis(se), 3,320,348,672 Bytes frei

148 --- E O F --- 2008-05-17 08:22:04

Antivir hat das Trojanische Pferd TR/Trash.Gen gefunden und noch etwas.
Lässt sich leider nicht löschen.
Was tun?

Das ist das LOG:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.93
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Administrator.MAD\Desktop\SmitfraudFix.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.93
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\MadMasta\Desktop\SmitfraudFix.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.93
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0006782.exe
[FUND] Ist das Trojanische Pferd TR/Pakes.cyi
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 486dacee.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007818.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007820.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 486dad00.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007821.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 486dad5e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007823.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007824.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007825.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486dadf8.qua' verschoben!
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007826.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486dadfa.qua' verschoben!
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007827.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486dadfc.qua' verschoben!
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007828.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486dae00.qua' verschoben!
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007829.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486dae02.qua' verschoben!
C:\System Volume Information\_restore{3745F168-8812-452B-A961-763C0831D23C}\RP82\A0007833.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486dae04.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Hallo

schmeiße Smitfraudfix von der Platte und deinstalliere Combofix
Klicke - Start -> Ausführen - tippe ein -

Zitat:

combofix /u

- Enter

Dann deaktiviere die Systemwiederherstellung
Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

Führe ein Update deines Antivir durch und lass einen Fullscan im abgesicherten Modus (beim start F8 drücken) durchlaufen.

Zitat:

Es steht nur noch neben der Uhr das VIRUS ALERT!

Hm da suche ich noch mal, ich dachte etwas ähnliches bei myrtille gesehen zu haben...

MFG

Habe wieder alle deine Anweisungen befolgt.

Da ich es gerade mit jemanden zu tun habe, der Ahnung hat, hätte ich noch ein paar kurze:

Mit welchem Programm soll ich externe Festplatten formatieren, das sie wirklich leer sind?
Kann ich mit meinem Computer jetzt wieder in Ebay fungieren und überweisen?
Sind meine Daten noch befallen?



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. Mai 2008 22:46

Es wird nach 1301396 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MAD

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.5.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 19.4.2008 21:41:07
AVSCAN.DLL : 8.1.1.0 57601 Bytes 19.4.2008 21:41:07
LUKE.DLL : 8.1.2.9 151809 Bytes 19.4.2008 21:41:07
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.4.2008 21:41:07
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 7.3.2008 14:03:07
ANTIVIR2.VDF : 7.0.4.53 1848832 Bytes 17.5.2008 08:13:20
ANTIVIR3.VDF : 7.0.4.113 361984 Bytes 29.5.2008 18:36:51
Engineversion : 8.1.0.49
AEVDF.DLL : 8.1.0.5 102772 Bytes 19.4.2008 21:41:07
AESCRIPT.DLL : 8.1.0.36 270714 Bytes 29.5.2008 18:36:51
AESCN.DLL : 8.1.0.20 119157 Bytes 29.5.2008 18:36:51
AERDL.DLL : 8.1.0.20 418165 Bytes 25.4.2008 17:23:30
AEPACK.DLL : 8.1.1.5 364918 Bytes 17.5.2008 08:14:02
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.4.2008 21:41:07
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 17.5.2008 08:13:52
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.5.2008 18:36:51
AEGEN.DLL : 8.1.0.23 307573 Bytes 29.5.2008 18:36:51
AEEMU.DLL : 8.1.0.6 430451 Bytes 9.5.2008 21:34:27
AECORE.DLL : 8.1.0.30 168311 Bytes 29.5.2008 18:36:51
AVWINLL.DLL : 1.0.0.7 14593 Bytes 19.4.2008 21:41:07
AVPREF.DLL : 8.0.0.1 25857 Bytes 19.4.2008 21:41:07
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 19.4.2008 21:41:07
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.4.2008 21:41:07
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 19.4.2008 21:41:07
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.4.2008 21:41:07
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 19.4.2008 21:41:07
NETNT.DLL : 8.0.0.1 7937 Bytes 19.4.2008 21:41:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 19.4.2008 21:41:03
RCTEXT.DLL : 8.0.32.0 86273 Bytes 19.4.2008 21:41:03

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 29. Mai 2008 22:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 29. Mai 2008 23:18
Benötigte Zeit: 31:30 min

Der Suchlauf wurde vollständig durchgeführt.

5460 Verzeichnisse wurden überprüft
196355 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
196355 Dateien ohne Befall
1324 Archive wurden durchsucht
3 Warnungen
0 Hinweise

Hallo

sooo myrtille gab mir den Link

Lade dir bitte mal Smitfraudfix
SmitFraudFix
und lass es im abgesicherten Modus (beim start F8 drücken) mit der Option 2 laufen, kannst du auch der Anleitung entnehmen.
Poste dann bitte das Log und berichte nochmal.

MFG

Das sind die neuen Logs von SmitFraudFix und AntiVir.
Das VIRUS ALERT! ist jetzt verschwunden!!!
Meines erachtens ist jetzt wieder alles OK!!!!

SmitFraudFix v2.323

Scan done at 21:37:54,48, Fr 30.05.2008
Run from C:\Dokumente und Einstellungen\MadMasta\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{80438F08-BC5F-4DB2-BA9E-CF990B5C0D95}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{80438F08-BC5F-4DB2-BA9E-CF990B5C0D95}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{80438F08-BC5F-4DB2-BA9E-CF990B5C0D95}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 30. Mai 2008 21:57

Es wird nach 1302528 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: MadMasta
Computername: MAD

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.5.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 19.4.2008 21:41:07
AVSCAN.DLL : 8.1.1.0 57601 Bytes 19.4.2008 21:41:07
LUKE.DLL : 8.1.2.9 151809 Bytes 19.4.2008 21:41:07
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.4.2008 21:41:07
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 7.3.2008 14:03:07
ANTIVIR2.VDF : 7.0.4.53 1848832 Bytes 17.5.2008 08:13:20
ANTIVIR3.VDF : 7.0.4.118 376832 Bytes 30.5.2008 19:50:31
Engineversion : 8.1.0.51
AEVDF.DLL : 8.1.0.5 102772 Bytes 19.4.2008 21:41:07
AESCRIPT.DLL : 8.1.0.37 270715 Bytes 30.5.2008 19:50:37
AESCN.DLL : 8.1.0.20 119157 Bytes 29.5.2008 18:36:51
AERDL.DLL : 8.1.0.20 418165 Bytes 25.4.2008 17:23:30
AEPACK.DLL : 8.1.1.5 364918 Bytes 17.5.2008 08:14:02
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.4.2008 21:41:07
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 17.5.2008 08:13:52
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.5.2008 18:36:51
AEGEN.DLL : 8.1.0.25 307573 Bytes 30.5.2008 19:50:35
AEEMU.DLL : 8.1.0.6 430451 Bytes 9.5.2008 21:34:27
AECORE.DLL : 8.1.0.30 168311 Bytes 29.5.2008 18:36:51
AVWINLL.DLL : 1.0.0.7 14593 Bytes 19.4.2008 21:41:07
AVPREF.DLL : 8.0.0.1 25857 Bytes 19.4.2008 21:41:07
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 19.4.2008 21:41:07
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.4.2008 21:41:07
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 19.4.2008 21:41:07
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.4.2008 21:41:07
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 19.4.2008 21:41:07
NETNT.DLL : 8.0.0.1 7937 Bytes 19.4.2008 21:41:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 19.4.2008 21:41:03
RCTEXT.DLL : 8.0.32.0 86273 Bytes 19.4.2008 21:41:03

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 30. Mai 2008 21:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 30. Mai 2008 23:47
Benötigte Zeit: 1:49:52 min

Der Suchlauf wurde vollständig durchgeführt.

5459 Verzeichnisse wurden überprüft
196560 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
196560 Dateien ohne Befall
1324 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Hallo

Zitat:

Das VIRUS ALERT! ist jetzt verschwunden!!!

Sehr gut, danke hier nochmal an Kathrin

Zitat:

Meines erachtens ist jetzt wieder alles OK!!!!

Sag ich auch mal, du bist hiermit entlassen

MFG