naja man siehts ja..
Und die winlogon.exe öffnet sich weiterhin.. Es sind schon um die 300 winlogons am laufen. Sofort wenn der PC hochgefahren ist kommen diese winlogon.exe.
Was kann ich dagegen tun?

Hi und ,

Poste bitte erstmals ein HijackThis Logfile und vergiss nicht aktive Links und persönliche Namen zu editieren.

mfg

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:42, on 13.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe

...["sind eigendlich viel mehr winlogon.exe aber wären zu viele Zeichen"]...

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
F2 - REG:system.ini: Shell=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [srv] C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - K:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - K:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174370052031
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)

--
End of file - 32151 bytes

Ok, das sieht mir nach einer sehr bösen Infektion aus.
Lade bitte folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das komplette Ergebnis hier:

Zitat:

C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\winlogon.exe

mfg

Evtl. musst du versteckte Ordner sichtbar machen...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.11 -
AntiVir 7.8.0.64 2008.07.13 -
Authentium 5.1.0.4 2008.07.13 -
Avast 4.8.1195.0 2008.07.13 -
AVG 7.5.0.516 2008.07.13 PSW.Generic6.ODA
BitDefender 7.2 2008.07.13 BehavesLike:Win32.Malware
CAT-QuickHeal 9.50 2008.07.11 -
ClamAV 0.93.1 2008.07.13 -
DrWeb 4.44.0.09170 2008.07.13 -
eSafe 7.0.17.0 2008.07.13 -
eTrust-Vet 31.6.5949 2008.07.12 -
Ewido 4.0 2008.07.13 -
F-Prot 4.4.4.56 2008.07.13 -
F-Secure 7.60.13501.0 2008.07.12 Trojan-Spy.Win32.Punk.l
Fortinet 3.14.0.0 2008.07.14 -
GData 2.0.7306.1023 2008.07.13 Trojan-Spy.Win32.Punk.l
Ikarus T3.1.1.26.0 2008.07.13 -
Kaspersky 7.0.0.125 2008.07.13 Trojan-Spy.Win32.Punk.l
McAfee 5337 2008.07.11 New Malware.ac
Microsoft 1.3704 2008.07.13 -
NOD32v2 3263 2008.07.11 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.07.11 -
Panda 9.0.0.4 2008.07.13 -
Prevx1 V2 2008.07.14 -
Rising 20.52.62.00 2008.07.13 -
Sophos 4.31.0 2008.07.13 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.13 Trojan Horse
TheHacker 6.2.96.378 2008.07.13 -
TrendMicro 8.700.0.1004 2008.07.11 -
VBA32 3.12.6.9 2008.07.13 Trojan-Spy.Win32.Punk.l
VirusBuster 4.5.11.0 2008.07.13 -
Webwasher-Gateway 6.6.2 2008.07.13 -
weitere Informationen
File size: 45056 bytes
MD5...: 179f16bbfddbc5c96f0f5cb374aebd9e
SHA1..: de28ca5d6ef600e87d514d88ea00fa8511b3b427
SHA256: e807d6263836946c0dbcca8d340aad122cd3f4e55d93ad7858e50f9082c5d59f
SHA512: 18408eb4d19e6c10116cf81997b885168742aa1ba3a479eb3383ab21199f610a
822956a5ca356f35677723316d660f74181e53be7f4cddb5a02b3fb636f9cc8b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40180c
timedatestamp.....: 0x48458c12 (Tue Jun 03 18:23:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7398 0x8000 5.25 7aa26907f399fe0474c4e61f0117531c
.data 0x9000 0xc18 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xa000 0x1000 0x1000 2.58 163a0ae3b9c5532ef46f9150ddd5a096

( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaPut3, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, _adj_fprem1, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, -, -, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, _adj_fdivr_m16i, __vbaBoolVarNull, _CIsin, -, -, __vbaChkstk, __vbaFileClose, -, EVENT_SINK_AddRef, -, __vbaStrCmp, __vbaVarTstEq, DllFunctionCall, __vbaVarOr, -, _adj_fpatan, __vbaFixstrConstruct, __vbaStrR8, EVENT_SINK_Release, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, __vbaInStr, __vbaR8Str, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaI4Var, __vbaVarCmpEq, __vbaStrToAnsi, -, __vbaVarCopy, -, __vbaFpI4, -, _CIatan, __vbaUI1Str, __vbaStrMove, _allmul, _CItan, __vbaFPInt, -, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )

Seltsam, führe bitte deinen Scan mit Malwarebytes durch, gegebenfalls musst du den AV Guard deaktivieren (Während der Installation und des Scans)
Lasse alle Funde löschen und poste den Report, der dir am Ende gezeigt wird hier rein.

mfg

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 947
Windows 5.1.2600 Service Pack 3

04:11:54 14.07.2008
mbam-log-7-14-2008 (04-11-54).txt

Scan Art: Komplett Scan (C:\|K:\|S:\|)
Objekte gescannt: 265565
Scan Dauer: 1 hour(s), 22 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
K:\Programme\Nero 6.6.0.3\NeroVision.Express.v3.1.0.14.Keygen-ORiON\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
K:\Programme\Nero 8.3.2.1\kg\8.3.2.1-keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\services.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fservice.exe (Backdoor.ProRat) -> Quarantined and deleted successfully.

Da weiß man auch gleich, wo's herkommt

Zitat:

K:\Programme\Nero 6.6.0.3\NeroVision.Express.v3.1.0.14.Keygen-ORiON\Keygen.exe (Trojan.Agent)
K:\Programme\Nero 8.3.2.1\kg\8.3.2.1-keygen.exe (Trojan.Agent)

So langsam komme ich auf die Idee, dass die meisten Infektionen darauf oder auf fehlende Softwareupdates zurückzuführen sind.

Dann noch zwei Backdoorserver: Formatieren und neuinstallieren würden noch was retten können. sonst kaum was

In der Tat, Selbstinfektionen sind immernoch am Schönsten

Was mich interessieren würde, ob diese winlogon.exe eine virulente Datei ist...

Zitat:

C:\WINDOWS\system32\fservice.exe (Backdoor.ProRat)

Wenn ich das sehe...

Mein AntiVir hat das Problem gerade erkannt und behoben. Endlich.

p.s. super Forum und schnelle Hilfe
..danke

Ich will dir ja die Freude nicht klauen aber dir ist wohl nicht bewusst, das dein Rechner kompromittiert ist.
All deine Daten, Passwörter und Zugangsdaten sind als bekannt anzusehen.

Zitat:

Mein AntiVir hat das Problem gerade erkannt und behoben. Endlich.

Von wegen, na Prost Mahlzeit :aplaus: