-ich bräuchte mal bitte eure hilfe beim trojaner TR/Agent.CWS.20 -

negrito · 22.09.2008, 14:16

hallo zusammen!
ich scheine mir einen trojaner eingefangen zu haben und krieg ihn irgendwie nicht los. die fehlermeldung von avira antivir lautet in etwa so: "In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\svchost.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.CWS.20' [trojan] gefunden."
mehr krieg ich aber leider auch nicht raus. und das hijackfile versteh ich erst recht nicht...
ach ja, das betriebssystem ist windows xp sp2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:36, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Ashampoo\Ashampoo Burning Studio 6\burningstudio.exe
C:\Programme\Ashampoo\Ashampoo Burning Studio 6\CancelAutoplay.exe
C:\Dokumente und Einstellungen\***\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [UpData] "C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\svchost.exe" -hide
O4 - HKCU\..\Run: [vgt] "C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\vgt.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4819B42F-1ECF-45CE-9CBF-AC0AE8861357}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4150 bytes

für eure hinweise vielen dank im voraus!
mfg
negrito

**Sunny** · 22.09.2008, 14:21

Hallo negrito und

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

negrito · 22.09.2008, 18:00

hallo!
vielen dank erstmal für die schnelle antwort!!!
habe jetzt alles so ausgeführt, wie ausführlich von dir beschrieben:

folgendes ergebnis: SDfix:

SDFix: Version 1.228
Run by *** on 22.09.2008 at 18:42

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 18:46:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"="C:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Sat 26 Apr 2008 53,932,248 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\emailsGesichert26.04.2008.zip"
Mon 22 Sep 2008 106,963,012 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\emailsGeschichert22.09.2008.zip"
Sat 26 Apr 2008 7,538,176 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\spf.exe"
Mon 18 Feb 2008 78,848 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL0961.tmp"
Mon 18 Feb 2008 76,800 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL0978.tmp"
Mon 18 Feb 2008 75,776 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL1921.tmp"
Mon 18 Feb 2008 78,848 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL2108.tmp"
Mon 18 Feb 2008 81,408 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL2121.tmp"
Mon 18 Feb 2008 78,336 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL2188.tmp"
Mon 18 Feb 2008 78,848 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\~WRL2990.tmp"
Thu 14 Aug 2008 146,944 ...H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\ *** \~WRL2935.tmp"
Tue 22 Jun 2004 71,168 A..H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\Texte\~WRL1028.tmp"
Wed 23 Jun 2004 555,008 A..H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\Texte\~WRL1632.tmp"
Thu 5 Oct 2006 61,952 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\AlterComputerFranzosenzeit-Wendland\Vortr„ge\~WRL2332.tmp"
Fri 6 Oct 2006 65,024 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\AlterComputerFranzosenzeit-Wendland\Vortr„ge\~WRL2434.tmp"
Sat 8 Dec 2007 8,082,616 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\930-deu-xp.exe"
Sat 8 Dec 2007 1,454,080 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\scanner\up_lib.exe"
Sat 8 Dec 2007 1,454,080 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\scanner\web.exe"
Wed 12 Dec 2001 69,632 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\autorun.exe"
Wed 12 Dec 2001 262,144 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzglu04.exe"
Wed 12 Dec 2001 28,722 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzjlog.dll"
Wed 12 Dec 2001 331,833 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzjpp01.dll"
Wed 12 Dec 2001 249,913 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzjut01.dll"
Wed 12 Dec 2001 36,924 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzjvp01.dll"
Wed 12 Dec 2001 172,032 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzpnp04.dll"
Wed 12 Dec 2001 147,456 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\hpzscr04.dll"
Wed 12 Dec 2001 70,656 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\msvcirt.dll"
Wed 12 Dec 2001 254,005 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\msvcrt.dll"
Wed 12 Dec 2001 18,192 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\psapi.dll"
Wed 12 Dec 2001 19,136 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\setup.exe"
Wed 12 Dec 2001 458,752 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\tls704d.dll"
Sun 17 Feb 2002 72,704 A..H. --- "C:\Dokumente und Einstellungen\ *** \Eigene Dateien\ *** \Artikel\AnnaSchulenburg\~WRL0675.tmp"
Wed 12 Dec 2001 23,552 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\util\cfgmgr32.dll"
Wed 12 Dec 2001 327,072 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\util\setupapi.dll"
Wed 12 Dec 2001 221,184 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\util\common\hpfpdi04.exe"
Wed 12 Dec 2001 188,416 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\util\common\hpzghl04.exe"
Wed 12 Dec 2001 180,224 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\util\common\hpzpin04.exe"
Wed 12 Dec 2001 274,432 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\deu\nt4\Disk1\hpfinst.dll"
Wed 12 Dec 2001 19,136 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\deu\nt4\Disk1\setup.exe"
Wed 12 Dec 2001 274,432 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\deu\nt4\Disk1\nt4\hpfinst.dll"
Wed 12 Dec 2001 69,632 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\deu\nt4\Disk1\nt4\hpfinstx.exe"
Wed 12 Dec 2001 90,112 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\deu\nt4\Disk1\nt4\hpfldr.exe"
Wed 12 Dec 2001 167,936 A..H. --- "C:\Dokumente und Einstellungen\ *** \Desktop\install\drucker\win2k_xp\deu\nt4\Disk1\nt4\hpfsplsh.exe"

Finished!

dann hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:43, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Stephan und Ina\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4819B42F-1ECF-45CE-9CBF-AC0AE8861357}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4098 bytes

und dann combofix:

ComboFix 08-09-20.05 - Stephan und Ina 2008-09-22 18:49:13.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Stephan und Ina\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-22 bis 2008-09-22 ))))))))))))))))))))))))))))))
.

2008-09-22 18:41 . 2008-09-22 18:41 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-22 18:31 . 2008-09-22 18:46 <DIR> d-------- C:\SDFix
2008-09-22 18:28 . 2008-09-22 18:28 <DIR> d-------- C:\Programme\CCleaner
2008-09-22 14:34 . 2008-09-22 14:36 <DIR> d-------- C:\Programme\Trojancheck 6
2008-09-07 19:06 . 2008-09-07 19:06 <DIR> d-------- C:\Programme\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-07 17:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-20 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 7630848]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
2005-12-29 18:26 5376 C:\WINDOWS\system32\antiwpa.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Photo Express SE Calendar Checker.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Photo Express SE Calendar Checker.lnk
backup=C:\WINDOWS\pss\Ulead Photo Express SE Calendar Checker.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk
backup=C:\WINDOWS\pss\Watch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2001-12-12 02:32 196608 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-08-16 09:35 7630848 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-16 09:35 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
--a------ 2007-02-15 11:04 282624 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
--a------ 2006-05-04 17:26 2808832 C:\WINDOWS\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-16 09:35 1617920 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-11-06 11:50 16855552 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-10-11 12:04 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2006-07-21 17:14 86016 C:\WINDOWS\SoundMan.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2007-05-07 53632]
R3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2007-05-07 537600]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
S3 P1Scanner;MUSTEK P1 Still Image Device Service;C:\WINDOWS\system32\drivers\usbscan.sys [2004-08-03 15104]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BD - (no file)
MSConfigStartUp-swg - C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 18:49:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-22 18:50:34
ComboFix-quarantined-files.txt 2008-09-22 16:50:29

Vor Suchlauf: 6 Verzeichnis(se), 150.643.695.616 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 150,632,374,272 Bytes frei

103

was soll ich nun tun?
vielen dank für eure bemühungen!
mfg
negrito

**Sunny** · 22.09.2008, 18:52

Sorry, aber "Software-Piraterie" unterstütze ich keinesfalls!

Hier kann ich nur noch eine Neuinstallation des Betriebssystemes empfehlen, denn sowas hat auf keinem System etwas zu suchen:
(ich habe es scheinbar schier im ersten Log übersehen!)

Code:

ATTFilter

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
2005-12-29 18:26 5376 C:\WINDOWS\system32\antiwpa.dll

negrito · 22.09.2008, 19:19

trotzdem danke für deine bemühungen!
mfg
negrito

-ich bräuchte mal bitte eure hilfe beim trojaner TR/Agent.CWS.20 -

Log-Analyse und Auswertung: -ich bräuchte mal bitte eure hilfe beim trojaner TR/Agent.CWS.20 -