Win32 Trojan-Gen oder falscher Alarm GDATA?

Melanika

Dann habe ich den Rechner mit SUPERAntiSpyware gescannt:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/07/2008 at 11:20 PM

Application Version : 4.21.1004

Core Rules Database Version : 3591
Trace Rules Database Version: 1578

Scan type : Complete Scan
Total Scan Time : 02:11:58

Memory items scanned : 398
Memory threats detected : 0
Registry items scanned : 5426
Registry threats detected : 3
File items scanned : 130458
File threats detected : 26

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{4D1C4E89-A32A-416b-BCDB-33B3EF3617D3}
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\Programmable

Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144033.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144035.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144040.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144041.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144042.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144044.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144045.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP536\A0156103.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP536\A0156104.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP537\A0157296.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP537\A0157297.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP538\A0159403.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP538\A0159404.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP539\A0160425.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165415.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165416.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165417.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165418.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165419.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165420.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP542\A0165421.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167513.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167515.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167520.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP543\A0167521.DLL

Trojan.Downloader-CREW
C:\SYSTEM VOLUME INFORMATION\_RESTORE{36FBD960-35CC-4863-873B-E9145AF11A77}\RP534\A0144046.DLL

Ich habe die gefundenen Einträge gelöscht (irgendwie ging das gar nicht anders) und dann anschließend Malware laufen lassen:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 3

08.10.2008 04:44:33
mbam-log-2008-10-08 (04-44-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 165259
Laufzeit: 2 hour(s), 25 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\aosmtp.fastsender (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{ff14b02b-6ee4-400f-a729-b0ea35f921c2} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1ecc44fb-970d-4bc8-90e3-002da4dd21b8} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{63bd4ee4-660b-434d-a54b-7c1f53e2fedd} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6d2c09c4-ec95-4251-81fd-1cd01fd8ae44} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d622e87a-35f9-4fb2-afee-4f5bf8407c7a} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{69620165-77dd-44ee-995c-3632e525a22b} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f8d07b72-b4b4-46a0-acc0-c771d4614b82} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.fastsender.1 (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.mail (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.mail.1 (Spyware.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\AOSMTP.dll (Spyware.Banker) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\agqhpq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iropicqs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qyprlm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\tkcdujxr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP535\A0153190.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP512\A0127518.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.

Anschließend HJT:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 3

08.10.2008 04:44:33
mbam-log-2008-10-08 (04-44-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 165259
Laufzeit: 2 hour(s), 25 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\aosmtp.fastsender (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{ff14b02b-6ee4-400f-a729-b0ea35f921c2} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1ecc44fb-970d-4bc8-90e3-002da4dd21b8} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{63bd4ee4-660b-434d-a54b-7c1f53e2fedd} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6d2c09c4-ec95-4251-81fd-1cd01fd8ae44} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d622e87a-35f9-4fb2-afee-4f5bf8407c7a} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{69620165-77dd-44ee-995c-3632e525a22b} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f8d07b72-b4b4-46a0-acc0-c771d4614b82} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.fastsender.1 (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.mail (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.mail.1 (Spyware.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\AOSMTP.dll (Spyware.Banker) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\agqhpq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iropicqs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qyprlm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\tkcdujxr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP535\A0153190.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36FBD960-35CC-4863-873B-E9145AF11A77}\RP512\A0127518.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.

Muss die Nachricht teilen, sind zuviele Zeichen!
Ich habe zur Sicherheit heute nochmal das SUPERAntiSpyware laufen lassen und es hat nichts gefunden:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/08/2008 at 01:00 PM

Application Version : 4.21.1004

Core Rules Database Version : 3592
Trace Rules Database Version: 1579

Scan type : Complete Scan
Total Scan Time : 01:40:24

Memory items scanned : 398
Memory threats detected : 0
Registry items scanned : 5430
Registry threats detected : 0
File items scanned : 121198
File threats detected : 0

und auch anschließend Malware:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 3

08.10.2008 16:38:09
mbam-log-2008-10-08 (16-38-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 161148
Laufzeit: 1 hour(s), 53 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und noch einmal ein aktuelles HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:54, on 08.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131018820546
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1B1983D-0A39-4DE5-AABB-47254AF45139}: NameServer = 192.168.122.252,192.168.122.253
O20 - AppInit_DLLs: pnvyse.dll oduroo.dll agqhpq.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8289 bytes

Bedeutet das jetzt, das mein Computer wieder sauber ist?
Oder kann der Trojaner sich noch mal neu generieren?

Ach, und soll ich jetzt den Spybot nicht mehr neu installieren sondern besser SUPERAntiSpyware und Malware kaufen?

Und noch zwei letzte Fragen:

1. Wie räume ich Autostart auf
2. Welche Antivirensoftware sollte ich am besten installieren, da GDATA ja bald abläuft?

Vielen Dank im Voraus für Deine Mühe!

Melanika