Schönen guten Abend, ich habe einen relativ neuen Laptop (2 Monate) und bis jetzt nie Sicherheitsprobleme gehabt. Seit ein paar tagen zeigt mir AntiVir allerdings eine am 08.10.08 veränderte Datei aus dem System32 Ordner als Trojaner an und zwar die Datei "hal32.dll" und zwar als TR/Hijack.AE an. Wenn ich auf Beschreibung schaue kann er mir garnichts darüber anbieten. Ich vermute nun einen Fehlalarm allerdings reagiert Antivir IMMER wenn ich den System32 Ordner öffne. Auch im Internet kann ich keinerlei Berichte zu der Datei finden ausser das sie was mit dem Booten zu tun hat.
Was denkt ihr ? Anti-Malware hat auch nicht angeschlagen.

Danke schonmal im Vorraus.

Mein Betriebssystem : Windows Vista 32bit.

Antivir ist auf tagesaktuellem Stand

hal32.dll wird als TR/Hijack.AE erkannt von Antivir

Sobald ich den System32 Ordner im Windowsverzeichnis öffne kommt die warnung von Antivir aber auch ab und zu zwischendurch.

Poste doch mal zunächst nur ein HijackThis Logfile. Dann sehen wir weiter.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:33, on 14.11.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\TOOLS\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\TOOLS\TuneUp\RegistryCleaner.exe
C:\TOOLS\Firefox\firefox.exe
C:\TOOLS\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\TOOLS\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\TOOLS\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\TOOLS\ICQ\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\TOOLS\Adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\TOOLS\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\TOOLS\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 5694 bytes

Das Logfile sieht sauber aus.
Werte die hal32.dll mal bitte bei Virustotal.com aus und poste alle Ergebnisse.
Mach danach auch mal einen Durchlauf mit Malwarebytes Antimalware (AntiVir-Wächter ausschalten!!)

File size: 19456 bytes
MD5...: 8ca3759d828e07fc186a4be0485ce2cb
SHA1..: db28b36f31714c4afaecfa9093a16bec74cd82be
SHA256: 03503637134d46dba77e16f88668c02f56dd1d7e1d4f60bd3efa7458c1fedd74
SHA512: 3fd724e32a3ae164bd8ee7e76125f876b22239e8db1611853d506e9bd04f6aca
d65836698b31b467d8dc3d29b9ec277dbe87baccec1f9e88302870819749b141
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x36004151
timedatestamp.....: 0xde392d31L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3c82 0x3e00 6.33 6006c52f9cf842968506a7882ba5de7c
.data 0x5000 0x13c 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d
.rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca
.reloc 0x7000 0x264 0x400 3.58 7dd464be2db863e1d0cf011fa39024f2

( 5 imports )
> ADVAPI32.dll: GetUserNameA
> USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA
> KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime
> WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState
> MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy

( 31 exports )
TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1373
Windows 6.0.6001 Service Pack 1

15.11.2008 18:05:11
mbam-log-2008-11-15 (18-05-11).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 41857
Laufzeit: 3 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hat Virustotal nix gefunden?

hmm also iwie anscheinend nicht oder ?Ich meine, das frage ich euch . Die warnung kommt immer noch ab und an

Ich frage deswegen weil Du nur den untersten Teil vom Virustotal Ergebnis gepostet hast! Ist da ein Scanner nun angesprungen ja oder nein?

Mach danach auch mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Code: Alles auswählenAufklappen

ATTFilter

 ComboFix 08-11-22.02 - Babsi 2008-11-23 17:53:19.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1031.18.2208 [GMT 1:00]
ausgeführt von:: c:\users\Babsi\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Babsi\AppData\Roaming\.#
c:\users\Babsi\AppData\Roaming\.#\MBX@6AC@1EA2930.###
c:\users\Babsi\AppData\Roaming\.#\MBX@6AC@1EA2960.###
c:\users\Babsi\AppData\Roaming\.#\MBX@6AC@1EA2990.###
c:\users\Babsi\AppData\Roaming\.#\MBX@FD0@D02930.###
c:\users\Babsi\AppData\Roaming\.#\MBX@FD0@D02960.###
c:\users\Babsi\AppData\Roaming\.#\MBX@FD0@D02990.###
c:\windows\msetup
c:\windows\msetup\BASW-00503A63\data1.cab
c:\windows\msetup\BASW-00503A63\data1.hdr
c:\windows\msetup\BASW-00503A63\data2.cab
c:\windows\msetup\BASW-00503A63\engine32.cab
c:\windows\msetup\BASW-00503A63\layout.bin
c:\windows\msetup\BASW-00503A63\PlayCamera\CameraOn.wav
c:\windows\msetup\BASW-00503A63\PlayCamera\Click.wav
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_chs_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_cht_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_deu_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_eng_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_esp_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_fra_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_ita_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_kor_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_ptg_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_rus_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\Help\PlayCamera_ukr_s.chm
c:\windows\msetup\BASW-00503A63\PlayCamera\HookDllPS2.dll
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\Back_Big.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\Back_Small.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbCancel.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbHelp.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbOk.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbOpen.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbPreviewOff.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbPreviewOn.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbRecordOff.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbRecordOn.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\gbSnap.bmp
c:\windows\msetup\BASW-00503A63\PlayCamera\Images\PlayCamera.ico
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_chs.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_cht.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_deu.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_eng.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_esp.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_fra.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_ita.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_kor.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_ptg.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_rus.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\Language\PlayCamera_ukr.txt
c:\windows\msetup\BASW-00503A63\PlayCamera\PlayCamera.exe
c:\windows\msetup\BASW-00503A63\PlayCamera\SSHook.dll
c:\windows\msetup\BASW-00503A63\PlayCamera\Uninst.ico
c:\windows\msetup\BASW-00503A63\setup.exe
c:\windows\msetup\BASW-00503A63\setup.ibt
c:\windows\msetup\BASW-00503A63\setup.ini
c:\windows\msetup\BASW-00503A63\setup.iss
c:\windows\msetup\BASW-00503A63\SWDesc.txt
c:\windows\msetup\BASW-01038A05\ChgWLANSettings.exe
c:\windows\msetup\MSetup.exe
c:\windows\msetup\MSetupLog.log

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-23 bis 2008-11-23  ))))))))))))))))))))))))))))))
.

2008-11-14 21:33 . 2008-11-14 21:36	<DIR>	d--------	c:\users\Babsi\AppData\Roaming\teamspeak2
2008-11-14 21:33 . 2008-11-14 21:33	34,064	--a------	c:\windows\System32\lhacm.acm
2008-11-14 16:57 . 2008-11-14 16:57	0	--a------	C:\ARK9C02.tmp
2008-11-14 16:42 . 2008-11-14 16:42	<DIR>	d--------	c:\users\All Users\SecTaskMan
2008-11-14 16:42 . 2008-11-14 16:42	<DIR>	d--------	c:\programdata\SecTaskMan
2008-11-13 19:56 . 2008-10-16 22:13	1,809,944	--a------	c:\windows\System32\wuaueng.dll
2008-11-13 19:56 . 2008-10-16 21:56	1,524,736	--a------	c:\windows\System32\wucltux.dll
2008-11-13 19:56 . 2008-10-16 22:09	51,224	--a------	c:\windows\System32\wuauclt.exe
2008-11-13 19:56 . 2008-10-16 22:09	43,544	--a------	c:\windows\System32\wups2.dll
2008-11-12 19:12 . 2008-09-10 04:40	1,334,272	--a------	c:\windows\System32\msxml6.dll
2008-11-12 19:12 . 2008-09-05 06:14	1,191,936	--a------	c:\windows\System32\msxml3.dll
2008-11-12 19:12 . 2008-08-27 02:05	212,480	--a------	c:\windows\System32\drivers\mrxsmb10.sys
2008-11-08 15:24 . 2008-11-08 15:24	<DIR>	d--------	c:\users\Babsi\AppData\Roaming\Malwarebytes
2008-11-08 15:24 . 2008-11-08 15:24	<DIR>	d--------	c:\users\All Users\Malwarebytes
2008-11-08 15:24 . 2008-11-08 15:24	<DIR>	d--------	c:\programdata\Malwarebytes
2008-11-08 15:24 . 2008-10-22 16:10	38,496	--a------	c:\windows\System32\drivers\mbamswissarmy.sys
2008-11-08 15:24 . 2008-10-22 16:10	15,504	--a------	c:\windows\System32\drivers\mbam.sys
2008-11-04 02:50 . 2008-11-04 02:50	<DIR>	d--------	c:\users\All Users\Blizzard
2008-11-04 02:50 . 2008-11-04 02:50	<DIR>	d--------	c:\programdata\Blizzard
2008-11-03 22:27 . 2008-11-03 22:27	<DIR>	d--------	C:\Logs
2008-11-03 19:16 . 2008-11-03 19:41	<DIR>	d--------	c:\program files\Common Files\Blizzard Entertainment
2008-10-30 17:32 . 2008-10-30 17:32	<DIR>	d--------	c:\users\Babsi\AppData\Roaming\InstallShield
2008-10-30 13:21 . 2008-10-30 13:21	<DIR>	d--------	c:\windows\System32\xlive
2008-10-30 13:21 . 2007-03-12 16:42	3,495,784	--a------	c:\windows\System32\d3dx9_33.dll
2008-10-30 13:21 . 2007-03-12 16:42	1,123,696	--a------	c:\windows\System32\D3DCompiler_33.dll
2008-10-30 13:21 . 2007-03-15 16:57	443,752	--a------	c:\windows\System32\d3dx10_33.dll
2008-10-30 13:21 . 2007-04-04 18:53	81,768	--a------	c:\windows\System32\xinput1_3.dll
2008-10-29 11:46 . 2008-08-12 04:39	443,392	--a------	c:\windows\System32\win32spl.dll
2008-10-29 11:46 . 2008-09-18 05:56	147,456	--a------	c:\windows\System32\Faultrep.dll
2008-10-29 11:46 . 2008-09-18 05:56	125,952	--a------	c:\windows\System32\wersvc.dll
2008-10-28 08:25 . 2008-11-06 12:19	<DIR>	d--------	c:\program files\Common Files\Adobe
2008-10-28 07:49 . 2008-08-05 10:49	428,544	--a------	c:\windows\System32\EncDec.dll
2008-10-28 07:49 . 2008-08-05 10:49	293,376	--a------	c:\windows\System32\psisdecd.dll
2008-10-28 07:49 . 2008-08-05 10:48	217,088	--a------	c:\windows\System32\psisrndr.ax
2008-10-28 07:49 . 2008-08-05 10:48	177,664	--a------	c:\windows\System32\mpg2splt.ax
2008-10-28 07:49 . 2008-08-05 10:48	80,896	--a------	c:\windows\System32\MSNP.ax
2008-10-27 14:35 . 2008-10-27 14:35	<DIR>	d--------	c:\program files\MSXML 4.0
2008-10-27 14:32 . 2008-10-27 14:32	<DIR>	d--------	c:\windows\System32\oodag
2008-10-27 13:04 . 2008-10-27 13:04	<DIR>	d--------	c:\program files\NeroInstall.bak
2008-10-27 13:01 . 2008-10-27 13:01	<DIR>	d--------	c:\users\All Users\Nero
2008-10-27 13:01 . 2008-10-27 13:01	<DIR>	d--------	c:\programdata\Nero

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 16:45	130,271	----a-w	c:\users\All Users\nvModes.dat
2008-11-23 16:45	130,271	----a-w	c:\programdata\nvModes.dat
2008-11-22 23:50	---------	d-----w	c:\users\Babsi\AppData\Roaming\ICQ
2008-10-30 16:35	---------	d--h--w	c:\program files\InstallShield Installation Information
2008-10-27 12:02	---------	d-----w	c:\program files\Common Files\Nero
2008-10-17 18:32	---------	d-----w	c:\users\Babsi\AppData\Roaming\Turbine
2008-10-16 12:53	---------	d-----w	c:\program files\Windows Mail
2008-10-16 12:43	---------	d-----w	c:\programdata\McAfee
2008-10-15 15:28	---------	d-----w	c:\programdata\Avira
2008-10-13 13:14	---------	d-----w	c:\users\Babsi\AppData\Roaming\Lionhead Studios
2008-10-11 09:45	---------	d-----w	c:\users\Babsi\AppData\Roaming\vlc
2008-10-11 09:42	---------	d-----w	c:\program files\VistaCodecPack
2008-10-11 09:41	---------	d-----w	c:\programdata\VistaCodecs
2008-10-10 20:18	---------	d-----w	c:\users\Babsi\AppData\Roaming\Nero
2008-10-09 17:38	717,296	----a-w	c:\windows\system32\drivers\sptd.sys
2008-10-09 17:38	---------	d-----w	c:\users\Babsi\AppData\Roaming\DAEMON Tools
2008-10-09 14:55	---------	d-----w	c:\program files\Activation Assistant for the 2007 Microsoft Office suites
2008-10-09 14:54	---------	d-----w	c:\programdata\{623D32E9-0C62-4453-AD44-98B31F52A5E1}
2008-10-09 14:53	---------	d-----w	c:\program files\Java
2008-10-09 14:52	---------	d-----w	c:\program files\Common Files\Java
2008-10-09 14:51	---------	d-----w	c:\program files\Samsung
2008-10-09 14:42	---------	d-----w	c:\programdata\Lavasoft
2008-10-09 14:37	---------	d-----w	c:\program files\Common Files\Wise Installation Wizard
2008-10-08 21:27	19,456	----a-w	c:\windows\System32\hal32.dll
2008-10-08 21:09	361,728	----a-w	c:\windows\System32\TuneUpDefragService.exe
2008-10-08 21:09	---------	d-----w	c:\programdata\TuneUp Software
2008-10-08 21:01	---------	d-----w	c:\users\Babsi\AppData\Roaming\TuneUp Software
2008-10-08 20:37	---------	d-----w	c:\programdata\Microsoft Help
2008-10-08 20:05	---------	d-sh--w	c:\programdata\Vorlagen
2008-10-08 20:05	---------	d-sh--w	c:\programdata\Startmenü
2008-10-08 20:05	---------	d-sh--w	c:\programdata\Favoriten
2008-10-08 20:05	---------	d-sh--w	c:\programdata\Dokumente
2008-10-08 20:05	---------	d-sh--w	c:\programdata\Anwendungsdaten
2008-10-08 20:05	---------	d-sh--w	c:\program files\Gemeinsame Dateien
2008-10-02 03:49	827,392	----a-w	c:\windows\System32\wininet.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\System32\msxml4.dll
2008-09-26 04:12	730,368	----a-w	c:\windows\System32\oodsvct.exe
2008-09-26 04:12	1,287,424	----a-w	c:\windows\System32\oodag.exe
2008-09-26 04:11	2,524,416	----a-w	c:\windows\System32\oodtray.exe
2008-09-26 04:11	194,816	----a-w	c:\windows\System32\oodbs.exe
2008-09-26 04:10	902,400	----a-w	c:\windows\System32\oodtrrs.dll
2008-09-26 04:09	9,984	----a-w	c:\windows\System32\oodbsrs.dll
2008-09-26 04:09	8,448	----a-w	c:\windows\System32\oodagrs.dll
2008-09-26 04:09	16,640	----a-w	c:\windows\System32\oodagmg.dll
2008-09-18 05:09	3,601,464	----a-w	c:\windows\System32\ntkrnlpa.exe
2008-09-18 05:09	3,549,240	----a-w	c:\windows\System32\ntoskrnl.exe
2008-09-18 03:17	15,104	----a-w	c:\windows\System32\ootmapi.dll
2008-09-18 02:16	2,032,640	----a-w	c:\windows\System32\win32k.sys
2008-01-21 02:43	174	--sha-w	c:\program files\desktop.ini
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]
"avgnt"="c:\tools\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 c:\windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm
"vidc.iv32"= c:\windows\system32\ir32_32.dll
"vidc.iv31"= c:\windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=c:\windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 c:\tools\DAEMONTOOLS\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2008-02-28 17:07 1828136 c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2008-09-26 05:11 2524416 c:\windows\System32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{3F6FCE60-51ED-4D17-8058-6ED97CAC4B0B}c:\\tools\\icq\\icq6\\icq.exe"= UDP:c:\tools\icq\icq6\icq.exe:ICQ Library
"UDP Query User{E6FC2F51-E49A-40CB-9422-B2FA96925A1C}c:\\tools\\icq\\icq6\\icq.exe"= TCP:c:\tools\icq\icq6\icq.exe:ICQ Library
"TCP Query User{080F18C7-33B2-4465-92A8-8A349B34209D}c:\\tools\\icq\\icq6\\icq.exe"= UDP:c:\tools\icq\icq6\icq.exe:ICQ Library
"UDP Query User{42D18F71-8A6F-4F1E-9F4D-D450311D10D3}c:\\tools\\icq\\icq6\\icq.exe"= TCP:c:\tools\icq\icq6\icq.exe:ICQ Library
"TCP Query User{DA746021-78E1-4E87-8A5C-A33FD1AC5D24}c:\\tools\\firefox\\firefox.exe"= UDP:c:\tools\firefox\firefox.exe:Firefox
"UDP Query User{6A6B0D2F-770A-4047-91A3-8D451CEF9D09}c:\\tools\\firefox\\firefox.exe"= TCP:c:\tools\firefox\firefox.exe:Firefox
"{1B9DDCDA-8D57-4844-919B-511476B41E49}"= UDP:6881:WoW
"{A6DA5D8A-EA03-4FEB-AD8E-CCC7EC265EBE}"= UDP:6112:wOW
"{006F3462-CA2D-4997-A0B1-C9C0602AE347}"= UDP:6999:Wow
"TCP Query User{85A104DC-CBE1-4CD8-A893-CC1406F32CBB}c:\\downloads\\war europe downloader.exe"= UDP:c:\downloads\war europe downloader.exe:WAR Europe Downloader
"UDP Query User{4EC98B50-46E6-457E-B4CF-C18BB23740EE}c:\\downloads\\war europe downloader.exe"= TCP:c:\downloads\war europe downloader.exe:WAR Europe Downloader
"TCP Query User{B9B5B353-ED73-457E-9952-0169BB71C4CA}f:\\games\\der herr der ringe online\\lotroclient.exe"= Disabled:UDP:f:\games\der herr der ringe online\lotroclient.exe:lotroclient
"UDP Query User{1F341C57-A6B5-49F5-98E8-EC6C41032A4F}f:\\games\\der herr der ringe online\\lotroclient.exe"= Disabled:TCP:f:\games\der herr der ringe online\lotroclient.exe:lotroclient
"{92C43F90-C4D4-4FB7-814E-997BA32F5347}"= Disabled:UDP:f:\games\Civilization4\Civilization4.exe:Sid Meier's Civilization 4
"{9627DCCD-E9EC-41B7-BFC7-B62DEFFE58BB}"= Disabled:TCP:f:\games\Civilization4\Civilization4.exe:Sid Meier's Civilization 4
"{EC491FC6-B645-4808-874E-5239081E1088}"= Disabled:UDP:f:\games\Civilization4\Beyond the Sword\Civ4BeyondSword.exe:Sid Meier's Civilization 4 Beyond the Sword
"{12BE1E95-3F25-4657-A813-769630CC7812}"= Disabled:TCP:f:\games\Civilization4\Beyond the Sword\Civ4BeyondSword.exe:Sid Meier's Civilization 4 Beyond the Sword
"{BEDA3FE1-9E7D-4328-8976-FF9FAD6A6F04}"= Disabled:UDP:f:\games\Civilization4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe:Sid Meier's Civilization 4 Beyond the Sword Pitboss
"{8878A00E-3D90-4AE0-82E2-CEF35C7644D0}"= Disabled:TCP:f:\games\Civilization4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe:Sid Meier's Civilization 4 Beyond the Sword Pitboss
"TCP Query User{0DE8FFA4-5103-4DFC-B8C1-DD96A6942C7B}c:\\downloads\\sro_full-client_downloader.exe"= Disabled:UDP:c:\downloads\sro_full-client_downloader.exe:SRO_Full-Client_Downloader
"UDP Query User{BEA0E6A5-592F-43EF-9FCD-D718321C522A}c:\\downloads\\sro_full-client_downloader.exe"= Disabled:TCP:c:\downloads\sro_full-client_downloader.exe:SRO_Full-Client_Downloader

R0 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2008-07-23 226328]
R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2008-07-23 13312]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [2008-01-21 21504]
R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-05-20 3663360]
R3 VMC302;Vimicro Camera Service VMC302;c:\windows\system32\Drivers\VMC302.sys [2008-07-23 242560]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-10-08 361728]
S4 ErrDev;Microsoft Hardware Error Device Driver;c:\windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR;c:\windows\system32\drivers\megasr.sys [2008-01-21 386616]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40377371-9629-11dd-a8cb-ad1de7af9210}]
\shell\AutoRun\command - G:\autorun.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-23 c:\windows\Tasks\1-Klick-Wartung.job
- c:\tools\TuneUp\OneClickStarter.exe [2008-08-21 17:47]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\users\Babsi\AppData\Roaming\Mozilla\Firefox\Profiles\8vqru5fk.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://meinvz.net
FF -: plugin - c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF -: plugin - c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF -: plugin - c:\tools\Firefox\plugins\npnul32.dll
FF -: plugin - c:\tools\Firefox\plugins\nppdf32.dll
FF -: plugin - c:\tools\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-23 17:55:10
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-23 17:56:14
ComboFix-quarantined-files.txt  2008-11-23 16:56:12

Vor Suchlauf: 19 Verzeichnis(se), 43.386.707.968 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 43,253,202,944 Bytes frei

271	--- E O F ---	2008-11-13 18:58:00
         

Ich frage nochmal!! Hat Virustotal nun in der hal32.dll was gefunden oder nicht? Ist da ein Virenscanner angesprungen ja oder nein?

nein virustotal hat keinen virus angezeigt.

Ok. Dann vermute ich einen Fehlalarm. Über diese Seite hast Du die Möglichkeit bei Avira verdächtige Dateien hochzuladen oder mögliche Fehlalarme zu melden. Mach das mal und sende denen die hal32.dll zu.

Also nu weiss ich nich mehr weiter...

Antivir stuft die datei hal32.dll als Malware ein.... Und nu ?

Werte sie bitte noch mal bei Virustotal aus und poste die Ergebnisse.
Vllt wäre es auch ganz nett, wenn Du mir sie mal schicken könntest. Zippen, mit nem Passwort versehen (infected) und dann an root240@arcor.de