Hallo alle zusammen!

Ich hatte seit ein paar Tagen ein paar Probleme mit meinem Rechner. Virenscans ergaben nicht und so hab ich den PC neu formatiert. Allerdings kam jetzt jedes Mal wenn ich eine Festplatte öffnen wollte der Hinweis "resycled\boot.com ist keine zulässige Win32 Anwendung". Ein Nutzer hatte in einem anderen Thread das Selbe Problem geschildert. Jedoch kam ich mit den Hinweisen die dort gegeben wurden nicht weiter.
Mein System:
Windwos XP Professional Service Pack 2
Zwei interne Festplatten C und D sowie eine externe Festplatte F.
Ich habe SmitfraudFix wie in dem Thread beschrieben durchlaufen lassen und jeweils den rapport gespeichert.
Weil ich mich hier angemeldet habe, hab ich zusätzlich HijackThis durchlaufen lassen, hier das logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:35, on 26.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Agnitum\Outpost Security Suite\outpost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\LevelOne\Common\RaUI.exe
D:\Programme\ICQ6\ICQ.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Outpost Security Suite] "D:\Programme\Agnitum\Outpost Security Suite\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programme\Agnitum\Outpost Security Suite\feedback.exe /dumps_startup
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Levelone Wireless Utility.lnk = D:\Programme\LevelOne\Common\RaUI.exe
O9 - Extra button: Outpost Security Suite Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programme\Agnitum\Outpost Security Suite\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O10 - Unknown file in Winsock LSP: d:\programme\agnitum\outpost security suite\lspfilt.dll
O23 - Service: Outpost Security Suite Service (OutpostSecuritySuite) - Agnitum Ltd. - D:\Programme\Agnitum\Outpost Security Suite\outpost.exe

--
End of file - 3243 bytes

Ich würde mich freuen wenn ihr mir bei meinem Problem weiterhelfen könntet.

Hier noch die logfiles von SmitfraudFix
logfile 1.Search: File-Upload.net - rapport.txt
logfile 2.Clean: File-Upload.net - rapport-clean.txt
logfile 5.Search an Clean DNS: File-Upload.net - rapport-Search-and-Clean.txt

Gruß Jonny

EDIT
Ach ja, mich würde interessieren inwieweit dieser Virus oder was auch immer es ist gefährlich ist. Schädigt der Virus den PC noch in anderer Weise als nur die Warnmeldung bei einer Festplatte anzuzeigen?

Du hast im Ergebnis die Datei "D:\WINDOWS\TrendMicro\Irgend Ein Modul.dll und aber auch D:\WINDOWS\Agnitum\autorun.inf als Datei gespeichert, d.h. du hast mal Agnitum AntiVirus & Trend Micro als Virenprogramm eingesetzt, und warscheinlich nicht ganz gelöscht. Deswegen könnten sich nun die beiden Wächter sich in die Quere gekommen sein und haben

Das stimmt, ich habe Outpost Security Suit von Agnitum installiert. Ein anderes Programm allerdings nicht. Außerdem habe ich den Rechner heute frisch aufgesetzt, und auch alle internen Festplatten neu formatiert. Es kann also nur ein Windowseigenes Programm sein. Das Problem "resycled\boot.com ist keine zulässige Win32 Anwendung" wenn mana auf eine Fetplattenpartition klickt war auch schon direkt beim ersten Start von Windwos.

Gruß Jonny

P.S.: Warum schreibst du so groß?

@Jonny

Arbeite bitte folgende Schritte genau nach der Reihenfolge ab:

1.)
Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Danke für deine Antwort Silent Shark!

Das Problem scheint gelöst zu sein, jedenfalls kommt jetzt nicht mehr diese Warnmeldung beim Doppelklick auf eine Partition. Ich habe den Endorphin Ausstoß deutlich gemerkt als die Warnmeldung nicht mehr kam.
Hier der Log von ComboFix:

ComboFix 08-11-26.03 - Jonathan 2008-11-26 17:17:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1719 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\resycled
c:\resycled\boot.com
F:\Autorun.inf
F:\resycled
f:\resycled\boot.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VFILT
-------\Service_VFILT


((((((((((((((((((((((( Dateien erstellt von 2008-10-26 bis 2008-11-26 ))))))))))))))))))))))))))))))
.

2008-11-26 17:11 . 2008-11-26 17:11 <DIR> d-------- d:\programme\CCleaner
2008-11-26 16:35 . 2007-09-05 23:22 289,144 --a------ d:\windows\system32\VCCLSID.exe
2008-11-26 16:35 . 2006-04-27 16:49 288,417 --a------ d:\windows\system32\SrchSTS.exe
2008-11-26 16:35 . 2008-10-01 14:51 87,552 --a------ d:\windows\system32\VACFix.exe
2008-11-26 16:35 . 2008-10-10 07:58 82,944 --a------ d:\windows\system32\o4Patch.exe
2008-11-26 16:35 . 2008-05-18 20:40 82,944 --a------ d:\windows\system32\IEDFix.exe
2008-11-26 16:35 . 2008-10-10 07:58 82,944 --a------ d:\windows\system32\IEDFix.C.exe
2008-11-26 16:35 . 2008-08-18 11:19 82,432 --a------ d:\windows\system32\404Fix.exe
2008-11-26 16:35 . 2003-06-05 20:13 53,248 --a------ d:\windows\system32\Process.exe
2008-11-26 16:35 . 2004-07-31 17:50 51,200 --a------ d:\windows\system32\dumphive.exe
2008-11-26 16:35 . 2007-10-03 23:36 25,600 --a------ d:\windows\system32\WS2Fix.exe
2008-11-26 16:32 . 2008-11-26 16:32 754 --a------ d:\windows\WORDPAD.INI
2008-11-26 16:02 . 2008-11-26 16:03 764 --a------ d:\windows\system32\tmp.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-26 15:08 --------- d-----w d:\programme\ICQ6
2008-11-26 14:55 --------- d--h--w d:\programme\InstallShield Installation Information
2008-11-26 14:55 --------- d-----w d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2008-11-26 14:51 --------- d-----w d:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield
2008-11-26 14:39 20,747 ----a-w d:\windows\system32\drivers\AegisP.sys
2008-11-26 14:39 --------- d-----w d:\programme\LevelOne
2008-11-26 14:39 --------- d-----w d:\programme\Gemeinsame Dateien\Agnitum Shared
2008-11-26 14:39 --------- d-----w d:\programme\Agnitum
2008-11-26 14:25 --------- d-----w d:\programme\VIA
2008-11-26 14:24 --------- d-----w d:\programme\Gemeinsame Dateien\InstallShield
2008-11-26 14:23 --------- d-----w d:\programme\Realtek
2008-11-26 14:10 558,142 ----a-w d:\windows\java\Packages\1R9B5J71.ZIP
2008-11-26 14:10 155,995 ----a-w d:\windows\java\Packages\5ZJNVFTF.ZIP
2008-11-26 14:10 --------- d-----w d:\programme\Online-Dienste
2008-11-26 14:10 --------- d-----w d:\programme\microsoft frontpage
2008-11-26 14:09 --------- d-----w d:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="d:\programme\ICQ6\ICQ.exe" [2008-11-26 177400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Outpost Security Suite"="d:\programme\Agnitum\Outpost Security Suite\outpost.exe" [2007-04-28 120832]
"OutpostFeedBack"="d:\programme\Agnitum\Outpost Security Suite\feedback.exe" [2007-04-27 348160]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 d:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 d:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Levelone Wireless Utility.lnk - d:\programme\LevelOne\Common\RaUI.exe [2008-11-26 585728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\ICQ6\\ICQ.exe"=

R0 videX32;videX32;d:\windows\system32\DRIVERS\videX32.sys [2008-11-26 9216]
R1 SandBox;SandBox;d:\windows\system32\DRIVERS\SandBox.sys [2008-11-26 378440]
R2 OutpostSecuritySuite;Outpost Security Suite Service;d:\programme\Agnitum\Outpost Security Suite\outpost.exe /service [2008-11-26 120832]
R3 ASWFilt;ASWFilt;d:\windows\system32\Filt\ASWFilt.dll [2008-11-26 31112]
R3 VBEngNT;VBEngNT;d:\windows\system32\DRIVERS\VBEngNT.sys [2008-11-26 798366]
R3 VBFilt;VBFilt;d:\windows\system32\Filt\VBFilt.dll [2008-11-26 156992]
S3 ADBLOCK.DLL;Outpost Security Suite PlugIn (ADBLOCK.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\ADBLOCK.DLL [2008-11-26 33600]
S3 ARP.DLL;Outpost Security Suite PlugIn (ARP.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\ARP.DLL [2008-11-26 17664]
S3 CONTENT.DLL;Outpost Security Suite PlugIn (CONTENT.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\CONTENT.DLL [2008-11-26 4928]
S3 DNSCACHE.DLL;Outpost Security Suite PlugIn (DNSCACHE.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\DNSCACHE.DLL [2008-11-26 14688]
S3 FTPFILT.DLL;Outpost Security Suite PlugIn (FTPFILT.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\FTPFILT.DLL [2008-11-26 9280]
S3 HTMLFILT.DLL;Outpost Security Suite PlugIn (HTMLFILT.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\HTMLFILT.DLL [2008-11-26 11584]
S3 HTTPFILT.DLL;Outpost Security Suite PlugIn (HTTPFILT.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\HTTPFILT.DLL [2008-11-26 13248]
S3 MAILFILT.DLL;Outpost Security Suite PlugIn (MAILFILT.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\MAILFILT.DLL [2008-11-26 14912]
S3 PROTECT.DLL;Outpost Security Suite PlugIn (PROTECT.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\PROTECT.DLL [2008-11-26 15232]
S3 SECRET.DLL;Outpost Security Suite PlugIn (SECRET.DLL);\??\d:\programme\Agnitum\Outpost Security Suite\kernel\SECRET.DLL [2008-11-26 13088]
.
.
------- Zusätzlicher Suchlauf -------
.
LSP: d:\programme\Agnitum\Outpost Security Suite\lspfilt.dll

O16 -: DirectAnimation Java Classes - file://d:\windows\Java\classes\dajava.cab
d:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://d:\windows\Java\classes\xmldso.cab
d:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-26 17:23:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


d:\windows\OP_CACHE.ATR 1128 bytes
d:\windows\OP_CACHE.IDX 564 bytes
d:\windows\system32\drivers\OP_CACHE.ATR 3120 bytes
d:\windows\system32\drivers\OP_CACHE.IDX 1560 bytes
d:\windows\system32\drivers\etc\OP_CACHE.ATR 24 bytes
d:\windows\system32\drivers\etc\OP_CACHE.IDX 12 bytes
d:\windows\system32\wbem\Logs\OP_CACHE.ATR 24 bytes
d:\windows\system32\wbem\Logs\OP_CACHE.IDX 12 bytes
d:\windows\system32\wbem\OP_CACHE.ATR 648 bytes
d:\windows\system32\wbem\OP_CACHE.IDX 324 bytes
d:\windows\system32\wbem\Performance\OP_CACHE.ATR 48 bytes
d:\windows\system32\wbem\Performance\OP_CACHE.IDX 24 bytes
d:\windows\system32\wbem\Repository\FS\OP_CACHE.ATR 168 bytes
d:\windows\system32\wbem\Repository\FS\OP_CACHE.IDX 84 bytes
d:\windows\system32\wbem\Repository\OP_CACHE.ATR 24 bytes
d:\windows\system32\wbem\Repository\OP_CACHE.IDX 12 bytes
d:\dokume~1\***\LOKALE~1\Temp\OP_CACHE.ATR 648 bytes
d:\dokume~1\***\LOKALE~1\Temp\OP_CACHE.IDX 324 bytes
d:\windows\system32\OP_CACHE.ATR 13656 bytes
d:\windows\system32\OP_CACHE.IDX 6828 bytes
d:\windows\Fonts\OP_CACHE.ATR 1872 bytes
d:\windows\Fonts\OP_CACHE.IDX 936 bytes
d:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OP_CACHE.ATR 24 bytes
d:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OP_CACHE.IDX 12 bytes
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\OP_CACHE.IDX 24 bytes
D:\OP_CACHE.ATR 24 bytes
D:\OP_CACHE.IDX 12 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ\235******\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ\235******\OP_CACHE.IDX 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ\BART\1024\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ\BART\1024\OP_CACHE.IDX 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\ICQ\OP_CACHE.IDX 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\OP_CACHE.IDX 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\OP_CACHE.IDX 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\OP_CACHE.ATR 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\OP_CACHE.IDX 12 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Protect\OP_CACHE.ATR 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Protect\OP_CACHE.IDX 12 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1801674531-2077806209-839522115-1003\OP_CACHE.ATR 48 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Protect\S-1-5-21-1801674531-2077806209-839522115-1003\OP_CACHE.IDX 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\OP_CACHE.ATR 24 bytes
d:\dokumente und einstellungen\***\Anwendungsdaten\OP_CACHE.IDX 12 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 46

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(968)
d:\programme\Agnitum\Outpost Security Suite\lspfilt.dll
.
Zeit der Fertigstellung: 2008-11-26 17:24:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-26 16:24:18

Vor Suchlauf: 8 Verzeichnis(se), 154.943.799.296 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 154,906,705,920 Bytes frei

167


Wenn es das jetzt war, dann hast du heute jemanden glücklich gemacht

Gruß Jonny

Das wars noch nicht ganz.

Frage:
Wie hast du dir die Infektion eingefangen?
Irgendwas runtergeladen oder einen Email-Anhang geöffnet?

Btw. bitte noch folgende Tools ausführen:

1.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

2.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

4.)
Kaspersky-Onlinescanner:


(Dieser Scanner entfernt die Funde nicht, aber gibt einen guten Überblick über evtl. noch vorhandene Infektionen)
Überprüfe Dein komplettes System mit dem Kaspersky-Onlinescanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Antivirenprogramm, Firewall, Script-Blocking, etc.) abstellen. Java muss aktiv und aktuell sein (Aktuell Java6 Update10). Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein (Bebilderte Anleitung von sundavis => Klick).

• Öffne den Browser und surfe Kaspersky-Onlinescanner an (Bei NoScript => Seite erlauben).
• Akzeptiere die Datenschutzerklärungen.
• Installiere die ggf. nötigen AktiveX-Steuerelemente.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Den Link "Arbeitsplatz" anklicken.
• Der Scan beginnt nun automatisch.
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen und auf dem Desktop als Kaspersky.txt abspeichern.
• Poste dann dessen Inhalt in Deine nächste Antwort.

Deinstallation:
Den Scanner brauchst Du nicht deinstallieren, denn er legt die kompletten Daten hier ab
=> C:\Dokumente und Einstellungen\%Benutzername%\Lokale Einstellungen\Temp\jkos-%Benutzername%
Den Ordner kannst Du entweder manuell leeren oder mit dem CCleaner.