HALLO BIN NEUE HIER!

ICH HABE DEN TROJANER TR/DROPPER.GEN FÜNF MAL AUF MEINEM COMPUTER HATTE AUCH SCHON NACH SYS DATEIEN GESUCHT DIE GENANNT WURDEN ICH POSTE EUCH EINFACH MAL MEINEN HijackThis LOGFILE;;;

DANKE SCHON MAL IM VORAUS WENN IHR MIR HELFEN KÖNNT ICH KOMM NICHT WEITER



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:09, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\koeyaeg.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [koeyaeg] "c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\koeyaeg.exe" koeyaeg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 4793 bytes

Hallo und

Ich weiß jetzt nicht warum ich gerade auf diesen Text komme.

Tagebuch eines AOL Users

Zitat:

18. Juli - Ich hab gerade versucht, mich mit AOL zu verbinden. Ich habe gehört, es ist
der beste online Service. Es gibt sogar eine Gratis-CD! Ich hebe sie besser
auf, für den Fall, dass ich keine mehr bekomme. Ich kann mich aber nicht
verbinden. Ich weiss nicht, was nicht geht.

19. Juli - Der Typ beim Tech Support sagt, mein Computer braucht ein Modem. Ich seh nicht
ein, wozu. Der Kerl will mich verarschen. Wie blöd glaubt der, dass ich bin?

22. Juli - Also gut, ich hab mir so'n Modem gekauft. Ich komm aber nicht drauf,
wo's reingehört. Es passt weder in den Bildschirm noch in den Drucker.

23. Juli - Ok, Modem steckt drin. Der 9jährige von nebenan hat's gemacht. Aber's geht
immer noch nicht. Ich kann nicht 'online' gehen.

25. Juli - Der 9jährige hat mich jetzt mit AOL verbunden. Er ist um Längen cleverer
als der Typ, der mir das Modem angedreht hat. Der hat kein Wort über
Kommunikationssoftware verloren. Wette, der hat keinen Schimmer davon gehabt.
Und warum gibt's da 2 Telefonkabelbuchsen auf der Rückseite vom Modem wenn
man nur eine braucht? Ausserdem klingt der Wählton echt beknackt.
Diese Modemhersteller sind echt blöd. Sogar der Kleine hat's am Ton gemerkt.

26. Juli - Was issn das Internet? Ich hab geglaubt, ich bin bei AOL. Nicht beim Internet.
Jetzt bin ich'n bisserl durcheinander.

27. Juli - Der 9jährige hat mir jetzt dieses AOL Zeugs gezeigt. Der muss echt ein Genie
sein. Ich hab's ihm gesagt. Er sagt, verglichen mit mir is er's. Bengel.

28. Juli - Ich hab's heute mit 'nem 'chat' probiert. Ich hab praktisch in den Computer
gebrüllt, aber nix ist angekommen. Vielleicht brauch ich'n Mikrophon.

29. Juli - Ich hab jetzt das 'usenet' gefunden. Wo bin ich jetzt? AOL, Internet oder
usenet? Ich bin aus dem usenet wieder ausgestiegen, schliesslich bin ich bei
AOL, nicht usenet.

30. Juli - Diese Leute im usenet schaffen's irgendwie, alles in Grossbuchstaben zu
schreiben. Wie machen die das? Haben die'ne andere Tastatur?

31. JULI - ICH HABE DEN COMPUTERHERSTELLER ANGERUFEN UND MICH BESCHWERT, DASS ICH KEINE
GROSSBUCHSTABENTASTEN HAB. DER HAT GESAGT ES IST DIE 'CAPS LOCK' TASTE.
WARUM STEHT NICHT 'GROSSBUCHSTABEN' DRAUF? AUSSERDEM IST MEINE EINE SHIFT-TASTE
GRÖSSER ALS DIE ANDERE. ER MEINT, DAS IST'N STANDARD. ICH HAB GESAGT, ICH WILL
KEIN STANDARDTEIL, FÜR DEN PREIS DEN ICH GEZAHLT HAB VERLANG ICH WAS BESSERES.
MUSS EINE WICHTIGE BESCHWERDE GEWESEN SEIN, ICH HAB GEHÖRT WIE ER ANDERE
MITARBEITER ZUM GESPRÄCH HINZUGERUFEN HAT.

1. AUGUST - ICH HABE DAS 'USENET ORAKEL' GEFUNDEN. BEHAUPTET, ALLE FRAGEN DER WELT
BEANTWORTEN ZU KÖNNEN. ICH HABE 44 ANFRAGEN GESCHICKT.

2. AUGUST - ICH HABE EINE GRUPPE 'REC.HUMOR. GEFUNDEN. ICH HABE DEN 'CHICKEN CROSSES
THE ROAD' WITZ HINGESCHICKT. ICH WAR NICHT SICHER, OB ICH ALLES RICHTIG
GEMACHT HAB, ALSO HAB ICH'S SICHERHEITSHALBER NOCH 56 MAL GESCHICKT.

3. AUGUST - ICH HÖRE IMMER WIEDER VOM WORLD WIDE WEB. HÄTTE NIE GEDACHT,
DASS SPINNEN SO GROSS WERDEN.

4. AUGUST - DAS ORAKEL HAT GEANTWORTET. WAR DAS UNHÖFLICH!!! ICH WAR SO SAUER,
DASS ICH EINE RECHT UNFREUNDLICHE POST AN REC.HUMOR.ORACLE GESCHICKT
HAB. UM SICHERZUGEHEN, HAB ICH SIE 34 MAL GESCHICKT.

5. AUGUST - EINER HAT GESAGT, ICH SOLL DAS 'FAQ' LESEN.
ALSO, UNHÖFLICH BRAUCHEN DIE NICHT WERDEN!

6. AUGUST - EINER DIESER IDIOTEN HAT GESAGT, ICH SCHREI DIE GANZE ZEIT.
WAS FÜR'N IDIOT, ICH SCHREI NICHT. ICH REDE NOCH NICHT MAL!
ICH TIPPE NUR! WER LÄSST DIESE ARSCH... INS INTERNET?

7. August - Wozu gibt's eine Caps-Lock Taste, wenn man sie nicht benutzen soll?
Ist wahrscheinlich nur so'n Extra das nix bringt, das man aber bezahlen muss.

8. August - Ich hab grad 'nen Brief mit 'Make Money Fast' bekommen. Ich bin echt aufgeregt,
dass sich jemand so über mich Gedanken macht!! Ich werd echt bald stinkreich
werden, schicke dem das Geld und poste das Ganze in alle Newsgrops
die ich kenne!

9. August - Ich hab jetzt ein signature file. Ist nur knapp 6 Seiten lang,
da muss ich noch dran arbeiten.

10. August - Ich hab gerade die NG alt.aol.sucks gelesen. Echt, nach ein paar dieser
Posts bin ich echt dafür, dass man aol von dieser Welt vertilgen und
auslöschen soll. Ich frag mich nur was ein aol ist.

11. August - Ich hab mal gefragt, wo man Informationen herbekommt. Jemand sagte,
ich soll mal ftp.netcom.com anschauen. Ich hab gesucht, aber die
Newsgroup gibt's einfach nicht. Vielleicht wollt mich der verarschen.

12. August - Ich habe eine Nachricht an alle usenet Gruppen geschickt und gefragt
wo die ftp.netcom.com NG ist. Hoffentlich hilft mir wer. Die Typen
auf rec.humor haben meinen Witz nicht lustig gefunden.
Wahrscheinlich stehen die nur auf zweideutige Witze. Ein paar haben
sich über die 56 postings aufgeregt und echt schlimme Worte benutzt.

13. August - Ich hab meine Anfrage über ftp.netcom.com wiederholt. Ich habe gestern
nämlich vergessen mein neues Signaturfile anzuhängen. Das ist jetzt
8 Seiten lang. Ich bin mir sicher, jeder wird mein Lieblingsgedicht
genauso faszinierend finden wie ich. Sobald ich Zeit hab, werd ich
meine Lieblingsgeschichte als Sigfile abtippen.

14. August - Irgend so ein Spinner hat mich angerufen und gesagt, er sperrt meinen
Account weil ich mich so aufführ. Ich hab nachgeschaut, account heisst
Konto. Ich hab bei dem kein Konto. So ein Trottel. Aber mein Internet
geht jetzt nicht mehr. Ich frag mich, warum...

Jetzt wieder ernsthaft:

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:

Code: Alles auswählenAufklappen

ATTFilter

Java (veraltet)
Ad-Aware (Schrott)
         

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [koeyaeg] "c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\koeyaeg.exe" koeyaeg
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
         

=> Fix checked.

3.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

JA DANKE HAB ALLES AUSGEFÜHRT HIER DER FIXNAVI.TXT.



Search Navipromo version 3.7.1 began on 25.01.2009 at 19:11:03,65

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.93GHz )
BIOS : Version 5.00 R1.09.2190
USER : Besitzer ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)


C:\ (Local Disk) - NTFS - Total:149 Go (Free:104 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Besitzer\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Besitzer\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

HKEY_CURRENT_USER\Software\Lanconfig

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" :

cequcqw.dat found !
cequcqw_nav.dat found !
cequcqw_navps.dat found !
koeyaeg.exe found !
koeyaeg.dat found !
koeyaeg_nav.dat found !
koeyaeg_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 25.01.2009 at 19:13:25,26 ***

1.) Rufe das Programm bitte erneut auf und wähle die Option 2

• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.

2.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

hier erst mal das posting von der neuen hijackthis.exe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:02, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\NurAerger.com

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 3984 bytes


hier das posting von Malwarebytes antimalware

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1692
Windows 5.1.2600 Service Pack 3

25.01.2009 21:44:29
mbam-log-2009-01-25 (21-44-19).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 93444
Laufzeit: 25 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Performance Center (Rogue.PCSpeedScan) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{9E44EC51-6CB9-4DF3-9C4E-899F721BFCA0}\RP77\A0014269.exe (Rogue.AscentivePerformance) -> No action taken.

und hier das von superspyware

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 01/25/2009 at 09:06 PM

Application Version : 4.25.1012

Core Rules Database Version : 3728
Trace Rules Database Version: 1699

Scan type : Complete Scan
Total Scan Time : 00:39:59

Memory items scanned : 443
Memory threats detected : 0
Registry items scanned : 4673
Registry threats detected : 1
File items scanned : 52525
File threats detected : 41

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@cms.trafficmp[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@traffictrack[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.net2day[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.zanox-affiliate[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@weborama[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@count.spring[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.zanox[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@cgi-bin[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@statse.webtrendslive[4].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@apmebf[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@2o7[5].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adtech[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.evendi[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.salebroker[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@zanox[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@de2.komtrack[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.ambiweb[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.heias[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adultfriendfinder[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@count.xhit[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@pcwelt[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad1.king[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@komtrack[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.etracker[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@indextools[4].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-2052111302-1677128483-725345543-1003\Software\fcn

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE