Ein herzliches Hallo an alle Experten hier im Forum.
Mein Laptop benimmt sich schon eine Weile seltsam (beim Booten schaltet sich Antivir für einen Moment inaktiv: "Schirmchen geschlossen"). Ich habe Antivir Personal Edition immer auf dem neuesten Stand, scanne regelmäßig mit housecall.trendmicro.com, bin aber anscheinend doch nicht vorsichtig genug.
Gestern meldete Antivir WÄHREND des trendmicro-scans die Entdeckung eines Trojaners (TR/Crypt.XPACK.Gen).
Die Datei wird immer wieder erzeugt, auch nach Löschen/Verschieben in Quarantäne.
Trojan Hunter, Malwarebytes, trendmicro: kein Scanner findet den Trojaner. Die Meldung mit dem Fund kommt nur über Antivir, und auch nur, wenn der trendmicro-scan läuft.

Ich habe hier ein aktuelles Logfile von HijackThis - und hoffe, es kann jemand helfen. In den anderen Threads zu diesem Mist-Teil habe ich nichts gefunden, was hilft -der scheint ja wohl immer verschiedene Probleme zu verursachen.
Viele Grüße!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:49, on 22.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TrojanHunter 5.0\THGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 4276 bytes

Starte bitte mal Avira-->Berichte-->
Und poste mir den Letzten Bericht wo der Trojaner gefunden wurde

MalwareBytes Bericht bitte posten wenn du ihn nicht mehr hast bitte nochmal laufen lassen
SuperAntiSpyware herunter laden und nach Anleitung laufen lassen

Nächster Post
File MBAM
File SuperAntiSpyware
Fund von Avira

Hi Gentlman,
erstmal vielen Dank, dass Du antwortest! Hat eine Weile gedauert, alles durchlaufen zu lassen.


1. Avira:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Dokumente und Einstellungen\Internet-Dummy\Lokale Einstellungen\Temp\VS26JHU6.80T.
Action performed: Delete file

Der zweite Fundort ist "C:\Dokumente und Einstellungen\GMR\Lokale Einstellungen\Temp\"

Hab halt zwei User auf dem Rechner eingerichtet - GMR ist Admin, Internet-Dummy mit eingeschränkten Rechten.

=========
2. MalwareBytes Report/Log von gestern sieht quasi genauso aus (unter Admin), hier der aktuelle unter "Internet-Dummy":

Malwarebytes' Anti-Malware 1.34
Database version: 1789
Windows 5.1.2600 Service Pack 3

22.02.2009 15:18:13
mbam-log-2009-02-22 (15-18-13).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 125738
Time elapsed: 25 minute(s), 6 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


============
3. Hier der Report von SuperAntiSpyware, die gemeldeten Items habe ich in Quarantäne verschieben lassen:


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/22/2009 at 04:01 PM

Application Version : 4.25.1012

Core Rules Database Version : 3769
Trace Rules Database Version: 1729

Scan type : Complete Scan
Total Scan Time : 00:30:18

Memory items scanned : 396
Memory threats detected : 0
Registry items scanned : 4219
Registry threats detected : 0
File items scanned : 19981
File threats detected : 23

Adware.Tracking Cookie
.doubleclick.net [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.atdmt.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
statse.webtrendslive.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.revsci.net [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.revsci.net [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.revsci.net [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.revsci.net [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
eas.apm.emediate.eu [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
eas.apm.emediate.eu [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.hamburgerabendblatt.122.2o7.net [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.adtech.de [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.mediaplex.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.mediaplex.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.mediaplex.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.komtrack.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.komtrack.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.apmebf.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.zanox-affiliate.de [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]
.tribalfusion.com [ C:\Dokumente und Einstellungen\Internet-Dummy\Anwendungsdaten\Mozilla\Firefox\Profiles\f51axppn.default\cookies.txt ]

Nur Cookies

Bitte immer alles als Admin ausführen

Start-->Ausführen-->cleanmgr(reinschreiben)
Häckchen bei-->Übertragbare Datein;Temporäre Internetdatein;Papierkörb;Temporäre Datein--->OK

Lösche dein CACHE in deine(n) Browser(n)

Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Vollständiger Scan mit deinem AntiVir Programm

Beide Files Posten

Hi Gentlman,
der erste Scan von F-Secure ist am Ende abgeschmiert, musste ein zweites Mal scannen. Internetverbindung und PC total lahm. Naja: hier der (ergebnislose) Report von F-Secure online scan. Er meint, keine Malware gefunden.
Antivir-Scan läuft grad noch. Dachte, ich geb mal 'n Ton ab. Report folgt asap.
Viele Grüße!
===========
Scanning Report
Sunday, February 22, 2009 17:07:45 - 17:37:40

Computer name: ACER-P*********
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 0 malware found
Statistics
Scanned:

* Files: 28785
* System: 2828
* Not scanned: 6

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

* F-Secure USS: 3.0.0
* F-Secure Hydra: 3.6.8511, 2009-02-21
* F-Secure AVP: 7.0.171, 2009-02-21
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure Blacklight: 0.0.0

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created
(....copyright zeugs, gelöscht)

Nun hier der Avira Report:

============
Avira AntiVir Personal
Report file date: Sonntag, 22. Februar 2009 17:44

Scanning for 1258799 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: ACER-PZDV2AMELZ

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:28
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26.05.2008 07:56:42
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:20
LUKERES.DLL : 8.1.4.0 12033 Bytes 26.05.2008 07:58:54
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:47:04
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 14:56:08
ANTIVIR3.VDF : 7.1.2.59 9728 Bytes 21.02.2009 16:42:40
Engineversion : 8.2.0.87
AEVDF.DLL : 8.1.1.0 106868 Bytes 02.02.2009 07:14:32
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 18.02.2009 18:47:10
AESCN.DLL : 8.1.1.7 127347 Bytes 18.02.2009 18:47:10
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:40
AEPACK.DLL : 8.1.3.8 397684 Bytes 18.02.2009 18:47:08
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 23.12.2008 10:54:32
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 21.02.2009 14:56:12
AEHELP.DLL : 8.1.2.0 119159 Bytes 23.12.2008 10:54:30
AEGEN.DLL : 8.1.1.20 336245 Bytes 21.02.2009 14:56:08
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:58
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 18:47:06
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:58
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:06
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:28:02
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:16
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:42
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:24
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:50
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:42
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:12
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:48:08
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:34:38

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: quarantine
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: Sonntag, 22. Februar 2009 17:44

Starting search for hidden objects.
'42586' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'FIREFOX.EXE' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'NCLAUNCH.EXe' - '1' Module(s) have been scanned
Scan process 'CTFMON.EXE' - '1' Module(s) have been scanned
Scan process 'THGuard.exe' - '1' Module(s) have been scanned
Scan process 'AVGNT.EXE' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'SynTPLpr.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'CPLBCL53.EXE' - '1' Module(s) have been scanned
Scan process 'AGRSMMSG.EXE' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'ATIPTAXX.EXE' - '1' Module(s) have been scanned
Scan process 'Tablet.exe' - '1' Module(s) have been scanned
Scan process 'TabUserW.exe' - '1' Module(s) have been scanned
Scan process 'EXPLORER.EXE' - '1' Module(s) have been scanned
Scan process 'ALG.EXE' - '1' Module(s) have been scanned
Scan process 'Tablet.exe' - '1' Module(s) have been scanned
Scan process 'E_S00RP2.EXE' - '1' Module(s) have been scanned
Scan process 'AVGUARD.EXE' - '1' Module(s) have been scanned
Scan process 'SCHED.EXE' - '1' Module(s) have been scanned
Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'ATI2EVXX.EXE' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
36 processes with 36 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '58' files ).


Starting the file scan:

Begin scan in 'C:\' <ACER>
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <ACERDATA>


End of the scan: Sonntag, 22. Februar 2009 18:10
Used time: 26:13 Minute(s)

The scan has been done completely.

4326 Scanning directories
163656 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
163655 Files not concerned
6264 Archives were scanned
1 Warnings
0 Notes
42586 Objects were scanned with rootkit scan
0 Hidden objects were found

Dear all im Forum:
der Fund wird nach wie vor gemeldet, gleiches Verzeichnis wie unten angegeben. (Ausführen von online scan bei Trendmicro, dann poppt Avira auf)

Hatte vorhin alle Anweisungen von Gentlman befolgt, Meldungen waren immer "kein Fund": bin nun ratlos, was tun? System ist langsam, aber oberflächlich stabil. Neu aufsetzen, oder hat noch irgendwer 'ne Idee, wie ich das Ding wegkriegen kann?

Brauche dringend einen unverseuchten PC - in meiner Firma sieht's nicht so rosig aus, muss Bewerbungen absetzen - aber lieber unbefallen... ich glaube, man macht sich bei einem potentiellen Arbeitgeber nicht grad Freunde, wenn der erste Kontakt mit einem Trojaner im Gepäck kommt...
Please help - vielen Dank & viele Grüße!

Hallo
Sorry für die verspätete Antwort

Rechtsklick auf START-->Explorer-->Extras-->Ordneroptionen -->den Reiter "Ansicht" -->Versteckte Dateien und Ordner-->"alle Dateien und Ordner"aktivieren-->und--> Extras-->Ordneroptionen-->den Reiter "Ansicht"-->Dateien und Ordner-->geschützte Systemdateien ausblenden(empfohlen)"deaktivieren

Start-->Ausführen-->cleanmgr(reinschreiben)
Häckchen bei-->Übertragbare Datein;Temporäre Internetdatein;Papierkörb;Temporäre Datein--->OK
Start-->Ausführen-->%temp%(reischreiben)
Damit werden die Temporären Datein in C:\Dokumente und Einstellungen.... bereinigt(manuell ausführen)
Verwendete Datein können nicht gelöscht werden
Danach bitte den Papierkorb leeren

Lösche bitte Alle Quarantäne-Ordner

Lade dir bitte CCleaner herunter und nach Anleitung ausführen
F-Secure
Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Kaspersky - Onlinescanner
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
dank an Jig Saw

Alle 3 Files posten

Hallo Gentlman,
wie angekündigt hat's ein bisschen gedauert.
Aber nun liegen die Reports vor - fast. F-Secure, Kaspersky und Panda sind alle problemlos durchgelaufen. Nur ließ sich bei Panda kein Report speichern - das hier fehlte: "Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt." - kein Text-Icon zu finden, nur die Meldung, dass kein Fund vorliegt. Hab zu spät an einen Screenshot gedacht.

Ich freu mich, wenn Du nochmal Zeit findest, darauf einen Blick zu werfen -
viele Grüße, thecat


==============
F-Secure:
Scanning Report
Wednesday, February 25, 2009 21:14:34 - 21:39:19

Computer name: ACER-P*******
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 0 malware found
Statistics
Scanned:

* Files: 23145
* System: 2808
* Not scanned: 6

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

* F-Secure USS: 3.0.0
* F-Secure Hydra: 3.6.8511, 2009-02-25
* F-Secure AVP: 7.0.171, 2009-02-25
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure Blacklight: 0.0.0

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure (...)

========================

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 25. Februar 2009 22:40:26
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 25/02/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1664584
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 54220
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:38:46

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\pfirewall.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\GMR\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP123\change.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP123\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.