OK, habs gemacht, hier die Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" found!
ImagePath:  \systemroot\system32\drivers\ovfsthlvbwukhrmowqjnpxeuthxroppiemygea.sys 
Start Type:  1 (System)

Rootkit scan completed.

File "c:\windows\system32\drivers\ovfsthlvbwukhrmowqjnpxeuthxroppiemygea.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Terminate hört sich doch ganz gut an oder?

Lass Avenger so wie eben laufen, nur aber diesmal dieses hier in die Code Box von The Avenger reintun.

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy
HKLM\SYSTEM\ControlSet002\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy
HKLM\SYSTEM\ControlSet003\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy
HKLM\SYSTEM\ControlSet004\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy
         

OK, hier erneute Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" deleted successfully.

Error:  registry key "HKLM\SYSTEM\ControlSet001\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet002\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" deleted successfully.

Error:  registry key "HKLM\SYSTEM\ControlSet003\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKLM\SYSTEM\ControlSet004\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\ovfsthbwrrwapbardkmvimkkwnkxvnsdogvquy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Ja jetzt ist er erledigt

Combofix deinstallieren:
Start => Ausführen => combofix /u => OK

Lass nochmal SUPERAntiSpyware laufen. Danach nochmal ein neues HijackThis Log.

So, hat jetzt knapp 2 Std. gedauert aber er ist fertig geworden und hat auch was gefunden, hier die Log vom Super AP:

Code Tags

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 05/03/2009 at 04:46 PM

Application Version : 4.26.1002

Core Rules Database Version : 3875
Trace Rules Database Version: 1823

Scan type       : Complete Scan
Total Scan Time : 01:54:45

Memory items scanned      : 394
Memory threats detected   : 0
Registry items scanned    : 4756
Registry threats detected : 3
File items scanned        : 148244
File threats detected     : 1

Trojan.Sino-PWS/Gen
	HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BA40A2-74F0-42BD-F434-12345A2C8953}
	HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BA40A2-74F0-42BD-F434-12345A2C8953}

Rogue.Component/Trace
	HKU\S-1-5-21-2025429265-1078081533-839522115-1003\Software\Microsoft\FIAS4057

Rogue.FakeAlert/Wallpaper
	C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\5CMT0AEX\WARNING[1].GIF
         

Ich kam nicht drum und "musste" es löschen, bitte sagt mir ob ich versehentlich was falsches gelöscht habe.

Und: Verträgt der Super AS sich mit AV und CCleaner und vor allem mit TuneUp? Wäre wirklich gut zu wissen und ich denke ihr habt da schon mehr als eine Erfahrung gesammelt.

Und hier der HJT Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:41, on 03.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4942 bytes
         

Nein nein ist schon richtig so das zu löschen

Ich würde dir Malwarebytes mit Avira 9 Kombination empfehlen, aber dazu sind die Meinung sehr unterschiedlich. Zusätzlich würde ich Avira auf die agressive Einstellung stellen.
Hier: http://www.trojaner-board.de/54192-a...tellungen.html


Was sagt eigentlich dein Avira, meckert er noch rum?
Wie geht es dem PC allgemein?
Hast Du das Gefühl ihm geht es wieder besser?

Fixe bei deinem HJT Log bitte folgendes per "Do a System Scan Only" und setze die Haken vor den Einträgen die aufgelistet werden.
Fixe:

Zitat:

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

Danach auf "Fix Checked" gehen.

Downloade dir ICQ 6.5 das ist das Neuste und Aktuellste.

Hallo, sorry war arbeiten und konnte nicht zurückschreiben.

Meinem PC ging es schon nach den ersten Eingriffen welche durch deine Tipps und Hilfen kamen (auch mir ging es besser )

Leider meldet mir Av erneut einen Virus gefunden zu haben: GEN/PwdZIP heußt der Übeltäter und versteckt sich unter einem ähnlichen/gleichen? Namen wie der vorherige. Ich lasse grade nochmal durchlaufen, hoffe er findet nicht noch mehr :-(

Und: Ein weiteres Problem ist immer noch das Herunterfahren! Er fährt zwar runter, muss aber von der Stromzufuhr abgestellt werden, anders geht er nicht aus. Weißt du da vielleicht noch was? Oder jemand anders?

Hast du das andere durchgeführt mit dem fixen und dem Download von ICQ6.5?

Ne, AV ist noch am Scannen! Und ich meine man kann ja nicht beides laufen lassen oder? Auf jeden Fall hat er noch 2 weitere gefunden, 1 ist auch der welchen wir heute MIttag so mühselig entfernt haben

ICQ kann ich eigentlich ganz löschen, nutze es schon länger nicht mehr, aber wenn dann installiere ich mir 6,5

Bitte zeige dann ein Logreport von Avira. Wenn Avira mit dem Scan fertig ist.

Gerade fertig geworden:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 3. Mai 2009  20:50

Es wird nach 1373854 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : **

Versionsinformationen:
BUILD.DAT      : 9.0.0.394     17962 Bytes  17.04.2009 11:13:00
AVSCAN.EXE     : 9.0.3.5      466689 Bytes  28.04.2009 09:15:31
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 10:30:36
ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 18:33:26
ANTIVIR2.VDF   : 7.1.3.137   1810944 Bytes  30.04.2009 09:35:30
ANTIVIR3.VDF   : 7.1.3.141     21504 Bytes  02.05.2009 10:14:21
Engineversion  : 8.2.0.160
AEVDF.DLL      : 8.1.1.1      106868 Bytes  01.05.2009 09:35:30
AESCRIPT.DLL   : 8.1.1.79     385403 Bytes  01.05.2009 09:35:30
AESCN.DLL      : 8.1.1.10     127348 Bytes  26.04.2009 08:35:09
AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 16:24:41
AEPACK.DLL     : 8.1.3.14     397685 Bytes  26.04.2009 08:35:09
AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 18:01:56
AEHEUR.DLL     : 8.1.0.122   1737080 Bytes  26.04.2009 08:35:09
AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 18:01:56
AEGEN.DLL      : 8.1.1.39     348532 Bytes  26.04.2009 08:35:07
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 12:32:40
AECORE.DLL     : 8.1.6.9      176500 Bytes  26.04.2009 08:35:07
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 12:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 09:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 12:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  28.04.2009 09:15:31
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 09:41:16
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  28.04.2009 09:15:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Sonntag, 3. Mai 2009  20:50

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '117078' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Erde>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn4.zip
    [FUND]      Enthält verdächtigen Code GEN/PwdZIP
C:\Dokumente und Einstellungen\**\Desktop\**\Programme\Clone DVD + AnyDVD  +Crack & Serial.rar
  [0] Archivtyp: RAR
    --> Clone DVD + AnyDVD  +Crack & Serial\AnyDVD\SetupAnyDVD2004.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Agent.1097464.A
    --> Clone DVD + AnyDVD  +Crack & Serial\Clone DVD\CloneDVD1.3.10.1.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\**\Desktop\**\Programme\WinAVI.Video.Converter.v7.7.Incl.KeyGen.rar
  [0] Archivtyp: RAR
    --> cr-wvc77.zip
      [1] Archivtyp: ZIP
      --> keygen.exe
        [FUND]      Ist das Trojanische Pferd TR/Agent.93184.M
C:\System Volume Information\_restore{C726063F-8258-462B-A27B-46B5077957FD}\RP1\A0000010.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\ovfsthfhlyepdyyhipxxukhupvssrkaqqxsojx.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\ovfsthwciametbbmuwejfpfyqxhlttwkimxqpx.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVNRMQRY\cd[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVNRMQRY\lsp[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn4.zip
    [FUND]      Enthält verdächtigen Code GEN/PwdZIP
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6fff40.qua' verschoben!
C:\Dokumente und Einstellungen\**\Desktop\**\Programme\Clone DVD + AnyDVD  +Crack & Serial.rar
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6cff43.qua' verschoben!
C:\Dokumente und Einstellungen\**\Desktop\**\Programme\WinAVI.Video.Converter.v7.7.Incl.KeyGen.rar
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6bff41.qua' verschoben!
C:\System Volume Information\_restore{C726063F-8258-462B-A27B-46B5077957FD}\RP1\A0000010.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2dff08.qua' verschoben!
C:\WINDOWS\system32\ovfsthfhlyepdyyhipxxukhupvssrkaqqxsojx.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a63ff4f.qua' verschoben!
C:\WINDOWS\system32\ovfsthwciametbbmuwejfpfyqxhlttwkimxqpx.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be3b638.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVNRMQRY\cd[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a58ff3d.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVNRMQRY\lsp[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6dff4c.qua' verschoben!


Ende des Suchlaufs: Sonntag, 3. Mai 2009  22:30
Benötigte Zeit:  1:39:20 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7402 Verzeichnisse wurden überprüft
 464812 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      8 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 464802 Dateien ohne Befall
   2782 Archive wurden durchsucht
      1 Warnungen
      9 Hinweise
 117078 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Zitat:

C:\Dokumente und Einstellungen\**\Desktop\**\Programme\Clone DVD + AnyDVD +Crack & Serial.rar
[0] Archivtyp: RAR
--> Clone DVD + AnyDVD +Crack & Serial\AnyDVD\SetupAnyDVD2004.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.1097464.A
--> Clone DVD + AnyDVD +Crack & Serial\Clone DVD\CloneDVD1.3.10.1.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\**\Desktop\**\Programme\WinAVI.Video.Converter.v7.7.Incl.KeyGen.rar
[0] Archivtyp: RAR
--> cr-wvc77.zip
[1] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.93184.M

Soso. Keygen also.
Ich bin raus. Schönen Abend noch.

Hier eine Anleitung zum Neuaufsetzen des Systems: http://www.trojaner-board.de/51262-a...sicherung.html

Heißt das man kann das nicht mehr reparieren? Also so wie wir es heute Nachmittag gemacht haben?
Was den Key angeht, die Daten sind schon ein paar Jahre alt, ich habe sie irgendwann mal bekommen aber so weit ich weiß nie installiert/gebraucht.

OK, habe grade AV nochmal durchlaufen lassen und es wurde nix gefunden! Lasse morgen noch alle andern Programme drüberlaufen. Wie sicher kann ich mir jetzt sein, dass da wirklich nix mehr ist???

Mein größtes Problem ist zur Zeit (außer der Unsicherheit), dass der PC nicht ausgeht, nachdem er heruntergefahren wurde. Weiß da vielleicht einer rat? Über Hilfe würde ich mich freuen!