1.) Deinstalliere (falls möglich):

• Apple Software Update

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
SASKUTIL

RegNull::
[HKEY_USERS\S-1-5-21-1708537768-1390067357-725345543-500\RemoteAccess\Profile\x	*]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
c:\programme\Apple Software Update

File::
c:\temp\quazal.log
c:\temp\gpgnet0.log

DirLook::
c:\programme\Gemeinsame Dateien\Macromedia
c:\programme\Macromedia
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

ist unter software nicht aufgelistet

Zitat:

Deinstalliere (falls möglich):

Dann weitermachen.

ciao, andreas

http://www.materialordner.de/fxpHROFR3J57As1OR6qqd28HuygahPf.html

Das sieht doch fast schon gut aus. Wie geht es dem Rechner?

1.) Packe den kompletten Ordner C:\Qoobox mit Winrar, lade die Rar-Datei bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

2.) Dein Firefox ist verseucht. Arbeite diese Liste ab: http://www.trojaner-board.de/411645-post19.html

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

danke der nachfrage!
der rechner startet merklich schneller, der abschied fällt ihm allerdings schwerer...ab und zu eine meldung von avira, dass ein trojananer gefunden wurde. wenn option löschen ausgewählt wird ist ruhe.
vielen dank inzwischen, ich melde mich dann wieder!

beim packen kamen meldungen von avira:
TR/Rootkit.Gen
TR/PCK.Tdss.F.264
TR/PCK.Tdss.F.2060
TR/PCK.Tdss.F.2061
TR/PCK.Tdss.F.2062
TR/PCK.Tdss.F.2164

Ignorieren.

ciao, andreas

zu punkt 2:

alles funktioniert, regseeker hat zwei einträge nach acht durchgängen und löschungen immer wieder angezeigt.
firefox läuft auch wieder

Kommen noch Meldungen vom AVP?

ciao, andreas

keine meldungen von avira!

hier der kaspersky txt:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 11. Mai 2009 23:04:48
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 11/05/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1957970
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
J:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 121338
Viren gefunden: 2
Infizierte Objekte gefunden: 2
Verdächtige Objekte gefunden: 13
Untersuchungszeit: 03:51:26

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\eiliger Bescheid.eml/[From "ERSTE SPARKASSE" <online-num7903011637sp@sparkasse.at>][Date 23 Dec 2007 10:29:29][Subj eiliger Bescheid]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\eiliger Bescheid.eml Mail: verdächtig - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Erste Sparkasse Online Banking nachrichtenzahl KR544937798E.eml/[From "sparkasse" <refnummer-id5681504sp@sparkasse.at>][Date 23 Dec 2007 22:34:21][Subj Erste Sparkasse: Online-Banking (nachrichtenzahl: KR544937798E)]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Erste Sparkasse Online Banking nachrichtenzahl KR544937798E.eml Mail: verdächtig - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay <member@ebay.com>][Date 18 Jun 2007 12:10:46][Subj Question from eBay member]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay <member-jack14@ebay.com>][Date 30 May 2007 19:22:43][Subj Question from eBay member]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From "ERSTE SPARKASSE" <online-num7903011637sp@sparkasse.at>][Date 23 Dec 2007 10:29:29][Subj eiliger Bescheid]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From "sparkasse" <refnummer-id5681504sp@sparkasse.at>][Date 23 Dec 2007 22:34:21][Subj Erste Sparkasse: Online-Banking (nachrichtenzahl: KR544937798E)]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Gelöschte Objekte.dbx MailMSOutlook5: verdächtig - 4 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Question from eBay member(1).eml/[From eBay <member-jack14@ebay.com>][Date 30 May 2007 19:22:43][Subj Question from eBay member]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Question from eBay member(1).eml Mail: verdächtig - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Question from eBay member.eml/[From eBay <member@ebay.com>][Date 18 Jun 2007 12:10:46][Subj Question from eBay member]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{223BE43E-60C3-4262-9AC4-0461281B968A}\Microsoft\Outlook Express\Question from eBay member.eml Mail: verdächtig - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCB09.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\77dc257c8085ce3a754951c1da99c344_6f191c99-bc8f-4397-a113-7fd64ef959ef Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7bf4ed8687410435bfe157ef0351d16e_6f191c99-bc8f-4397-a113-7fd64ef959ef Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b06052e56ebeea81bb52e4eeea3ae11a_6f191c99-bc8f-4397-a113-7fd64ef959ef Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\e3ceb233ab009f30ca7a56f5fb001fc7_6f191c99-bc8f-4397-a113-7fd64ef959ef Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{DFA68C92-D9CD-403E-BFC4-6F8917522374}\RP41\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_360.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
J:\Musikfestplatte\Music\03 Track 3.wma Infizierte Objekte: Trojan-Downloader.WMA.Wimad.l übersprungen
J:\Musikfestplatte\Music\Eighties classic.wma Infizierte Objekte: Trojan-Downloader.WMA.Wimad.l übersprungen
J:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
J:\System Volume Information\_restore{DFA68C92-D9CD-403E-BFC4-6F8917522374}\RP41\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Du hast einige verseuchte Emails. Lösche die bitte oder besser, weiche auf eine Alternative wie Mozilla Thunderbird auf Deutsch | Mozilla Europe aus.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Da mir der Kasper zuviel gefunden hat, jagen wir noch drei hinterher:
CureIT Dr.Web

• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

4.) Überprüfe den Rechner mit PrevXCSI. Poste einen Screenshot falls etwas gefunden wird.

ciao, andreas

hier die meldung von DrWeb:

ComboFix.exe/data002\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Administrator\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Administrator\Desktop;Container enthält infizierte Objekte;;
03 Track 3.wma;J:\Musikfestplatte\Music;Trojan.DownLoader.61860;Gelöscht.;
Eighties classic.wma;J:\Musikfestplatte\Music;Trojan.DownLoader.61860;Gelöscht.;

das meint panda dazu:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-05-13 12:12:29
PROTECTIONS: 85
MALWARE: 14
SUSPECTS: 16
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 No Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes No
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 No Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira Premium Security Suite 8.0.1.30 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[1].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tribalfusion[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adverserve[1].txt
00167760 Cookie/Hitslink TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@counter.hitslink[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[2].txt
00168076 Cookie/BurstNet TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@burstnet[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@advertising[1].txt
03898894 Generic Worm Virus/Worm No 0 Yes No C:\Programme\FDF\close.com
04312648 Generic Malware Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\myphotobook-Setup.exe[process.exe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location GA
;===================================================================================================================================================== ==============================
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe GA
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe[32788R22FWJFW\n.com] GA
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe] GA
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe GA
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\n.com] GA
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe]
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\n.com] GA
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe]
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\n.com] GA
No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe]
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe[32788R22FWJFW\n.com] GA
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe] GA
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe[32788R22FWJFW\n.com] GA
No C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe] GA
No C:\Eigene Dateien\Download\absetup.exe GA
No C:\WINDOWS\NIRCMD.exe GA
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description GA
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

...und ein screenshot