Du hast aber im Livesystem beide Dateien von direkt e: in den richtigen Pfad kopiert?
Aber wie ich die winlogon.bad auswerte, ich glaub da war ich irgendwie auf dem Holzweg, die Datei ist sauber.

Mach bitte zur Kontrolle ein Log mit GMER und danach Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran die beiden letzten Tools zu updaten vor dem Scan!!

Guten Morgen!

ja, hab die sauberen Dateien direkt von e:\ kopiert...

Sobald ich Feierabend habe, mache ich die Scans.

Danke!

Puhh.... hat ne Weile gedauert. Vor allem "gmer"....

Hab das durchlaufen lassen, dann malwarebytes (inkl. Entfernung) und dann superantispyware (auch hier entfernt)...

Auf jeden Fall taucht jetzt schon mal keine Warnung von Antivir mehr auf!!!

Hier die logs:

GMER:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-21 21:30:49
Windows 5.1.2600 Service Pack 3
Running: lkox0qhb.exe; Driver: E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ugtdypow.sys


---- System - GMER 1.0.15 ----

SSDT BA72937E ZwCreateKey
SSDT BA729374 ZwCreateThread
SSDT BA729383 ZwDeleteKey
SSDT BA72938D ZwDeleteValueKey
SSDT BA729392 ZwLoadKey
SSDT BA729360 ZwOpenProcess
SSDT BA729365 ZwOpenThread
SSDT BA72939C ZwReplaceKey
SSDT BA729397 ZwRestoreKey
SSDT BA729388 ZwSetValueKey
SSDT BA72936F ZwTerminateProcess

INT 0x06 \??\E:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A592916D
INT 0x0E \??\E:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A5928FC2

---- Kernel code sections - GMER 1.0.15 ----

.text E:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB5433000, 0x22F0B7, 0xE8000020]
.text E:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA56DF400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA5783620] E:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA5783620]
.protectÿÿÿÿhardlockunknown last code section [0xA5783400, 0x5126, 0xE0000020] E:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA5783400, 0x5126, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671E3F E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671DC0 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671E04 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671D4C E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 44671D86 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 44671E7A E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016EE E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

File E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@twitter[2].txt 519 bytes
File E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@madpennystocks[1].txt 370 bytes

---- EOF - GMER 1.0.15 ----


MALWAREBYTES:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3999

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

21.04.2010 23:33:52
mbam-log-2010-04-21 (23-33-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 246239
Laufzeit: 42 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gootkitsso (Trojan.GootKit) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot.
E:\Qoobox\Quarantine\E\WINDOWS\system32\msxsltsso.dll.vir (Trojan.GootKit) -> Quarantined and deleted successfully.
E:\winlogon.bad (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


... und SUPERANTISPYWARE:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/22/2010 at 00:07 AM

Application Version : 4.35.1002

Core Rules Database Version : 4835
Trace Rules Database Version: 2647

Scan type : Complete Scan
Total Scan Time : 00:24:38

Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 7754
Registry threats detected : 0
File items scanned : 16630
File threats detected : 10

Adware.Tracking Cookie
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@list[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yadro[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@rambler[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yadro[1].txt
E:\Dokumente und Einstellungen\LocalService\Cookies\system@atdmt[1].txt
E:\Dokumente und Einstellungen\LocalService\Cookies\system@msnaccountservices.112.2o7[1].txt
E:\WINDOWS\system32\config\systemprofile\Cookies\system@in.getclicky[1].txt
E:\WINDOWS\system32\config\systemprofile\Cookies\system@doubleclick[1].txt


Bin gespannt, was Du dazu sagst...