TR/Spy.Agent.FX.1
 

Guten Abend!
In den letzten Tagen habe ich mich mit einem Trojaner namens "TR/Spy.Agent.FX.1" herumgeschlagen. Dieser wurde von Antivir entdeckt und taucht in unregelmäßigen Abständen im x:/windows/temp Ordner unter der Bezeichnung 2b.tmp auf. Bevor ich Antivir installiert hatte, konnte ich ihn auch unter anderen diversen Namen beobachten. Charakteristisch war aber immer die Endung .tmp der eine Zahl mit einem Buchstaben vorangestellt war. Bis gestern habe ich nur den in ZoneAlarm integrierten Virenscanner eingesetzt, der das Problem aber noch schlechter in den Griff bekommen hat, als Antivir. Über scannen der Datei bei h**p://virusscan.jotti.org/de bin ich auf AntiVir gekommen, da dort der Trojaner erkannt wurde. Gescannt wurde mit AntiVir bei den höchsten Scaneinstellungen.
Leider taucht der Schädling trotz mehrfachen Scans immer wieder auf. Scannen im abgesicherten Modus ist nicht möglich, da die Isass.exe die Fehlermeldung:"Das Endpunktfomrat ist unzulässig" produziert. Mit meinem Latein bin ich nun am Ende und bitte euch um Rat. Hier mein Log-File und mein Dank im vorraus fürs Lesen!

Logfile of HijackThis v1.99.1
Scan saved at 19:52:57, on 14.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\CTHELPER.EXE
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
e:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
E:\WINDOWS\system32\ZoneLabs\isafe.exe
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\WinRAR\WinRAR.exe
E:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h***://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.****.de:81;http=proxy.***.de:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = logserv.***.de;localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [gcasServ] "E:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ2003\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ2003\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - h***://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h***://www.***.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122544582435
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h***://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123587016873
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h***://asp07.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h***://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B2AE62-BE3B-49F2-B8C2-346BBC278475}: NameServer = 134.106.121.2,134.106.121.31
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - E:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - e:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - e:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: yrmIW - Unknown owner - E:\Programme\Dme.exe

Die dme.exe aus der letzten Zeile scheint mir suspekt und ich habe sie rausgekickt. Im Programmeordner waren noch ein paar Kandidaten versammelt, die jetzt erstmal im Papierkorb bleiben. Die dme.exe lässt sich aber nicht löschen, vielleicht nach einem Neustart?! Online konnte ich sie nicht scannen lassen, da ein Hochladen nicht möglich war. Meine Virenscanner konnten nichts erkennen (ZoneAlarm) oder die Datei nicht öffnen (Antivir).
Falls es jemanden bei der Analyse meines Problems hilft, poste ich die Ergebnisse sämtlicher von mir durchgeführter, positiver Scans mittels AntiVir:

1.Scan:
E:\WINDOWS\system32\tmp.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Star.RN.3.A
[INFO] Die Datei wurde gelöscht.
E:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd1677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

2.Scan:
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\qwertzun.exe
[FUND] Enthält Signatur des SPR/Perflogger.AN-Programmes
[INFO] Die Datei wurde gelöscht.
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\OLK14\Desktop.zip
[0] Archivtyp: ZIP
--> i_bpk2003.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Program Files\BPK\qwertz.exe
[FUND] Enthält Signatur des SPR/Perflogger.AD.24-Programmes
[INFO] Die Datei wurde gelöscht.
E:\Program Files\BPK\qwertzhk.dll
[FUND] Enthält Signatur des SPR/Perflogger.AL.2-Programmes
[INFO] Die Datei wurde gelöscht.
E:\Program Files\BPK\qwertzwb.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Perfloger.I.1
[INFO] Die Datei wurde gelöscht.
E:\Programme\bCXLPBBxn.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\rMAm.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\SHVxzOqg.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\Ug.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\vQTsfU.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\cpu.exe
[FUND] Enthält Signatur des Droppers DR/Agent.HD
[INFO] Die Datei wurde gelöscht.
E:\WINDOWS\SoftwareDistribution\EventCache\{35F36DE7-ADE5-45BE-A04B-5E7EF799ADAC}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd1677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\Temp\ZLT01612.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!

3.Scan:
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\E\WIN98\aconti.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Trojan.Downloader
[INFO] Die Datei wurde gelöscht.
C:\E\WIN98\SYSTEM\Comclg16.dll
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
C:\E\WIN98\SYSTEM\winadmkill.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/VB.PwdStealer
[INFO] Die Datei wurde gelöscht.
C:\E\WIN98\SYSTEM\winadm.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032436.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Trojan.Downloader
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032437.dll
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032438.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/VB.PwdStealer
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032439.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\OLK14\Desktop.zip
[0] Archivtyp: ZIP
--> i_bpk2003.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\bCXLPBBxn.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\iwRnDX.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\rMAm.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\SHVxzOqg.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\Ug.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd1677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\Temp\ZLT076f3.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\CDR_3.MVB
[WARNUNG] Die Datei konnte nicht gelesen werden!

4.Scan:
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst
[WARNUNG] Die Datei konnte nicht gelesen werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~DF5328.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~DFF7FF.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\OLK14\Desktop.zip
[0] Archivtyp: ZIP
--> i_bpk2003.exe
[FUND] Enthält Signatur des Droppers DR/Perflogger.AD
[1] Archivtyp: RAR SFX (self extracting)
--> bpk.exe
[FUND] Enthält Signatur des SPR/Perflogger.AD.24-Programmes
--> bpkun.exe
[FUND] Enthält Signatur des SPR/Perflogger.AN-Programmes
--> bpkvw.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Perfect.K
--> Setup.exe
[FUND] Enthält Signatur des SPR/Perflogger.AE-Programmes
--> bpkhk.dll
[FUND] Enthält Signatur des SPR/Perflogger.AL.2-Programmes
--> bpki.dll
[FUND] Ist das Trojanische Pferd TR/Peflog.30.3
--> bpkwb.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Perfloger.I.1
--> bpkr.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Perfect.3
--> inst.bin
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.Y.12
[INFO] Die Datei wurde gelöscht.

Soweit ich mich erinnere, lag zwischen jedem erneuten Scan ein Neustart des Win XP Pro Systems

Es würde mich sehr freuen und weiterhelfen, wenn jemand einen Kommentar zu meinem Thema schreibt. Danke!

@Nudnickat
Es tut mir leid, dass Keiner Deinen musterhaften Posting bis dato bemerkt hat.
Es gibt/gab viel Ungutes am PC. Bereinige bitte Deinen Rechner: Start\Ausführen...\cleanmgr eingeben, Ende-Taste dücken. Alles Mögliche am Laufwerk C:\ auswählen. Danach Systemwiederherstellung abschalten. Danach eScan-Thema (s. dazu Link in meiner Signatur) abarbeiten. Mit der Datei Find.bat erstellten Log hier posten.

Der PC ist bereinigt. Liege ich mit meiner Annahme richtig, wenn ich das Laufwerk e:/ und nicht c:/ gereinigt habe, da e:/ mein Win beherbergt? Des Weiteren habe ich mir das Microworld Antivirus Tool runtergeladen und bin deinen Anweisungen gefolgt. Leider geht bei mir der Abgesicherte Modus nicht (s.o.). Soll ich den Scan trotzde wagen? Danke dir für die Hilfe!

@Nudnickat
Korrekt.
Davon halte ich eher wenig ;).
Lieber nicht. Stelle AVPE-Echtzeitschutz ab und folge mit Deinem IE diesem Link: http://www.kaspersky.com/de/virusscanner und wähle Online-Scanner.
PS: Wenn Du wenig Zeit hast, sichere Deine wichtigen Daten (Du hast doch mehrere Partitionen am Rechner und findest bestimmt noch Platz dazu) und formatiere die System-Platte nach Anleitung in meiner Signatur. Es wird schneller gehen und bringt sicherere Ergebnisse, als alle Bereinigungsversuche. Um das bei einem Virenbefall nicht zu tun braucht man sehr starke Gründe.;).
EDIT: Noch dazu: http://www.heisig-it.de/forum/viewto...4e61bddcc74e8e

Ich versuchs jetzt mal mit dem Online-Scaner. In der Zwischenzeit habe ich allerdings mal via Microworld gescannt und bin auch gleich fündig geworden:

Object "flashfxp Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "flashfxp Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "thelocalsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "thelocalsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Scheint ja ein richtiges Jahrgangstreffen zu sein. Über die Idee mit dem Formatieren denke ich mal nach, auch wenn ich mich damit noch nicht so Recht anfreunden kann.