Trojaner-Board - Stimmt hier was nicht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Stimmt hier was nicht? (https://www.trojaner-board.de/56344-stimmt.html)

Stimmt hier was nicht?

Am Mittwoch ist ganz urplötzlich mein System einfach so runtergefahren.
Virenscan mit Antivir brachte unangenehmes zum Vorschein. Hier der Log:

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Mittwoch, 16. Juli 2008  08:54
 

Es wird nach 1456906 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     ROBIN
 

Versionsinformationen:

BUILD.DAT     : 8.1.0.308       16478 Bytes  28.05.2008 17:02:00

AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18.03.2008 09:02:52

AVSCAN.DLL    : 8.1.1.0         57601 Bytes  30.01.2008 15:10:50

LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20

LUKERES.DLL   : 8.1.2.0         12545 Bytes  19.02.2008 08:39:40

ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 10:33:34

ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 15:16:40

ANTIVIR2.VDF  : 7.0.5.119     1264128 Bytes  15.07.2008 06:48:53

ANTIVIR3.VDF  : 7.0.5.122       38912 Bytes  16.07.2008 06:48:54

Engineversion : 8.1.0.68  

AEVDF.DLL     : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21

AESCRIPT.DLL  : 8.1.0.53       303481 Bytes  15.07.2008 15:16:19

AESCN.DLL     : 8.1.0.23       119156 Bytes  15.07.2008 15:16:17

AERDL.DLL     : 8.1.0.20       418165 Bytes  14.07.2008 15:17:23

AEPACK.DLL    : 8.1.2.1        364917 Bytes  15.07.2008 15:16:15

AEOFFICE.DLL  : 8.1.0.20       192891 Bytes  14.07.2008 15:17:17

AEHEUR.DLL    : 8.1.0.41      1339765 Bytes  15.07.2008 15:16:11

AEHELP.DLL    : 8.1.0.15       115063 Bytes  14.07.2008 15:17:05

AEGEN.DLL     : 8.1.0.29       307573 Bytes  14.07.2008 15:17:04

AEEMU.DLL     : 8.1.0.6        430451 Bytes  14.07.2008 15:17:01

AECORE.DLL    : 8.1.0.33       168311 Bytes  15.07.2008 15:16:02

AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23.01.2008 17:05:55

AVPREF.DLL    : 8.0.0.1         25857 Bytes  18.02.2008 10:29:37

AVREP.DLL     : 7.0.0.1        155688 Bytes  16.04.2007 13:25:52

AVREG.DLL     : 8.0.0.0         30977 Bytes  23.01.2008 17:05:52

AVARKT.DLL    : 1.0.0.23       307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28.02.2008 08:31:27

SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34

NETNT.DLL     : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46

RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, 

Durchsuche Speicher..............: ein

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: aus

Datei Suchmodus..................: Intelligente Dateiauswahl

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: 20

Archiv Smart Extensions..........: ein

Makrovirenheuristik..............: ein

Dateiheuristik...................: mittel
 

Beginn des Suchlaufs: Mittwoch, 16. Juli 2008  08:54
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess '6M8ohfkb.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\WINDOWS\system32\6M8ohfkb.exe'

Durchsuche Prozess 'aoltpspd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ddI4LBXu.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\DOKUME~1\TERMIN~1\LOKALE~1\Temp\ddI4LBXu.exe'

Durchsuche Prozess '21yX2Hym.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\DOKUME~1\TERMIN~1\LOKALE~1\Temp\21yX2Hym.exe'

Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'shellmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'waol.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PMSHost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EPGSPO~2.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'aspimgr.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\WINDOWS\system32\aspimgr.exe'

Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpztsb04.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Prozess '6M8ohfkb.exe' wird beendet

Prozess 'ddI4LBXu.exe' wird beendet

Prozess '21yX2Hym.exe' wird beendet

Prozess 'aspimgr.exe' wird beendet

C:\WINDOWS\system32\6M8ohfkb.exe

      [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

      [HINWEIS]   Die Datei wurde gelöscht.

C:\DOKUME~1\TERMIN~1\LOKALE~1\Temp\ddI4LBXu.exe

      [FUND]      Ist das Trojanische Pferd TR/Dialer.alc

      [HINWEIS]   Die Datei wurde gelöscht.

C:\DOKUME~1\TERMIN~1\LOKALE~1\Temp\21yX2Hym.exe

      [FUND]      Ist das Trojanische Pferd TR/Dialer.alc

      [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\aspimgr.exe

      [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga

      [HINWEIS]   Die Datei wurde gelöscht.
 

Es wurden '44' Prozesse mit '40' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

      [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

      [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD2

      [INFO]      Es wurde kein Virus gefunden!

      [WARNUNG]   Das Gerät ist nicht bereit.

Masterbootsektor HD3

      [INFO]      Es wurde kein Virus gefunden!

      [WARNUNG]   Das Gerät ist nicht bereit.

Masterbootsektor HD4

      [INFO]      Es wurde kein Virus gefunden!

      [WARNUNG]   Das Gerät ist nicht bereit.

Masterbootsektor HD5

      [INFO]      Es wurde kein Virus gefunden!

      [WARNUNG]   Das Gerät ist nicht bereit.

Masterbootsektor HD6

      [INFO]      Es wurde kein Virus gefunden!

      [WARNUNG]   Das Gerät ist nicht bereit.
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

      [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
 

Die Registry wurde durchsucht ( '26' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <416537>

C:\hiberfil.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\Terminator\Lokale Einstellungen\Temp\4g3WG8D8.exe

      [FUND]      Ist das Trojanische Pferd TR/Dialer.alc

      [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\Terminator\Lokale Einstellungen\Temp\57o5NYGg.exe

      [FUND]      Ist das Trojanische Pferd TR/Dialer.alc

      [HINWEIS]   Die Datei wurde gelöscht.

C:\PROGRAM FILES\XPSecurityCenter\htmlayout.dll

      [FUND]      Ist das Trojanische Pferd TR/Onlinegames.598528

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123929.exe

      [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.30720.C

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123930.exe

      [FUND]      Ist das Trojanische Pferd TR/Dldr.Mediket.DD

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123931.exe

      [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Poisonivy.J.39

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123932.dll

      [FUND]      Ist das Trojanische Pferd TR/Click.Agent.AC.38

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123933.exe

      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123934.sys

      [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123935.sys

      [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP885\A0124024.exe

      [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP885\A0124077.exe

      [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga

      [HINWEIS]   Die Datei wurde gelöscht.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP885\A0124082.dll

      [FUND]      Ist das Trojanische Pferd TR/Onlinegames.598528

      [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\Dp2a7g3O.dll

      [FUND]      Ist das Trojanische Pferd TR/BHO.eme

      [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\drivers\sptd.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <Volume>

D:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123938.exe

      [FUND]      Enthält Erkennungsmuster des Droppers DR/Gator.3202.14

      [HINWEIS]   Die Datei wurde gelöscht.

D:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP884\A0123939.exe

      [FUND]      Enthält Erkennungsmuster des Droppers DR/Gator.3202.12

      [HINWEIS]   Die Datei wurde gelöscht.
 
 

Ende des Suchlaufs: Mittwoch, 16. Juli 2008  12:30

Benötigte Zeit:  3:36:19 min
 

Der Suchlauf wurde vollständig durchgeführt.
 

   9316 Verzeichnisse wurden überprüft

 288836 Dateien wurden geprüft

     24 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

     20 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      3 Dateien konnten nicht durchsucht werden

 288812 Dateien ohne Befall

   6965 Archive wurden durchsucht

      8 Warnungen

     20 Hinweise

Nachdem ich alles gelöscht hatte habe ich irgendwie immer noch das Gefühl das irgendwas nicht passt und habe euch hier mal den hj log file:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 11:27:33, on 20.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Programme\Gemeinsame Dateien\AOL\1166044372\ee\AOLSoftware.exe

C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\bmwebcfg.exe

C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\Programme\AOL 9.0\waol.exe

C:\Programme\AOL 9.0\shellmon.exe

C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\internet explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

D:\videoprogs\hijack\HijackThis.exe
 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1166044372\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [braviax] braviax.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [Personal ID] C:\COOLSP~1\PERSON~1\PID.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe

O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 

O16 - DPF: {33331111-1111-1111-1111-615111193427} - 

O16 - DPF: {33331111-1131-1111-1111-611111193428} - 

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://paodm.www2.p0rt2.com/files/epl224bd.cab

O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2381309-2171-4B3D-8342-AF628F13A623}: NameServer = 205.188.146.145

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E83F89-76A4-4912-AAB2-4105528A5A20}: NameServer = 213.191.74.18 62.109.123.196

O20 - AppInit_DLLs: cru629.dat

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: Systemcheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe

O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) -   - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Bitte um Antwort bzw um Eure Hilfe. Danke im Vorraus...

Hi und :hallo:

Du hast recht, da ist noch so ziemlich viel drauf:crazy:
Bitte erstelle als erstes ein Hijackthis Logfile mit der neuesten Version von Hijackthis.
Nun lässt du bitte Malwarebytes laufen, lässt alles löschen was er findet und postest das Log:daumenhoc

ok danke erstmal, alles so wie gewünscht ausgeführt.
Hier der HJ log und der mbam

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:27:46, on 20.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Programme\Gemeinsame Dateien\AOL\1166044372\ee\AOLSoftware.exe

C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\bmwebcfg.exe

C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\Programme\AOL 9.0\waol.exe

C:\Programme\AOL 9.0\shellmon.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE

C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe

C:\Neuer Ordner\ungesehen\HiJackThis.exe
 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1166044372\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [braviax] braviax.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [Personal ID] C:\COOLSP~1\PERSON~1\PID.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-1360228962-2855301105-1127372643-1006\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe

O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: bmnet.dll

O10 - Unknown file in Winsock LSP: bmnet.dll

O10 - Unknown file in Winsock LSP: bmnet.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 

O16 - DPF: {33331111-1111-1111-1111-615111193427} - 

O16 - DPF: {33331111-1131-1111-1111-611111193428} - 

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://paodm.www2.p0rt2.com/files/epl224bd.cab

O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2381309-2171-4B3D-8342-AF628F13A623}: NameServer = 205.188.146.145

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E83F89-76A4-4912-AAB2-4105528A5A20}: NameServer = 213.191.74.18 62.109.123.196

O20 - AppInit_DLLs: cru629.dat

O21 - SSODL: Systemcheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe

O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) -   - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 6642 bytes

Code:

Malwarebytes' Anti-Malware 1.21

Datenbank Version: 971

Windows 5.1.2600 Service Pack 2
 

21:28:10 20.07.2008

mbam-log-7-20-2008 (21-28-10).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 160092

Laufzeit: 1 hour(s), 51 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 4

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 18
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423} (Trojan.Clicker) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427} (Trojan.Clicker) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428} (Trojan.Clicker) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter (Rogue.XPSecurityCenter) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp securitycenter (Rogue.Installer) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\systemcheck2 (Trojan.Clicker) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\Programme\WinRAR\default.sfx (Rogue.Installer) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP823\A0115260.rbf (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP862\A0121074.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP862\A0121075.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP862\A0121076.exe (Adware.Shopper) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP864\A0121287.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP864\A0121288.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP864\A0121289.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{E232B9B4-C624-404D-9963-6DDD533EEC5C}\RP864\A0121290.exe (Adware.Agent) -> Quarantined and deleted successfully.

C:\bootbak.bat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\logo1_.exe (Worm.Viking) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\s32.txt (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\ws386.ini (Malware.Trace) -> Quarantined and deleted successfully.

Danke weiterhin für Eure Hilfe

Hi

Suche folgende Dateien und lade sie beiVirusTotal hoch:
braviax.exe
cru629.dat

Fixe bitte mit Hijackthis folgende Einträge:

Zitat:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://paodm.www2.p0rt2.com/files/epl224bd.cab
O21 - SSODL: Systemcheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

Poste dann bitte ein neues Hijackthis Logfile und erstelle eines mit RunScanner:daumenhoc

Bitte deinstalliere umgehend XPSecurityCenter dies ist ein Fake AntiViren Programm:daumenhoc
Nach dem du es deinstalliert hast, löschst du den ganzen Ordner und alle Dateien und Ordner die XPSecurityCenter erstellt hat:daumenhoc

Hallo, leider melde ich mich erst jetzt zurück. Danke für die Infos.
War aber lange ausser Haus und von daher konnte ich mich erst jetzt wieder kümmern.
Die Suche nach
braviax.exe
cru629.dat ergab leider keinen Erfolg. Nicht gefunden!

Fixen konnte ich folgende Einträge (der Rest war nicht im Logfile)

Code:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

Das neue Logfile mit hj

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:09:19, on 27.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

C:\WINDOWS\system32\bmwebcfg.exe

C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Programme\Gemeinsame Dateien\AOL\1166044372\ee\AOLSoftware.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Programme\AOL 9.0\waol.exe

C:\Programme\AOL 9.0\shellmon.exe

C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe

C:\Neuer Ordner\hj\HiJackThis.exe
 

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1166044372\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [Personal ID] C:\COOLSP~1\PERSON~1\PID.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-1360228962-2855301105-1127372643-1006\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe

O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: bmnet.dll

O10 - Unknown file in Winsock LSP: bmnet.dll

O10 - Unknown file in Winsock LSP: bmnet.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2381309-2171-4B3D-8342-AF628F13A623}: NameServer = 205.188.146.145

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E83F89-76A4-4912-AAB2-4105528A5A20}: NameServer = 213.191.74.18 62.109.123.196

O20 - AppInit_DLLs: cru629.dat

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe

O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) -   - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 6030 bytes

Code:

Runscanner logfile http://www.runscanner.net 
 

* = signed file

- = file not found
 

000 General info

----------------

Computer name : g

Creation time : 27.07.2008 09:15:17

Hosts <> 127.0.0.1 : 0

Hosts file location : %SystemRoot%\System32\drivers\etc

IE version : 6.0.2900.2180

OS : Microsoft Windows XP

OS Build : 2600

OS SP : Service Pack 2

RunScanner Version : 1.6.3.0

User Language : Deutsch (Deutschland)

User rights : Administrator

Windows folder : C:\WINDOWS
 

001 Running processes

---------------------

c:\progra~1\pinnacle\mediac~1\epgspo~2.exe

c:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH)

c:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH)

c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)

* c:\windows\system32\services.exe (Microsoft Corporation)

* c:\programme\aol 9.0\waol.exe (America Online, Inc.)

* c:\programme\gemeinsame dateien\aol\1166044372\ee\aolsoftware.exe (America Online, Inc.)

* c:\programme\gemeinsame dateien\aol\acs\aolacsd.exe (AOL LLC)

c:\programme\gemeinsame dateien\aol\aoltpspd.exe (America Online Inc)

* c:\windows\system32\alg.exe (Microsoft Corporation)

* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)

* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)

c:\windows\system32\bmwebcfg.exe (Bytemobile, Inc.)

c:\programme\ati technologies\ati.ace\cli.exe (ATI Technologies Inc.)

* c:\windows\system32\csrss.exe (Microsoft Corporation)

* c:\windows\system32\ctfmon.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)

c:\programme\kodak\kodak easyshare software\bin\easyshare.exe (Eastman Kodak Company)

* c:\windows\system32\lsass.exe (Microsoft Corporation)

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe (Pinnacle Systems)

c:\windows\system32\hpzipm12.exe (HP)

* c:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.)

* c:\neuer ordner\run\runscanner.exe (Runscanner.net)

* c:\programme\aol 9.0\shellmon.exe (America Online, Inc.)

* c:\windows\system32\spoolsv.exe (Microsoft Corporation)

c:\programme\microsoft sql server\mssql$pinnaclesys\binn\sqlservr.exe (Microsoft Corporation)

* c:\windows\explorer.exe (Microsoft Corporation)

* c:\windows\system32\winlogon.exe (Microsoft Corporation)

* c:\windows\system32\smss.exe (Microsoft Corporation)

* c:\windows\system32\wdfmgr.exe (Microsoft Corporation)
 

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)

-----------------------------------------------------------------

* c:\programme\gemeinsame dateien\aol\acs\aoldial.exe (AOL LLC)

c:\programme\ati technologies\ati.ace\clistart.exe

c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)

- c:\programme\gemeinsame dateien\symantec shared\ccapp.exe

* c:\programme\gemeinsame dateien\aol\1166044372\ee\aolsoftware.exe (America Online, Inc.)

c:\programme\quicktime\qttask.exe (Apple Inc.)

* c:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.)
 

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)

-----------------------------------------------------------------

- c:\coolsp~1\person~1\pid.exe
 

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

--------------------------------------------------------------------------

c:\progra~1\adobe\acroba~1.0\reader\reader~1.exe (Adobe Systems Incorporated)

c:\progra~1\kodak\kodake~1\bin\easysh~1.exe (Eastman Kodak Company)

c:\progra~1\micros~3\office\osa9.exe (Microsoft Corporation)
 

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)

-----------------------------------------------------

* c:\programme\gemeinsame dateien\aol\acs\aolacsd.exe (AOL Connectivity Service)

C:\WINDOWS\microsoft.net\framework\v1.1.4322\aspnet_state.exe (ASP.NET State Service)

c:\programme\avira\antivir personaledition classic\avguard.exe (Avira AntiVir Personal – Free Antivirus Guard)

c:\programme\avira\antivir personaledition classic\sched.exe (Avira AntiVir Personal – Free Antivirus Planer)

c:\windows\system32\bmwebcfg.exe (Bytemobile Web Configurator)

c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe (InstallDriver Table Manager)

c:\programme\ipod\bin\ipodservice.exe (iPodService)

- c:\windows\system32\aspimgr.exe (Microsoft ASPI Manager)

c:\programme\microsoft sql server\mssql$pinnaclesys\binn\sqlservr.exe (MSSQL$PINNACLESYS)

c:\programme\microsoft sql server\80\tools\binn\sqladhlp.exe (MSSQLServerADHelper)

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe (Pinnacle Systems Media Service)

c:\progra~1\pinnacle\mediac~1\epgspo~2.exe (Pinnacle Systems tvtv Spooler)

c:\windows\system32\hpzipm12.exe (Pml Driver HPZ12)

c:\programme\microsoft sql server\mssql$pinnaclesys\binn\sqlagent.exe (SQLAgent$PINNACLESYS)
 

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)

----------------------------------------------------

C:\WINDOWS\system32\drivers\asapiw2k.sys (ASAPIW2K)

* c:\windows\system32\drivers\atwpkt2.sys (ATWPKT2)

* c:\programme\avira\antivir personaledition classic\avgio.sys (avgio)

* c:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt)

* C:\WINDOWS\system32\drivers\avipbb.sys (avipbb)

C:\WINDOWS\system32\drivers\avmcowan.sys (AVM CoNDIS WAN CAPI Treiber)

C:\WINDOWS\system32\drivers\avmndsl.sys (AVM DSL NDIS WAN CAPI Treiber)

C:\WINDOWS\system32\drivers\avmdsloe.sys (AVM DSL PPPoE CAPI-Treiber)

C:\WINDOWS\system32\drivers\fdslbase.sys (AVM FRITZ!Card DSL (WinXP/2000))

- c:\windows\system32\drivers\netfwdsl.sys (AVM FRITZ!web DSL PPP)

- c:\windows\system32\drivers\netfritz.sys (AVM FRITZ!web PPP over ISDN)

c:\windows\system32\drivers\avmport.sys (AVMPORT)

- c:\dokume~1\termin~1\lokale~1\temp\catchme.sys (catchme)

- c:\windows\system32\drivers\changer.sys (Changer)

- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)

- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)

- c:\windows\system32\drivers\pcidump.sys (PCIDump)

- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)

- c:\windows\system32\drivers\pdframe.sys (PDFRAME)

- c:\windows\system32\drivers\pdreli.sys (PDRELI)

- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)

C:\WINDOWS\system32\drivers\sonypvs1.sys (Sony Digital Imaging Video2)

C:\WINDOWS\system32\drivers\sptd.sys (sptd)

C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)

- c:\windows\system32\drivers\wdica.sys (WDICA)
 

030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

------------------------------------------

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
 

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler

-------------------------------------------

c:\progra~1\gemein~1\system\oledb~1\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}

c:\progra~1\gemein~1\system\oledb~1\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}

c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}

c:\progra~1\gemein~1\system\oledb~1\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}
 

035 HKLM-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

------------------------------------------------------------------

c:\windows\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}

- c:\windows\system32\sysupdate32.exe {0A23F701-89C1-58C9-0201-080707060605}
 

047 Trusted zones

-----------------

Zone: objects.aol.com : *.objects.aol.com
 

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

---------------------------------------------------------------------------------

c:\programme\7-zip\7-zip.dll {23170F69-40C1-278A-1000-000100020000}

c:\programme\ati technologies\ati.ace\atiacmxx.dll {5E2121EE-0300-11D4-8D3B-444553540000}

- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1D2680C9-0E2A-469d-B787-065558BC7D43}

- c:\programme\itunes\itunesminiplayer.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}

c:\programme\nokia\nokia pc suite 6\messageview.dll (Nokia) {C0C4375A-5B72-4efe-929D-3B848C3A1E91}

c:\progra~1\micros~3\office\olkfstub.dll (Microsoft Corporation) {0006F045-0000-0000-C000-000000000046}

c:\programme\nokia\nokia pc suite 6\phonebrowser.dll (Nokia) {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

* c:\programme\real\realplayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}

c:\progra~1\gemein~1\micros~1\webfol~1\msonsext.dll {BDEADF00-C265-11d0-BCED-00A0C90AB50F}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers

------------------------------------------------------------

c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
 

066 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

---------------------------------------------------------------------

- c:\dokumente und einstellungen\g\eigene dateien\g\boot\2936.exe
 

068 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

--------------------------------------------------------------------------------

C:\WINDOWS\system32\bmnet.dll (Bytemobile, Inc.)

C:\WINDOWS\system32\bmnet.dll (Bytemobile, Inc.)

C:\WINDOWS\system32\bmnet.dll (Bytemobile, Inc.)
 

069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

--------------------------------------------------------

C:\WINDOWS\system32\hptcpmon.dll (Hewlett Packard)
 

073 %windir%\Tasks

------------------

At1.job : c:\windows\system32\6m8ohfkb.exe

At10.job : c:\windows\system32\6m8ohfkb.exe

At11.job : c:\windows\system32\6m8ohfkb.exe

At12.job : c:\windows\system32\6m8ohfkb.exe

At13.job : c:\windows\system32\6m8ohfkb.exe

At14.job : c:\windows\system32\6m8ohfkb.exe

At15.job : c:\windows\system32\6m8ohfkb.exe

At16.job : c:\windows\system32\6m8ohfkb.exe

At17.job : c:\windows\system32\6m8ohfkb.exe

At18.job : c:\windows\system32\6m8ohfkb.exe

At19.job : c:\windows\system32\6m8ohfkb.exe

At2.job : c:\windows\system32\6m8ohfkb.exe

At20.job : c:\windows\system32\6m8ohfkb.exe

At21.job : c:\windows\system32\6m8ohfkb.exe

At22.job : c:\windows\system32\6m8ohfkb.exe

At23.job : c:\windows\system32\6m8ohfkb.exe

At24.job : c:\windows\system32\6m8ohfkb.exe

At3.job : c:\windows\system32\6m8ohfkb.exe

At4.job : c:\windows\system32\6m8ohfkb.exe

At5.job : c:\windows\system32\6m8ohfkb.exe

At6.job : c:\windows\system32\6m8ohfkb.exe

At7.job : c:\windows\system32\6m8ohfkb.exe

At8.job : c:\windows\system32\6m8ohfkb.exe

At9.job : c:\windows\system32\6m8ohfkb.exe
 

100 Internet Explorer settings

------------------------------

SearchUrl HKCU : http://home.microsoft.com/access/autosearch.asp?p=%s
 

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units

------------------------------------------------------------------

GUID / CLSID not found {31435657-9980-0010-8000-00AA00389B71}

GUID / CLSID not found {33564D57-0000-0010-8000-00AA00389B71}

c:\programme\java\jre1.5.0_03\bin\npjpi150_03.dll (Sun Microsystems, Inc.) {8AD9C840-044E-11D1-B3E9-00805F499D93}

c:\programme\hewlett-packard\esupportdiags\hpcommunication.dll (Hewlett-Packard) {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7}

* c:\dokumente und einstellungen\all users\anwendungsdaten\zylom\zylomgamesplayer\zylomgamesplayer.dll (Zylom Games) {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}

c:\programme\java\jre1.5.0_03\bin\npjpi150_03.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA}
 

120 Domain/DNS hijacking

------------------------

NameServer {E2381309-2171-4B3D-8342-AF628F13A623} : 205.188.146.145

NameServer {F2E83F89-76A4-4912-AAB2-4105528A5A20} : 213.191.74.18 62.109.123.196
 

121 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

--------------------------------------------------------------------------

- cru629.dat
 

173 HKCR\*\shellex\ContextMenuHandlers

--------------------------------------

GUID / CLSID not found

GUID / CLSID not found {EBDF1F20-C829-11D1-8233-0020AF3E97A9}

c:\programme\7-zip\7-zip.dll {23170F69-40C1-278A-1000-000100020000}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers

-------------------------------------------------------

GUID / CLSID not found

GUID / CLSID not found {EBDF1F20-C829-11D1-8233-0020AF3E97A9}

c:\programme\7-zip\7-zip.dll {23170F69-40C1-278A-1000-000100020000}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers

--------------------------------------------------------------------------

* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
 

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers

------------------------------------------------------------

GUID / CLSID not found {EBDF1F20-C829-11D1-8233-0020AF3E97A9}

GUID / CLSID not found {EBDF1F20-C829-11D1-8233-0020AF3E97A9}

* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers

---------------------------------------------------------------

GUID / CLSID not found

GUID / CLSID not found {EBDF1F20-C829-11D1-8233-0020AF3E97A9}

c:\programme\7-zip\7-zip.dll {23170F69-40C1-278A-1000-000100020000}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

--------------------------------------------------------------------------

c:\programme\ati technologies\ati.ace\atiacmxx.dll {5E2121EE-0300-11D4-8D3B-444553540000}
 

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

-------------------------------------------------------

c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

Und jetzt noch eine Frage: Wo finde ich das fake XPsec und wie deeinstalliere ich es?

Moin

Zitat:

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

sieht mir sehr nach einer Backdoor aus...:eek:
Troj/Danmec-T Trojan (Backdoor.Win32.Agobot.aje) - Sophos security analysis

Diese Datei
c:\windows\system32\sysupdate32.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Das sich dort ein Backdoor breit gemacht hat hättest du auch gleich beim ersten post im aviralogfile erkennen können

Code:

C:\WINDOWS\system32\aspimgr.exe

      [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga

      [HINWEIS]   Die Datei wurde gelöscht.

Also wenn ich du wäre würde ich das System neu aufsetzen, auch wenn das Backdoorprogramm beseitigt worden ist, weiß man nicht welche Veränderungen dieses Programm am System vorgenommen hat

Und da du auch noch (TR/Rootkit.Gen) einen Rootkit am Start hast ist eine Neuinstallation unausweilich, weil wer weiß welche Viren noch alle versteckt werden.
Dein System ist sowieso einfach unglaublich verseucht

So habe die datei bei den ersten beiden durchlaufen lassen und wie schon
vermutet wurde nichts gefunden. Hier die Ergebnisse:

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.7.29.1 2008.07.29 - 

AntiVir 7.8.1.12 2008.07.29 - 

Authentium 5.1.0.4 2008.07.29 - 

Avast 4.8.1195.0 2008.07.28 - 

AVG 8.0.0.130 2008.07.28 - 

BitDefender 7.2 2008.07.29 - 

CAT-QuickHeal 9.50 2008.07.28 - 

ClamAV 0.93.1 2008.07.29 - 

DrWeb 4.44.0.09170 2008.07.29 - 

eSafe 7.0.17.0 2008.07.28 - 

eTrust-Vet 31.6.5991 2008.07.29 - 

Ewido 4.0 2008.07.28 - 

F-Prot 4.4.4.56 2008.07.28 - 

F-Secure 7.60.13501.0 2008.07.29 - 

Fortinet 3.14.0.0 2008.07.29 - 

GData 2.0.7306.1023 2008.07.29 - 

Ikarus T3.1.1.34.0 2008.07.29 - 

Kaspersky 7.0.0.125 2008.07.29 - 

McAfee 5348 2008.07.28 - 

Microsoft 1.3704 2008.07.28 - 

NOD32v2 3305 2008.07.29 - 

Norman 5.80.02 2008.07.28 - 

Panda 9.0.0.4 2008.07.28 - 

PCTools 4.4.2.0 2008.07.29 - 

Prevx1 V2 2008.07.29 - 

Rising 20.55.11.00 2008.07.29 - 

Sophos 4.31.0 2008.07.29 - 

Sunbelt 3.1.1536.1 2008.07.28 - 

Symantec 10 2008.07.29 - 

TheHacker 6.2.96.389 2008.07.25 - 

TrendMicro 8.700.0.1004 2008.07.29 - 

VBA32 3.12.8.1 2008.07.28 - 

ViRobot 2008.7.26.1311 2008.07.28 - 

VirusBuster 4.5.11.0 2008.07.28 - 

Webwasher-Gateway 6.6.2 2008.07.29 - 

weitere Informationen 

File size: 42 bytes 

MD5...: c66208ea7143d0adb918e2261d134ccf 

SHA1..: b7cf6e89aa12da4292d21e8879ebff4be1d8e125 

SHA256: 85ef0e892e49716f52c16db66257eea42363181ef2e385767ef15c87f4ee6d2f 

SHA512: efdc909c5efacf56c238d564a7f42c58703ebdb814d538ccc012a50007e58dd3

4ff10c2eef7a812d68c7a23868ddbce630e1db9733b515d560cd7d8b16f7b1ad 

PEiD..: - 

PEInfo: -

Code:

Dateiname :   sysupdate32 

Größe :   42 byte 

Typ :   data 

MD5 :   c66208ea7143d0adb918e2261d134ccf 

SHA1 :   b7cf6e89aa12da4292d21e8879ebff4be1d8e125

Ich möchte das System nicht wieder neu aufsetzen. Der PC ist gebraucht gekauft und ich versuche den so zu halten wie er ist.
Hoffe weiterhin auf Eure Unterstützung.

Code:

Und da du auch noch (TR/Rootkit.Gen) einen Rootkit

wie mache ich das weg?
Was ist mit dem Pseudo XP Security Center?