Trojaner TR/crypt.xpack.gen u. win32.dnschanger entfernen entfernen
 

Hallo,

bei mir wurden in letzter Zeit häufiger Google Links auf völlig andere Seiten weitergeleitet und mein Avira Antivir hat kein Update mehr durchgeführt, weil angeblich keine Verbindung zum Server hergestellt werden konnte.
Vor ein paar Tagen wurde dann doch ein update runtergeladen. Beim anschliessenden unvollständigen Scan hat Antivir auf meinem xp Rechner den Trojaner TR/crypt.xpack.gen gefunden. Nach Verschieben in die Quarantäne ist Windows instabil geworden. Liess sich nur noch im abgesicherten Modus hochfahren.

Hab Zonealarm, Antivir und Spybot deinstalliert. Jetzt läuft der PC wieder...

Jetzt habe ich Kasperky Anti-Virus und das neueste windows XP update installiert.

Der Scan mit Kaspersky hat einige Trojaner (z.B. win32.dnschanger) und Viren (z.B. win32.autorun.nuu) eliminiert. Da hängen doch aber noch Reste im System, oder?

Nun würde ich gern wissen wie ich die Probleme engültig beheben kann, ohne dass ich Windows neu installieren muss.

Hier ist mein hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:18, on 26.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\123678.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h***://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232987394312
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h***://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Moon Secure Antivirus Core (msav) - Unknown owner - C:\Programme\Moon Secure Antivirus\msavcore.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8051 bytes

Bei deiner Problembeschreibung rate ich dir neuaufzusetzen.

Aber wir können auch gerne versuchen die Wunden zu flicken.

ja, bitte hilf mir die Schädlinge von der Platte zu putzen.

Ich hab mal weiter im Forum nach Lösungsansätzen gesucht:

Bei ausgeschalteter Systemwiederherstellung Ccleaner verwenden und dann Scannen z.B. mit Conterspy im abgesicherten Modus?
Bringt das was? Was kann ich sonst noch am besten machen?

Danke für die Hilfe!

Das System ist hinterher nicht vertrauenswürdig, das muss dir klar sein!

Also los:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.




Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Panda AntiRootkit

• Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
• Starte die PAVARK.exe durch einen Doppelklick.
• Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
• Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
• Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
  Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
• Bereinige die Funde anschließend!

5) GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

6) Überprüfe dein System mit SASW.

7) Mache einen letzten Maleware-Check mit Malewarebytes.

8) Räume mit cCleaner auf. (Punkt 1 und 2)

9) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

10) Systemanalyse:

• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Ok, ich habe jetzt alle Punkte Schritt für Schritt durchgeführt und werde mal die Logs posten mit der Bitte, dass die mal jemand checkt.

Vielen Dank für die Hilfe.

Ein paar Probleme sind aufgetreten:

- beim Starten von Combofix hiess es, dass das Programm abgelaufen ist und nur mit eingeschränkter Funktionalität gestartet werden kann?? Habe dann die Systemzeit ein paar Tage zurück gestellt - dann lief Combofix...

- Panda AntiRootkit hat beim scannen zu vielen Warnmeldungen durch Kaspersky geführt. Ich habe Kaspersky beendet und dann ist Panda abgestürzt.
Nach dem 2. Scananlauf hiess es dann:
Items scanned 6269

Rootkits detected 0
etc 0

- Gmer hat nur die Partition gecheckt, auf der Windows installiert ist

- beim Malwarebytes Scan hat sich das System aufgehängt (Zwischenstand war 0 Rootkits gefunden). Nach Neustart lief der 2. Scan dann durch und hat nix gefunden.
Ich poste als erstes ein Malwarebyteslog von einem Scan, den ich vor dem Posten meines Trojanerproblems hier im Forum gemacht hatte.

---
26.01.2009 13:56:42
mbam-log-2009-01-26 (13-56-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 139475
Laufzeit: 26 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32391290-5bc1-459a-8137-d38c71c6c478}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.114;85.255.112.14 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{32391290-5bc1-459a-8137-d38c71c6c478}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.114;85.255.112.14 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{32391290-5bc1-459a-8137-d38c71c6c478}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.114;85.255.112.14 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\HDTV Player (Rogue.HDTVPlayer) -> Quarantined and deleted successfully.
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
D:\Downloads\HDTVPlayer.exe (Rogue.HDTVPlayer) -> Quarantined and deleted successfully.
C:\WINDOWS\HDTV Player\uninstall.exe (Rogue.HDTVPlayer) -> Quarantined and deleted successfully.
C:\autorun.inf (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

---

ComboFix 09-01-21.04 - *** 2009-01-22 1:20:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2943.2418 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
FW: ActiveArmor Firewall *disabled*
FW: Kaspersky Anti-Virus *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\resycled
c:\resycled\boot.com
D:\resycled
d:\resycled\boot.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-22 bis 2009-01-22 ))))))))))))))))))))))))))))))
.

2009-01-31 00:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-30 23:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\system32\de
2009-01-30 23:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\system32\bits
2009-01-30 23:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\l2schemas
2009-01-30 23:23 . 2008-04-14 03:20 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
2009-01-26 17:44 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-26 17:44 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-26 17:44 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-26 17:42 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty
2009-01-26 17:30 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-26 17:25 . 2009-01-26 17:25 96,976 --a------ c:\windows\system32\drivers\klin.dat
2009-01-26 17:25 . 2009-01-26 17:25 87,855 --a------ c:\windows\system32\drivers\klick.dat
2009-01-26 17:24 . 2009-01-26 17:24 <DIR> d-------- c:\programme\Kaspersky Lab
2009-01-26 17:24 . 2009-01-22 01:24 4,652,064 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-26 17:24 . 2009-01-22 01:24 516,128 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-01-26 17:24 . 2009-01-22 01:24 38,472 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-26 17:24 . 2009-01-22 01:24 3,892 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-01-26 17:23 . 2009-01-26 17:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus 2009
2009-01-26 17:20 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-26 17:20 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-26 17:20 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-26 17:20 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-26 17:20 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-26 17:20 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-26 17:19 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-01-26 17:19 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-01-26 02:18 . 2009-01-26 02:18 <DIR> d-------- c:\programme\CCleaner
2009-01-26 02:16 . 2009-01-26 02:16 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-26 02:16 . 2009-01-26 02:16 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-01-26 02:16 . 2009-01-26 02:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-26 02:16 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-26 02:16 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-26 01:26 . 2009-01-26 01:26 <DIR> d-------- c:\windows\BDOSCAN8
2009-01-25 22:29 . 2004-08-04 13:00 16,617 --a------ c:\windows\system32\authserv.mib
2009-01-25 22:29 . 2004-08-04 13:00 15,597 --a------ c:\windows\system32\accserv.mib
2009-01-25 22:29 . 2004-08-04 13:00 4,597 --a------ c:\windows\system32\dhcp.mib
2009-01-21 22:25 . 2009-01-21 22:25 <DIR> dr------- c:\dokumente und einstellungen\Administrator.METATRON.000\Eigene Dateien
2008-12-27 12:23 . 2008-12-27 12:22 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 23:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-25 21:14 --------- d-----w c:\programme\Preispiraten
2009-01-25 21:12 --------- d-----w c:\programme\Spybot
2009-01-25 21:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-21 20:11 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent
2008-12-27 11:22 --------- d-----w c:\programme\Java
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"DeviceDiscovery"="c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 40960]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-26 172032]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"RemoteControl8"="c:\programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\PowerDVD8\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2008-10-20 91432]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-11-11 206088]
"nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-12-10 49254]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-07-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Mozilla\\Firefox\\firefox.exe"=
"c:\\Programme\\ScanSoft\\OmniPageSE\\EregGer\\NAVBrowser.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo1.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\PowerDVD8\\PowerDVD8\\PowerDVD8.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
R4 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\PowerDVD8\PowerDVD8\000.fcl [2008-05-15 11:07:00 61424]
S4 msav;Moon Secure Antivirus Core;c:\programme\Moon Secure Antivirus\msavcore.exe --> c:\programme\Moon Secure Antivirus\msavcore.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76729318-ad26-11dc-b170-00138fd9bbe7}]
\Shell\AutoRun\command - System\Security\DriveGuard.exe -run
\Shell\Explore\Command - System\Security\DriveGuard.exe -run
\Shell\Open\Command - System\Security\DriveGuard.exe -run
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\preispiraten.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***://www.gmer.net
Rootkit scan 2009-01-22 01:25:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\PowerDVD8\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\�•€|ÿÿÿÿ"•€|þ»Ñw*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\progra~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\snmp.exe
c:\progra~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
c:\progra~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-22 1:31:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-22 00:31:07

Vor Suchlauf: 13 Verzeichnis(se), 72.453.906.432 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 72,462,782,464 Bytes frei

Current=2 Default=2 Failed=1 LastKnownGood=5 Sets=1,2,3,4,5
170 --- E O F --- 2009-01-30 23:42:50

---

01/31/09 13:41:09 [Info]: BlackLight Engine 2.2.1092 initialized
01/31/09 13:41:09 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/31/09 13:41:09 [Note]: 7019 4
01/31/09 13:41:09 [Note]: 7005 0
01/31/09 13:41:14 [Note]: 7006 0
01/31/09 13:41:14 [Note]: 7011 796
01/31/09 13:41:14 [Note]: 7035 0
01/31/09 13:41:14 [Note]: 7026 0
01/31/09 13:41:14 [Note]: 7026 0
01/31/09 13:41:16 [Note]: FSRAW library version 1.7.1024
01/31/09 13:46:36 [Note]: 7007 0

---

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-31 14:03:24
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB6C360F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB6C3615A]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.14 ----

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/31/2009 at 02:42 PM

Application Version : 4.25.1012

Core Rules Database Version : 3724
Trace Rules Database Version: 1707

Scan type : Complete Scan
Total Scan Time : 00:31:27

Memory items scanned : 454
Memory threats detected : 0
Registry items scanned : 5316
Registry threats detected : 2
File items scanned : 20538
File threats detected : 0

Trojan.DNSChanger-Codec
HKCR\homeview
HKCR\homeview\CLSID

---

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1695
Windows 5.1.2600 Service Pack 3

31.01.2009 16:24:33
mbam-log-2009-01-31 (16-24-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 136430
Laufzeit: 24 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier noch HJT, iclean und AVZ logs:

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:09, on 31.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\HijackThis\123678.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h***://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232987394312
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h***://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: Moon Secure Antivirus Core (msav) - Unknown owner - C:\Programme\Moon Secure Antivirus\msavcore.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7292 bytes


iclean log 31.01.2009 16:29:52

Windows XP SP3, Using advanced Kernel functions

Processes
---------
992 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1040 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1064 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1108 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1120 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1272 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1332 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1372 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1480 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1616 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1712 - avp.exe - avp.exe
1748 - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe - Apache h*** Server
1800 - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe - nSvcLog
1828 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 178.13
1916 - C:\WINDOWS\System32\snmp.exe - SNMP-Dienst
1952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2016 - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe - ActiveArmor Firewall IP Service
604 - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe - Apache h*** Server
884 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1908 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2156 - C:\WINDOWS\Explorer.EXE - Windows Explorer
2360 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
2376 - C:\Programme\ScanSoft\OmniPageSE\opware32.exe - OCR Aware (32-bit)
2388 - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe - hpotdd01
2396 - C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe - C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
2412 - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
2428 - C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe - PowerDVD RC Service (Signed)
2444 - C:\Programme\Cyberlink\Shared Files\brs.exe - brs (Signed)
2452 - avp.exe - avp.exe
2484 - C:\WINDOWS\system32\RUNDLL32.EXE - Eine DLL-Datei als Anwendung ausführen
2492 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2500 - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe - Nero Home (Signed)
2524 - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe - AcroTray
2572 - NMIndexingServi - NMIndexingServi
2608 - NMIndexStoreSvr - NMIndexStoreSvr
3780 - C:\Dokumente und Einstellungen\***\Desktop\iclean\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\svchost.exe=6to4
C:\WINDOWS\system32\alg.exe=ALG
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\kaspersky lab\kaspersky anti-virus 2009\avp.exe=AVP
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
c:\progra~1\nvidia\networ~1\apache group\apache2\bin\apache.exe=ForcewareWebInterface
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe=NMIndexingService
c:\progra~1\nvidia\networ~1\bin\nsvcip.exe=nSvcIp
c:\progra~1\nvidia\networ~1\bin\nsvclog.exe=nSvcLog
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\snmp.exe=SNMP
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe"
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: AVP="c:\programme\kaspersky lab\kaspersky anti-virus 2009\avp.exe"
000=HKLM\Run: BDRegion=c:\programme\cyberlink\shared files\brs.exe
000=HKLM\Run: DeviceDiscovery=c:\programme\hewlett-packard\digital imaging\bin\hpotdd01.exe
000=HKLM\Run: HP Software Update=c:\programme\hewlett-packard\hp software update\hpwuschd.exe
000=HKLM\Run: HPDJ Taskbar Utility=c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe
000=HKLM\Run: NeroFilterCheck=c:\programme\gemeinsame dateien\ahead\lib\nerocheck.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: Omnipage=c:\programme\scansoft\omnipagese\opware32.exe
000=HKLM\Run: PDVD8LanguageShortcut=c:\programme\powerdvd8\powerdvd8\language\language.exe
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: RemoteControl8=c:\programme\powerdvd8\powerdvd8\pdvd8serv.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SkyTel=c:\windows\skytel.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe=c:\programme\nvidia\networkaccessmanager\apache group\apache2\bin\apache.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=C:\WINDOWS\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx (AcroIEHlprObj Class)
030=BHO: {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}=c:\programme\kaspersky lab\kaspersky anti-virus 2009\ievkbd.dll (IEVkbdBHO Class)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=(null) ()
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Height=(null)
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: acrobat assistant.lnk -> C:\PROGRA~1\Adobe\ACROBA~1.0\Distillr\AcroTray.exe
Common: adobe gamma loader.lnk -> C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
Common: desktop.ini
Personal: desktop.ini
Personal: Secunia PSI.lnk -> C:\PROGRA~1\Secunia\PSI\psi.exe

HOSTS
-----
127.0.0.1 localhost

---

AVZ Zip-Datei:
RapidShare: Easy Filehosting

Deinstalliere uTorrent und alle anderen FileSharing Programme!

Räume danach mit dem cCleaner auf.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Und führe bitte einen Scan mit Kaspersky im abgesicherten Modus duch.
http://www.trojaner-board.de/61465-a...ty-2009-a.html

Das sind die Ergebnisse von virustotal:

und das log von avenger:

Die Scans mit DrWeb und Kaspersky im abgesicherten Modius sind fertig:

DrWeb log:

data002\32788R22FWJFW\C.bat;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe\data002;Wahrscheinlich BATCH.Virus;;
data002\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe\data002;Wahrscheinlich BATCH.Virus;;
data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe\data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme;Archiv enthält infizierte Objekte;Verschoben.;
SmitfraudFix.exe\SmitfraudFix\Process.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme\SmitfraudFix.exe;Tool.Prockill;;
SmitfraudFix.exe\SmitfraudFix\restart.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme\SmitfraudFix.exe;Tool.ShutDown.14;;
SmitfraudFix.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme;Archiv enthält infizierte Objekte;Verschoben.;
VBAOL11.CHM\html/olobjAddressEntries.htm;C:\Programme\Microsoft Office\OFFICE11\1031\VBAOL11.CHM;Modifikation von VBS.Generic.205;;
VBAOL11.CHM;C:\Programme\Microsoft Office\OFFICE11\1031;Archiv enthält infizierte Objekte;Verschoben.;
iamfamous.dll;C:\Programme\Mozilla\Firefox\components;Wahrscheinlich Trojan.Packed.365;Verschoben.;

Kaspersky Bericht:

Kaspersky hat einige Dateien von Adobe Photoshop gelöscht die ich für sauber halte. Du solltest sie wieder herstellen und an newvirus@kaspersky.com schicken.
Als Betreff gibt possible false postiv an
und als Text diesen Auzug aus dem log: Packe die Dateien vorher in ein .rar oder .zip Archiv mit dem Passwort infected.


PS: Update mal dein Office. Da sind 'ne Menge Sicherheitslücken drinn. Steht alles im Kasperksy Bericht.

Kaspersky hat geantwortet: No malicious code were found in these files.
Danke für den Hinweis auf die Photoshop Dateien.

Ich habe auch die Updates für Office installiert.

Gilt es sonst noch weitere Sicherheitschecks durchzuführen?
Oder ist die Bereinigung des Systems damit abgeschlossen und soll ich die Systemwiederherstellung dann jetzt wieder aktivieren?

Vielen vielen Dank für die grossartige Hilfe!!!

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Damit dein Rechner sauber bleibt beachte bitte folgendes:

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Der Panda active scan hat auch noch einige Schädlinge gefunden...
Das hört ja nie auf...

log:

Ich hab' dir vorher schon gesagt, dass dein System nicht mehr vertrauenswürdig ist!

Ich würde noch einige online Scans machen und evtl. auch mal mit ner Live CD scannen..