hallo zusammen.

ich bekomme seit 2 tagen laufen folgende meldung vom antivir:

c:\windows\system32\ntswrl32.dll

enthält eine signatur des gefährlichen backdoorprogrammes BDS/Cakl.A.2

egal welche option ich anschließend auswähle (löschen, zugriff verweigern, etc.) springt das fenster wieder auf. nach einiger zeit kommt sogar noch ein zweites solches fenster hinzu mit der selben meldung.

hab schon unter googl oder auch in eurer suche nach nem solchen virus gesucht aber bisher nix gefunden.

hoff mir kann jemand helfen
mfg
Iceling

Zitat:

Zitat von Iceling

hab schon unter googl oder auch in eurer suche nach nem solchen virus gesucht aber bisher nix gefunden.

http://www.sophos.de/virusinfo/analy...ojbdooryp.html

Erstelle bitte kurz ein HJT-Log damit wir sehen, ob es sich wirklich um diesen Kandidaten handelt.

Anleitung HJT

Logfile of HijackThis v1.99.1
Scan saved at 00:43:02, on 28.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\DOWNLO~2\VOLUME~1\MT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\telefontarif\FonTipp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Sepp\Desktop\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [FonTipp] C:\Programme\telefontarif\start.exe min
O4 - HKLM\..\Run: [Meine Traffic] C:\DOWNLO~2\VOLUME~1\MT.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [scvchost] C:\WINDOWS\system32\scvchost.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093794856031
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0045A44-F903-437D-9E8E-9D3C0303DE75}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Zitat:

C:\DOWNLO~2\VOLUME~1\MT.EXE

Bekannt/gewollt? Im Zweifel immer lieber bei Jotti oder Virustotal auswerten lassen und Ergebnisse hier posten.

Zitat:

C:\Programme\Java\jre1.5.0_01\bin\jusched.exe

Diese Java-Version ist obsolet...

Zitat:

O4 - HKLM\..\Run: [scvchost] C:\WINDOWS\system32\scvchost.exe

Und das ist definitiv Mist! Die Datei C:\WINDOWS\system32\scvchost.exe bitte auswerten lassen (Jotti, wenn überlastet Virustotal). Links und Anleitungen siehe unten, Signatur...

Lass mal die Dateien

c:\windows\system32\ntswrl32.dll
C:\WINDOWS\system32\scvchost.exe

bei virustotal prüfen.

Gut sieht es aber nicht aus.

C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
kommen mir nicht koscher vor aber nicht gleich löschen bitte auf en andren profis warten da ich gerne mitlerne obs ich auch richtig gefunden habe

p.s.: da war MM schneller

Zitat:

C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

The default location for sistray.exe is %WINDOWS%/System32/
http://process.networktechs.com/sistray.exe.php

http://www.file.net/prozess/mixer.exe.html

Im Zweifelsfall kann man solche Dateien prüfen lassen, aber ich glaube der TO hat schon genug Probleme wenn sich die Verdachtsmomente bezüglich Backdoor erhärten sollten.

SiS Tray dürfte i.O. sein, Treiber für SiS-VGA onBoard wenn ich mich nicht irre...
Der "Mixer" sollte auch legitim sein...

<edit> MANN immer ist der Marc schneller! </edit>

Habe selbes Problem! Bitte um Hilfe!


Logfile of HijackThis v1.99.1
Scan saved at 15:26:44, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
D:\programme\Logitech\iTouch\iTouch.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Dokumente und Einstellungen\Standard\Desktop\utorrent.exe
D:\programme\WinAmp5\Winamp\winamp.exe
D:\programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\WINDOWS\system32\vssms32.exe
D:\programme\MozillaFirefoxBrowser\firefox.exe
C:\Dokumente und Einstellungen\Standard\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {BD7305A7-9483-7E91-B02A-57B8DEEFA2FF} - C:\DOKUME~1\Standard\ANWEND~1\SURFLI~1\Show Online.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sendextrawinping] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\roadtypesendextra\PopMode.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows ExpIore] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{F41CF~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F41CF~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{A7857~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A7857~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{8F6E4~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{8F6E4~1\reboot.ini -l0x9
O4 - HKCU\..\Run: [LDM] D:\programme\Logitech\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wayproxy] C:\DOKUME~1\Standard\ANWEND~1\HTMMET~1\Tick User.exe
O4 - HKCU\..\Run: [Windows ExpIore] C:\WINDOWS\system32\expIorer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\programme\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {D2E5C9D1-6918-4AC1-9846-3C718F1A330D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {D2E5C9D1-6918-4AC1-9846-3C718F1A330D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EC2E44A7-9516-47C5-A4C9-96C85F6E1D8E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EC2E44A7-9516-47C5-A4C9-96C85F6E1D8E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC85FEE-1C32-4EC5-BF07-17B878C7EBDA}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

Hallo granger,

Du hast diesen Patienten auf Deinem System. Bei Backdoorfunktionalität wie in diesem Fall, ist der einzig sinnvolle Rat, das System neuaufzusetzen. Einen Link zur Anleitung hierfür findest in meiner Signatur (Try Again).

Gruß

Marc

Backdoor Server bds/cakl.A.2

Mit hilfe der Windows-CD in die Wiederherstelungskonsole gehen, dort
c:\windows\system32\ntswrl32.dll - löschen
c:\windows\system32\vms32.exe - löschen
c:\windows\system32\ldapi32.exe - löschen
c:\windows\system32\ntcvx32.dll - löschen

Neustart

Backdoor Server bds/cakl.A.2 tod.

Hallo paula777

Zitat:

Backdoor Server bds/cakl.A.2 ... tod.

tja, lieber 2 Monaten später, als nie
Grundsätzlich: deine Aussage ist falsch. Lese mal bitte das: http://www.microsoft.com/technet/com...mt/sm0504.mspx

hi leutz, bin neu hier un habe auch gleich mal nen tolles problem:

mein Antivir sagt mir das sich backdoorprogramme auf meinem rechner befinden, genau wie beim threadersteller, deswegen poste ich das hier.

folgende dateien sind das:
C:/WINDOWS/system32/ntswrl32.dll [BDS/cakl.A.2]
C:/WINDOWS/system32/ldapi32.exe [BDS/cakl.A.2]

"ntswrl32.dll" lässt sich zwar im abgesicherten modus entfernen aber beim neustart stellt sich die datei wieder her.
"ldapi32.exe" hatte ich im abgesicherten modus nicht mal gefunden... aber im normalen modus existiert sie.

Habe schon eine scan mit HijackThis gemacht.
Bitte um hilfe und evtl. ne andere lösung als OS neu draufsetzen...


Logfile of HijackThis v1.99.1
Scan saved at 11:46:14, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Programme\Kerio\WinRoute Firewall\winroute.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\Kerio\WinRoute Firewall\wrctrl.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Winamp\winamp.exe
E:\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\BlutoniumBoy\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TVTip] E:\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKCU\..\Run: [WrCtrl] "D:\Programme\Kerio\WinRoute Firewall\wrctrl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Winamp] D:\\Programme\\Winamp\\winamp.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = E:\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: Hamachi.lnk = E:\Hamachi\hamachi.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151331869776
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AshampooDefragService - - E:\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - D:\Programme\Kerio\WinRoute Firewall\winroute.exe

Wie Rene-Gad schon richtig bemerkte, sollte eine Reparatur hier nicht sinnvoll sein:
http://www.sophos.de/security/analyses/trojbdooryp.html