Ich bekomme seit neuestem diese Meldung von Avira Antivir:
C:\Windows\Temp\126328.exe die letzten Ziffern ändern sich aber auch bei jeder Meldung.

Ich habe Avira Antivir über meinen PC laufen lassen.
Hier:

Es wird nach 748775 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Ertan
Computername: HOMEOFFICE

Versionsinformationen:
BUILD.DAT : 244 11838 Bytes 16.04.2007 15:57:00
AVSCAN.EXE : 7.0.4.15 274472 Bytes 24.04.2007 15:51:14
AVSCAN.DLL : 7.0.4.0 41000 Bytes 24.04.2007 15:51:14
LUKE.DLL : 7.0.4.11 135208 Bytes 24.04.2007 15:51:15
LUKERES.DLL : 7.0.4.0 10792 Bytes 24.04.2007 15:51:15
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:36
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 20:39:49
ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 16:00:18
ANTIVIR3.VDF : 6.38.1.32 112128 Bytes 24.04.2007 15:51:16
AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 24.04.2007 15:51:16
AVWINLL.DLL : 1.0.0.7 14376 Bytes 24.04.2007 15:51:14
AVPREF.DLL : 7.0.2.1 18984 Bytes 24.04.2007 15:51:14
AVREP.DLL : 7.0.0.1 122920 Bytes 24.04.2007 15:51:16
AVPACK32.DLL : 7.3.0.8 348200 Bytes 02.04.2007 17:11:14
AVREG.DLL : 7.0.1.2 31784 Bytes 24.04.2007 15:51:14
AVEVTLOG.DLL : 7.0.0.18 81960 Bytes 24.04.2007 15:51:14
AVARKT.DLL : Keine Information!
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 24.04.2007 15:51:09
RCTEXT.DLL : 7.0.45.0 86056 Bytes 24.04.2007 15:51:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 13. Januar 2008 11:13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'profilemgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InfoCockpit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StatusClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '57' Prozesse mit '57' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '30' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte_1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\46390.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c318a1.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\50687.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ec21bb4.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\50828.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc1db6.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\52328.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc18ba.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\59796.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dc31cc3.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\60203.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7aba17bc.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\68968.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fc01ec6.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\73109.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80ba16c4.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\86765.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cc01cc8.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\93187.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ec216ce.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\94656.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dbf1bd1.qua' verschoben!
C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\96828.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc1dd4.qua' verschoben!
C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\43000.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77ba172e.qua' verschoben!
C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\519953.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cc3202e.qua' verschoben!
C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\74625.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cbc1d32.qua' verschoben!
C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\94000.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77ba1734.qua' verschoben!
C:\WINDOWS\Voy62.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\Nqg16.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\Voy62.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\125312.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78bd2049.qua' verschoben!
C:\WINDOWS\Temp\125718.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78c1204b.qua' verschoben!
C:\WINDOWS\Temp\125921.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79c3204e.qua' verschoben!
C:\WINDOWS\Temp\126046.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bba2150.qua' verschoben!
C:\WINDOWS\Temp\126281.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc2153.qua' verschoben!
C:\WINDOWS\Temp\126328.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79bd21a5.qua' verschoben!
C:\WINDOWS\Temp\126578.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ebf21a8.qua' verschoben!
C:\WINDOWS\Temp\127406.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77be22ac.qua' verschoben!
C:\WINDOWS\Temp\127703.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c122b1.qua' verschoben!
C:\WINDOWS\Temp\128062.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dba23b3.qua' verschoben!
C:\WINDOWS\Temp\128609.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c023b6.qua' verschoben!
C:\WINDOWS\Temp\128734.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ac123b8.qua' verschoben!
C:\WINDOWS\Temp\128890.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80c223ba.qua' verschoben!
C:\WINDOWS\Temp\129890.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80c224bc.qua' verschoben!
C:\WINDOWS\Temp\129953.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cc324bf.qua' verschoben!
C:\WINDOWS\Temp\147453.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cbe22c3.qua' verschoben!
C:\WINDOWS\Temp\147609.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c022c6.qua' verschoben!
C:\WINDOWS\Temp\147625.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79c022ca.qua' verschoben!
C:\WINDOWS\Temp\147765.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dc122cd.qua' verschoben!
C:\WINDOWS\Temp\148062.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dba23cf.qua' verschoben!
C:\WINDOWS\Temp\148093.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80ba23d2.qua' verschoben!
C:\WINDOWS\Temp\148500.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77bf23d5.qua' verschoben!
C:\WINDOWS\Temp\148531.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7abf23d8.qua' verschoben!
C:\WINDOWS\Temp\148781.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fc123db.qua' verschoben!
C:\WINDOWS\Temp\149687.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fc024de.qua' verschoben!
C:\WINDOWS\Temp\BNB.tmp
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb82dfc.qua' verschoben!
C:\WINDOWS\Temp\BNC.tmp
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb82efe.qua' verschoben!
C:\WINDOWS\Temp\BND.tmp
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb83001.qua' verschoben!
C:\WINDOWS\Temp\BNE.tmp
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb83103.qua' verschoben!
Beginne mit der Suche in 'D:\' <Festplatte_2>


Ende des Suchlaufs: Sonntag, 13. Januar 2008 11:48
Benötigte Zeit: 35:14 min

Der Suchlauf wurde vollständig durchgeführt.

5393 Verzeichnisse wurden überprüft
324555 Dateien wurden geprüft
45 Viren bzw. unerwünschte Programme wurden gefunden
45 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
45 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
324465 Dateien ohne Befall
1741 Archive wurden durchsucht
4 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

Hier noch meine hijacktis liste:

Logfile of HijackThis v1.99.1
Scan saved at 12:32:43, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Ertan\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Programme\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programme\Rapidown\RapidownGet.htm
O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programme\Rapidown\RapidownGetAll.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\Rapidown.exe
O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\Rapidown.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Hi,
führe mal bitte die folgenden Schritte aus:

Temp-Ordner bereinigen
Lade dir bitte atf-cleaner und lass deine Tempordner leeren. (Wähle "Windowstemp", "CurrentUserTemp" "All Users Temp" aus) Die restlichen Auswahlpunkte sind nicht unbedingt notwendig, aber auch nicht schädlich.

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.


Gmer scannen lassen

* Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)
* Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.


Dateien bei Virustotal hochladen

Lasse bitte außerdem die folgenden Dateien bei virustotal auswerten.
Poste die gesamten Ergebnisse hier, mit MD5 und SHA1.

Zitat:

C:\WINDOWS\Voy62.sys
C:\WINDOWS\system32\drivers\Nqg16.sys
C:\WINDOWS\system32\drivers\Voy62.sys

lg myrtille

ich verstehe nicht wie ich das mit blbeta.exe starten soll ??

Blacklight:

01/13/08 15:55:30 [Info]: BlackLight Engine 1.0.67 initialized
01/13/08 15:55:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/13/08 15:55:30 [Note]: 7019 4
01/13/08 15:55:30 [Note]: 7005 0
01/13/08 15:55:37 [Note]: 7006 0
01/13/08 15:55:37 [Note]: 7011 1552
01/13/08 15:55:38 [Note]: 7026 0
01/13/08 15:55:38 [Note]: 7026 0
01/13/08 15:55:38 [Note]: 7024 3
01/13/08 15:55:38 [Info]: Hidden process: C:\WINDOWS\System32\qmmnokha.exe
01/13/08 15:55:38 [Note]: 7024 3
01/13/08 15:55:38 [Info]: Hidden process: C:\Programme\Internet Explorer\iexplore.exe
01/13/08 15:55:38 [Note]: 7024 3
01/13/08 15:55:38 [Info]: Hidden process: C:\Programme\Internet Explorer\iexplore.exe
01/13/08 15:55:41 [Note]: FSRAW library version 1.7.1024
01/13/08 15:59:51 [Info]: Hidden file: c:\WINDOWS\system32\lanmandrv.sys
01/13/08 15:59:51 [Note]: 10002 1
01/13/08 15:59:51 [Info]: Hidden file: c:\WINDOWS\system32\lanmanwrk.exe
01/13/08 15:59:51 [Note]: 10002 1
01/13/08 15:59:52 [Info]: Hidden file: C:\WINDOWS\System32\qmmnokha.exe
01/13/08 15:59:52 [Note]: 10002 1
01/13/08 16:00:32 [Note]: 2000 1012
01/13/08 16:02:44 [Note]: 7007 0

Hi,
du hast dir offensichtlich ein Rootkit eingefangen. Daher würde ich dir empfehlen deinen Rechner neuaufzusetzen.

Wenn du das (vorerst, ich kann nicht garantieren, dass man den Rechner sauberkriegen kann) nicht tun willst, brauche ich noch die weiteren Scans und insbesondere die Auswertung der 3 Dateien, die ich am Ende genannt habe.
Ich vermute, du hast noch mehr auf dem Rechner.

lg myrtille

Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc
Started logging on 13.01.2008 at 16:25:02
Hidden: process C:\WINDOWS\System32\qmmnokha.exe
Hidden: process C:\Programme\Internet Explorer\iexplore.exe
Hidden: process C:\Programme\Internet Explorer\iexplore.exe
Hidden: registry item \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe
Warning: Error parsing raw registry hive S-1-5-18. Registry scan may not be
supported on this version of Windows.
Hidden: file C:\WINDOWS\system32\lanmanwrk.exe
Hidden: file C:\WINDOWS\system32\qmmnokha.exe
Hidden: file C:\WINDOWS\system32\lanmandrv.sys
Stopped logging on 13.01.2008 at 16:28:37


Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc
Started logging on 13.01.2008 at 16:33:22
Hidden: process C:\WINDOWS\System32\qmmnokha.exe
Hidden: process C:\Programme\Internet Explorer\iexplore.exe
Hidden: process C:\Programme\Internet Explorer\iexplore.exe
Hidden: registry item \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}\InprocServer32
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA}
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0014-ABCDEFFEDCBC}
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0015-ABCDEFFEDCBA}
Warning: Failed to query live registry key \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0016-ABCDEFFEDCBB}\InprocServer32.
You may not have access rights to the whole registry.
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0020-ABCDEFFEDCBC}\InprocServer32
Warning: Failed to query live registry key \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0021-ABCDEFFEDCBA}.
You may not have access rights to the whole registry.
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0021-ABCDEFFEDCBB}\InprocServer32
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0023-ABCDEFFEDCBB}
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0024-ABCDEFFEDCBA}\InprocServer32
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0024-ABCDEFFEDCBB}
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBB}
Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{E19F9331-3110-11D4-991C-005004D3B3DB}
Warning: Error parsing raw registry hive S-1-5-18. Registry scan may not be
supported on this version of Windows.
Hidden: file C:\WINDOWS\system32\lanmanwrk.exe
Hidden: file C:\WINDOWS\system32\qmmnokha.exe
Hidden: file C:\WINDOWS\system32\lanmandrv.sys
Stopped logging on 13.01.2008 at 16:36:14

die scans von diesen 3 dateien? Es steht immer dasselbe:
und zwar das hier:

0 bytes size received / Se ha recibido un archivo vacio

Mahlzeit. Ich hab ein Problem,

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

genau das selbe kommt auch bei mir ^^

*grml* Ok, also alles nochmal, ich würd ja schwören, dass ich dir das schon vor ner Stunde geschickt hab. *grml*

Also nun im 2. Anlauf:
Die Dateien sind wahrscheinlich 0 Byte groß, weil sie sich vor dem hochladen schützen. Am besten gehst du hin und kopierst die Datei zb auf den Desktop, benennst sie in virus.vir oder Ähnliches um und lädst sie erneut hoch.
Dann fehlt mir noch das Log von Gmer.

Außerdem würde ich dich bitten noch folgende Anleitung abzuarbeiten:
ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Beende alle derzeit laufenden Prozesse
-Starte nun die combofix.exe, bestätige mit (1), dass du den Disclaimer gelesen und akzeptiert hast und lass die Bereinigung durchlaufen
-Combofix wird eventuell deinen Rechner neustarten, lass das bitte zu. Kopiere zum Schluß den erscheinenden Text ab, und füge ihn in deinen Beitrag im Board ein. Sollte der Text nicht automatisch erscheinen, solltest du ihn in der Datei C:\combofix.txt finden.

lg myrtille

Dieser ist auf dem Rechner aktiv, zudem sind die Avira Signaturen veraltet!
Damit macht ein weiterer Scan nur sehr wenig Sinn, aber lassen wir die myrtille mal machen, kann ja auch interessant werden.