Hallo!
Ich habe nach einem virusscan gestern abend diverse Schädlinge entdeckt die ich irgendwie nicht loswerde.
Weder Über Antivir, noch Bitdefender konnten sie entfernt werden und das Verzeichnis in denen sie teilweise gefunden werden existiert gar nicht, also lässt sich da auch manuell nichts machen. Bin allerdings eher ein anfänger was diese dinge angeht deswegen hier erstmal der HijackThis logfile, der antivir report und der bitdefender report.
Bitte sehr sehr sehr um hilfe da ich wirklich keine lust habe den pc neuaufzusetzen!




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 17. Mai 2006 13:46

Es wird nach 383695 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.38 593960 22.04.2006 21:25:35
AVSCAN.DLL : 7.0.0.38 57384 22.04.2006 21:25:35
LUKE.DLL : 7.0.0.37 118824 22.04.2006 21:25:36
LUKERES.DLL : 7.0.0.37 32808 22.04.2006 21:25:36
ANTIVIR0.VDF : 6.32.0.60 4323840 22.04.2006 21:25:34
ANTIVIR1.VDF : 6.34.1.87 2215424 22.04.2006 21:25:34
ANTIVIR2.VDF : 6.34.1.88 1536 22.04.2006 21:25:35
ANTIVIR3.VDF : 6.34.1.92 8192 22.04.2006 21:25:35
AVEWIN32.DLL : 7.0.0.9 1212928 22.04.2006 21:25:35
AVPREF.DLL : 7.0.0.1 53288 22.04.2006 21:25:35
AVREP.DLL : 6.34.1.70 581672 22.04.2006 21:25:35
AVRPBASE.DLL : 7.0.0.0 2162728 11.05.2006 22:04:05
AVPACK32.DLL : 7.0.0.4 335912 22.04.2006 21:25:35
AVREG.DLL : 6.31.0.90 27688 22.04.2006 21:25:35
NETNT.DLL : 6.32.0.0 6696 22.04.2006 21:25:36
NETNW.DLL : 6.32.0.0 9768 22.04.2006 21:25:36
RCIMAGE.DLL : 7.0.0.63 1613864 22.04.2006 21:25:37
RCTEXT.DLL : 7.0.0.62 73768 22.04.2006 21:25:38

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 0
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Mittwoch, 17. Mai 2006 13:46


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 30 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 13 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\_RESTORE\ARCHIVE\FS12.cab
[0] Archivtyp: CAB (Microsoft)
--> A0000277.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS17.cab
[0] Archivtyp: CAB (Microsoft)
--> A0000524.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS41.cab
[0] Archivtyp: CAB (Microsoft)
--> A0007734.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS18.cab
[0] Archivtyp: CAB (Microsoft)
--> A0000677.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS22.cab
[0] Archivtyp: CAB (Microsoft)
--> A0001513.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS31.cab
[0] Archivtyp: CAB (Microsoft)
--> CHANGE.LOG
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS32.cab
[0] Archivtyp: CAB (Microsoft)
--> A0004231.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS35.cab
[0] Archivtyp: CAB (Microsoft)
--> A0005353.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS23.cab
[0] Archivtyp: CAB (Microsoft)
--> A0001722.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS44.cab
[0] Archivtyp: CAB (Microsoft)
--> A0009187.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS68.cab
[0] Archivtyp: CAB (Microsoft)
--> A0011086.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS89.cab
[0] Archivtyp: CAB (Microsoft)
--> A0013178.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS75.cab
[0] Archivtyp: CAB (Microsoft)
--> A0011493.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS77.cab
[0] Archivtyp: CAB (Microsoft)
--> A0011703.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS37.cab
[0] Archivtyp: CAB (Microsoft)
--> A0007366.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS82.cab
[0] Archivtyp: CAB (Microsoft)
--> A0011948.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS85.cab
[0] Archivtyp: CAB (Microsoft)
--> A0012963.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS84.cab
[0] Archivtyp: CAB (Microsoft)
--> A0014361.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS91.cab
[0] Archivtyp: CAB (Microsoft)
--> A0014157.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS83.cab
[0] Archivtyp: CAB (Microsoft)
--> A0012128.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS94.cab
[0] Archivtyp: CAB (Microsoft)
--> A0014243.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS96.cab
[0] Archivtyp: CAB (Microsoft)
--> A0014311.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS110.cab
[0] Archivtyp: CAB (Microsoft)
--> A0018572.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS117.cab
[0] Archivtyp: CAB (Microsoft)
--> A0020622.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS114.cab
[0] Archivtyp: CAB (Microsoft)
--> A0019664.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS125.cab
[0] Archivtyp: CAB (Microsoft)
--> A0024817.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS120.cab
[0] Archivtyp: CAB (Microsoft)
--> A0021759.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS133.cab
[0] Archivtyp: CAB (Microsoft)
--> A0026182.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS138.cab
[0] Archivtyp: CAB (Microsoft)
--> A0028401.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS135.cab
[0] Archivtyp: CAB (Microsoft)
--> A0028193.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS132.cab
[0] Archivtyp: CAB (Microsoft)
--> A0026147.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS136.cab
[0] Archivtyp: CAB (Microsoft)
--> A0028395.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS147.cab
[0] Archivtyp: CAB (Microsoft)
--> A0030643.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS143.cab
[0] Archivtyp: CAB (Microsoft)
--> A0028528.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS153.cab
[0] Archivtyp: CAB (Microsoft)
--> A0031869.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS154.cab
[0] Archivtyp: CAB (Microsoft)
--> A0032229.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS144.cab
[0] Archivtyp: CAB (Microsoft)
--> A0029529.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS150.cab
[0] Archivtyp: CAB (Microsoft)
--> A0031257.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS152.cab
[0] Archivtyp: CAB (Microsoft)
--> A0031765.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS173.cab
[0] Archivtyp: CAB (Microsoft)
--> A0037151.CPY
[FUND] Ist das Trojanische Pferd TR/Killav.DB.2
--> A0037152.CPY
[FUND] Ist das Trojanische Pferd TR/Killav.DB.2
--> A0037153.CPY
[FUND] Ist das Trojanische Pferd TR/Dldr.Proxy.Sm.BO
--> A0037154.CPY
[FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.BZ
--> A0037155.CPY
[FUND] Ist das Trojanische Pferd TR/Killav.DB.2
--> A0037156.CPY
[FUND] Ist das Trojanische Pferd TR/Click.Small.KR
--> A0037157.CPY
[FUND] Ist das Trojanische Pferd TR/Killav.DB.2
--> A0037158.CPY
[FUND] Ist das Trojanische Pferd TR/Dldr.Proxy.Sm.BO
[INFO] Die Datei wurde gelöscht.
C:\_RESTORE\ARCHIVE\FS177.cab
[0] Archivtyp: CAB (Microsoft)
--> A0040165.CPY
[FUND] Enthält Signatur des Droppers DR/Agent.HD
--> A0040167.CPY
[FUND] Enthält Signatur des Droppers DR/Agent.HD
--> A0040175.CPY
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.I.2
--> A0040176.CPY
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.I.1
--> A0040177.CPY
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.I.1
--> A0040181.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[INFO] Die Datei wurde gelöscht.
C:\_RESTORE\ARCHIVE\FS179.cab
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.3
[INFO] Die Datei wurde gelöscht.
C:\_RESTORE\ARCHIVE\FS180.cab
[0] Archivtyp: CAB (Microsoft)
--> A0040253.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS164.cab
[0] Archivtyp: CAB (Microsoft)
--> A0033975.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{310C6AD0-8B8C-4922-B45F-5F46EFBCAB4F}\RP20\A0002290.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Harnig.BJ.1
[INFO] Die Datei wurde gelöscht.
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\SoftwareDistribution\EventCache\{675AEAA8-2CA6-4653-97D5-E7B89F11590B}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\hijackthis.log
[FUND] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbeam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbeao
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbdam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbdao
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbu2d.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbc2e.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbvmh.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbvm.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbm
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\fiih.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\fii.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\rpmh.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\rpm.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 17. Mai 2006 15:01
Benötigte Zeit: 1:15:29 min

Der Suchlauf wurde vollständig durchgeführt.

2390 Verzeichnisse wurden überprüft
166066 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2475 Archive wurden durchsucht
38 Warnungen
0 Hinweise



Logfile of HijackThis v1.99.1
Scan saved at 18:54:53, on 17.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145741408590
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147017058107
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

mOIn sil78,
versuche mal das hier :
Systemwiederherstellung deaktivieren in Windows XP
und anschließend neuen Scan mit AntiVir und berichten.
MFG aus HH

so habs gemacht und antivir hat im abgesicherten modus keine Viren mehr gefunden, nur 17 warnungen.

Hier der neue HijackThis Logfile

Logfile of HijackThis v1.99.1
Scan saved at 21:57:06, on 17.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145741408590
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147017058107
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

mach jetzt nochmal einen scan mit bitdefender oder ähnliches.
Freut mich von meiner heimatstadt unterstützt zu werden!

Dein Logfile sieht jetzt sauber aus. Mach mal ein Check mit eScan und poste das mit der FIND.BAT erstellt Logfile. Anleitung unten in meiner Signatur.
btw: Hast Du das zweite Hijackthis-Logfile im agbesicherten Modus erstellt?

ja der logfile wurde im abgesicherten modus gemacht, sollte das nicht so sein?
mach jetzt e-scan muss nur wissen ob ich das auch abgesichert machen soll (also abgesichert mit netzwerk) oder im normalen modus und wann soll ich systemwiederherstellung wieder an machen?

so nochmal mein logfile bei normalem systemstart allerdings bei deaktivierter systemwiederherstellung.

Logfile of HijackThis v1.99.1
Scan saved at 22:46:31, on 17.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
D:\WINDOWS\system32\wuauclt.exe
D:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145741408590
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147017058107
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Zitat:

Zitat von sil78

ja der logfile wurde im abgesicherten modus gemacht, sollte das nicht so sein?
mach jetzt e-scan muss nur wissen ob ich das auch abgesichert machen soll (also abgesichert mit netzwerk) oder im normalen modus und wann soll ich systemwiederherstellung wieder an machen?

Escan wäre m. E. sogar besser im abgesicherten Modus, nur brauchste Du eine Internetverbindung zum Aktualisieren der Signaturen. Aber lass den erstmal durchlaufen und poste dann wie erwähnt das Log von FIND.BAT erstellt.
Die Systemwiederherstellung braucht man imho garnicht, denn sie ersetzt keine Backups auf externen Datenträgern. Vllt. ist sie für einige User ganz praktisch wegen der Wiederherstellungspunkte, kann aber eben auch Ärger nach sich ziehen, wenn sich gerade in dem Ordner dafür irgendwelche Schädlinge tümmeln. Und Speicherplatz frisst sie auch ganz schön.