hallo
habe in meinem temp eine dc.exe gefunden und ein backdoor.log dazu....
habe dann im tuneup utilities startup manager ebenfalls das
dc.exe gefunden und dann deaktiviert, damit es nicht immer beim hochfahren mitgeladen wird.
google hat mir angezeigt, es sei ein trojaner...?

anbei mein logfile (wo ich die exe nicht finde komischerweise)
aber es ist nach wie vor da...




Logfile of HijackThis v1.99.1
Scan saved at 20:56:19, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\T-ONLI~1\BSW4\ToADiMon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Eumex 504PC USB\Capictrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\alle\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLI~1\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{32CCDD0F-8211-4FBA-AAE2-990242480DF4}: NameServer = 217.237.150.51 217.237.151.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{32CCDD0F-8211-4FBA-AAE2-990242480DF4}: NameServer = 217.237.150.51 217.237.151.142
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe


vielleicht ist da ja auch noch anderer krams zu finden,
wäre lieb, wenn mal ein profi draufschaut

danke im voraus!!!!!!!!

Hallo.


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

dc.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Cleanup

Lade dir den Cleanup und lass wie auf dem Bild eingestellt dein System bereinigen.


Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
3.) starte deinen Rechner neu auf
4.) öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils NUR die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an.

Zitat:

Zitat von Verzeichnisse

* Verzeichnis von C:\
* Verzeichnis von C:\WINDOWS\system
* Verzeichnis von C:\WINDOWS\system32
* Verzeichnis von C:\WINDOWS
* Verzeichnis von C:\WINDOWS\Prefetch
* Verzeichnis von C:\WINDOWS\tasks
* Verzeichnis von C:\WINDOWS\Temp
* Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Gruß
Sunny

hier das filelist:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 3876-497B

Verzeichnis von C:\

05.02.2007 22:43 43 filelist.txt
05.02.2007 21:33 200.855.552 hiberfil.sys
05.02.2007 21:33 301.989.888 pagefile.sys
18.12.2006 20:23 375 TO_InstallLog.txt
18.12.2006 20:19 0 ToCaclLE.txt
18.12.2006 20:19 309 ToCaclLD.txt
10.02.2006 19:23 3.072 propertiesTable.cdx
10.02.2006 19:23 457 propertiesTable.dbf
10.02.2006 19:23 457 propertiesTable.bak
10.02.2006 19:22 361 ROFImagesTable.bak
10.02.2006 19:22 361 ROFImagesTable.dbf
10.02.2006 19:22 6.144 ROFImagesTable.cdx
10.02.2006 19:22 393 ROFTable.bak
10.02.2006 19:22 3.072 ROFTable.cdx
10.02.2006 19:22 393 ROFTable.dbf
10.02.2006 19:21 489 EXIFTable.dbf
10.02.2006 19:21 489 EXIFTable.bak
10.02.2006 19:21 3.072 EXIFTable.cdx
10.02.2006 19:21 361 managedFolderTable.bak
10.02.2006 19:21 361 managedFolderTable.dbf
10.02.2006 19:21 361 keywordImagesTable.bak
10.02.2006 19:21 361 keywordImagesTable.dbf
10.02.2006 19:21 6.144 keywordImagesTable.cdx
10.02.2006 19:20 4.608 keywordTable.cdx
10.02.2006 19:20 457 keywordTable.bak
10.02.2006 19:20 457 keywordTable.dbf
10.02.2006 19:20 425 albumImagesTable.dbf
10.02.2006 19:20 425 albumImagesTable.bak
10.02.2006 19:20 7.680 albumImagesTable.cdx
10.02.2006 19:19 4.608 albumTable.cdx
10.02.2006 19:19 585 albumTable.bak
10.02.2006 19:19 585 albumTable.dbf
10.02.2006 19:19 937 imageTable.dbf
10.02.2006 19:19 9.216 imageTable.cdx
10.02.2006 19:19 425 pathnameTable.bak
10.02.2006 19:19 425 pathnameTable.dbf
10.02.2006 19:19 937 imageTable.bak
10.02.2006 19:19 4.608 pathnameTable.cdx
10.02.2006 19:19 512 imageTable.fpk
10.02.2006 19:19 512 imageTable.fpt
10.02.2006 19:19 786 administrativeInfo.dbf
10.02.2006 19:19 786 administrativeInfo.bak
10.02.2006 19:18 0 CB_Server_Errors.txt
21.05.2005 09:29 13.030 PDOXUSRS.NET

die dc.exe finde ich plötzlich nicht mehr *staun* daher konnte ich das virustotal nicht machen...hmpf

CleanUp! started on 02/05/07 22:46:27.
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020520070206\index.dat - deleted
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020520070206\ - deleted
'Typed URLs' (Internet Explorer) - removed from the registry.
Visited: alle@file:///C:/Dokumente%20und%20Einstellungen/alle/Desktop/filelist.zip - deleted
C:\Dokumente und Einstellungen\alle\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Anwendungsdaten\Mozilla\Firefox\Profiles\h4ujsg1s.default\history.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Anwendungsdaten\Mozilla\Firefox\Profiles\h4ujsg1s.default\cookies.txt.old - deleted
C:\Dokumente und Einstellungen\alle\Recent\filelist.zip.lnk - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\Perflib_Perfdata_ebc.dat currently in use. Will be deleted when Windows is restarted.
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2178_ulisa.sys - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2179_Capi20.sys - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2180_CAPI20.DLL - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2181_capi2032.dll - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2182_PROVB.JPG - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2183_CAPICTRL.HTM - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2184_Allgem.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2185_Ereig.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2186_Erweitrt.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2187_Info.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2188_Kompakt.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2189_Capictrl.exe - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2190_Start.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2191_PROVN.JPG - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2192_Sicher.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2193_SICHERN.JPG - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2194_Standard.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2195_Provider.jpg - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2196_e404conf.dll - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2197_Einrichtung.exe - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2198_FlashLoad.exe - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2199_isdnEumx.inf - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2200_FLDEVICE.DLL - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2201_fllang.dll - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2202_TELEKOM.REG - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2203_DETEWECP.SYS - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2204_ulisa.dll - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2235_cc_lang.dll - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2264_TCI.DLL - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2265_eumex4sp.tsp - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\F2267_e504_v207.efw - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\2ADC2B\ - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\C1509562\ - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\AAWTMP\ - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\Perflib_Perfdata_ebc.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\temp\WGAErrLog.txt - deleted
C:\WINDOWS\temp\WGANotify.settings - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\Prefetch\CAPICTRL.EXE-0D2D2E76.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted
C:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf - deleted
C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted
C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf - deleted
C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted
C:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf - deleted
C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf - deleted
C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf - deleted
C:\WINDOWS\Prefetch\HPWUSCHD2.EXE-08E18A7C.pf - deleted
C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted
C:\WINDOWS\Prefetch\INCD.EXE-33772494.pf - deleted
C:\WINDOWS\Prefetch\Layout.ini - deleted
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted
C:\WINDOWS\Prefetch\OSA.EXE-0082CBE3.pf - deleted
C:\WINDOWS\Prefetch\SMC.EXE-0B61F84B.pf - deleted
C:\WINDOWS\Prefetch\SSSTARS.SCR-2D6FC20D.pf - deleted
C:\WINDOWS\Prefetch\TOADIMON.EXE-13BF871D.pf - deleted
C:\WINDOWS\Prefetch\TOMCAT.EXE-1B7D7353.pf - deleted
C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted
C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
Emptied Recycle Bin on drive C:
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 8.6 MB of disk space from 65 files.
CleanUp! finished on 02/05/07 22:46:30.

so starte dann mal neu....

super nach dem neustart isse wieder da:

hier also von vorn das hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23:02:16, on 05.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\T-ONLI~1\BSW4\ToADiMon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eumex 504PC USB\Capictrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\alle\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLI~1\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\alle\LOKALE~1\Temp\dc.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe


virustotal findet die datei nicht (in temp wie laut dem log oben isse nicht????)

hier die ca. 30 letzten eintäge vom filelist:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 3876-497B

Verzeichnis von C:\

05.02.2007 23:06 43 filelist.txt
05.02.2007 21:33 200.855.552 hiberfil.sys
05.02.2007 21:33 301.989.888 pagefile.sys
18.12.2006 20:23 375 TO_InstallLog.txt
18.12.2006 20:19 0 ToCaclLE.txt
18.12.2006 20:19 309 ToCaclLD.txt
10.02.2006 19:23 3.072 propertiesTable.cdx
10.02.2006 19:23 457 propertiesTable.dbf
10.02.2006 19:23 457 propertiesTable.bak
10.02.2006 19:22 361 ROFImagesTable.bak
10.02.2006 19:22 361 ROFImagesTable.dbf
10.02.2006 19:22 6.144 ROFImagesTable.cdx
10.02.2006 19:22 393 ROFTable.bak
10.02.2006 19:22 3.072 ROFTable.cdx
10.02.2006 19:22 393 ROFTable.dbf
10.02.2006 19:21 489 EXIFTable.dbf
10.02.2006 19:21 489 EXIFTable.bak
10.02.2006 19:21 3.072 EXIFTable.cdx
10.02.2006 19:21 361 managedFolderTable.bak
10.02.2006 19:21 361 managedFolderTable.dbf
10.02.2006 19:21 361 keywordImagesTable.bak
10.02.2006 19:21 361 keywordImagesTable.dbf
10.02.2006 19:21 6.144 keywordImagesTable.cdx
10.02.2006 19:20 4.608 keywordTable.cdx
10.02.2006 19:20 457 keywordTable.bak
10.02.2006 19:20 457 keywordTable.dbf
10.02.2006 19:20 425 albumImagesTable.dbf
10.02.2006 19:20 425 albumImagesTable.bak
10.02.2006 19:20 7.680 albumImagesTable.cdx
10.02.2006 19:19 4.608 albumTable.cdx
10.02.2006 19:19 585 albumTable.bak
10.02.2006 19:19 585 albumTable.dbf
10.02.2006 19:19 937 imageTable.dbf
10.02.2006 19:19 9.216 imageTable.cdx
10.02.2006 19:19 425 pathnameTable.bak
10.02.2006 19:19 425 pathnameTable.dbf
10.02.2006 19:19 937 imageTable.bak
10.02.2006 19:19 4.608 pathnameTable.cdx
10.02.2006 19:19 512 imageTable.fpk
10.02.2006 19:19 512 imageTable.fpt
10.02.2006 19:19 786 administrativeInfo.dbf
10.02.2006 19:19 786 administrativeInfo.bak
10.02.2006 19:18 0 CB_Server_Errors.txt
21.05.2005 09:29 13.030 PDOXUSRS.NET


ich hoffe das hilft dir etwas weiter????

und nochmal das cleanup

CleanUp! started on 02/05/07 23:10:12.
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020520070206\index.dat - deleted
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020520070206\ - deleted
'Typed URLs' (Internet Explorer) - removed from the registry.
Visited: alle@file:///C:/Dokumente%20und%20Einstellungen/alle/Desktop/filelist.zip - deleted
Visited: alle@file:///C:/Dokumente%20und%20Einstellungen/alle/Desktop/hijackthis.zip - deleted
C:\Dokumente und Einstellungen\alle\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Anwendungsdaten\Mozilla\Firefox\Profiles\h4ujsg1s.default\history.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Anwendungsdaten\Mozilla\Firefox\Profiles\h4ujsg1s.default\cookies.txt.old - deleted
C:\Dokumente und Einstellungen\alle\Recent\filelist.zip.lnk - deleted
C:\Dokumente und Einstellungen\alle\Recent\hijackthis.zip.lnk - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\Perflib_Perfdata_104.dat currently in use. Will be deleted when Windows is restarted.
C:\DOKUME~1\alle\LOKALE~1\Temp\AVSETUP_45c7a714\ - deleted
C:\DOKUME~1\alle\LOKALE~1\Temp\Perflib_Perfdata_104.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\temp\WGAErrLog.txt - deleted
C:\WINDOWS\temp\WGANotify.settings - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\alle\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\Prefetch\ANTIVIR_WORKSTATION_WIN7U703_-06EF3744.pf - deleted
C:\WINDOWS\Prefetch\AVGNT.EXE-36CA4640.pf - deleted
C:\WINDOWS\Prefetch\AVGUARD.EXE-3490B18B.pf - deleted
C:\WINDOWS\Prefetch\AVNOTIFY.EXE-22AE9451.pf - deleted
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted
C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted
C:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf - deleted
C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf - deleted
C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-008059BD.pf - deleted
C:\WINDOWS\Prefetch\HPWUSCHD2.EXE-08E18A7C.pf - deleted
C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted
C:\WINDOWS\Prefetch\INCD.EXE-33772494.pf - deleted
C:\WINDOWS\Prefetch\INTEGRATOR.EXE-3967D297.pf - deleted
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted
C:\WINDOWS\Prefetch\OSA.EXE-0082CBE3.pf - deleted
C:\WINDOWS\Prefetch\PREUPD.EXE-358AA1C1.pf - deleted
C:\WINDOWS\Prefetch\SCHED.EXE-236A886F.pf - deleted
C:\WINDOWS\Prefetch\SETUP.EXE-2FBA8B97.pf - deleted
C:\WINDOWS\Prefetch\SMC.EXE-0B61F84B.pf - deleted
C:\WINDOWS\Prefetch\STARTUPMANAGER.EXE-2D368FFC.pf - deleted
C:\WINDOWS\Prefetch\TOADIMON.EXE-13BF871D.pf - deleted
C:\WINDOWS\Prefetch\UPDATE.EXE-13D57D76.pf - deleted
C:\WINDOWS\Prefetch\UPDATE.EXE-39049858.pf - deleted
C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted
C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
Emptied Recycle Bin on drive C:
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 944.5 KB of disk space from 37 files.
CleanUp! finished on 02/05/07 23:10:14.

sorry...

aber ich bin irgendwie schon auf seite 4 gerutscht gewesen und dann findet den beitrag hinetrher niemand mehr *duck*

wollt nur nochmal *pieps* sagen, weil ich mein problem nicht in den griff bekomme....

danke!