iexplorer. exe bis zu 10mal im Tasmanager
 

Hallo zusammen,

ich hoffe, mir kann jemand helfen. Vorweg, ich bin absoluter Laie! Das Problem: In meinem Taskmanager tauchen zuweilen 10 "iexplore. exe" auf. Dabei benutze ich den Windowsinternetexplorer gar nicht (dazu gehört die doch, oder?). Sämtliche Scans ("Anti-Malwarebytes", "Kasperski", "Spybot") ergaben keine Ergebnisse. Auf das Problem bin ich nur gestoßen, weil mein Internetverkehr über "Firefox" extrem langsam wurde. Nun gestaltet es sich so, dass die "iexplore.exe" nur auftaucht, wenn ich mit "Firefox" im Netz bin; lösche ich sie nicht augenblicklich, dann potenziert sie sich im Minutentakt. Da es hier wohl alle so handhaben, habe ich mal so einen Logfile erstellt - der folgendermaßen aussieht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:28:46, on 23.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\Iexplore.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FE3E1C-A6CD-44AB-94D0-43696B8262DE}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4920 bytes


Mir ist noch aufgefallen - keine Ahnung, ob das wichtig ist -, dass die exe. immer vom System ausgeführt wird, also nicht vom Benutzer. Wenn es sich vermeiden lässt, dann würde ich gerne ein Neuaufsetzen aussparen (hab ich nämlich erst kürzlich), weil das auf meiner Mühle nie so reibungslos funktioniert.

Viele Dank im Voraus,

Pygmalion

Halli hallo.

Erstelle bitte ein AVZ log:AVZ Anleitung

Hi,

vielen, vielen Dank dafür, dass du mir helfen willst.
Hier die geforderten Logs:

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 24.09.2008 13:55:09
Database loaded: signatures - 188307, NN profile(s) - 2, microprograms of healing - 56, signature database released 23.09.2008 23:40
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 73357
Heuristic analyzer mode: Maximum heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Function kernel32.dll:GetProcAddress (409) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Function kernel32.dll:LoadLibraryA (581) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C
Function kernel32.dll:LoadLibraryExA (582) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0
Function kernel32.dll:LoadLibraryExW (583) intercepted, method ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8
Function kernel32.dll:LoadLibraryW (584) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4
IAT modification detected: LoadLibraryA - 7C884F9C<>7C801D7B
IAT modification detected: GetProcAddress - 7C884FEC<>7C80AE30
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Function user32.dll:RegisterRawInputDevices (546) intercepted, method ProcAddressHijack.GetProcAddress ->7E3BCE0E->7EEA0080
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Function NtClose (19) intercepted (805678DD->B2E2A1E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtConnectPort (1F) intercepted (805879EB->B2E282F0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateKey (29) intercepted (8057065D->B2E1B750), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateProcess (2F) intercepted (805B135A->B2E29F10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateProcessEx (30) intercepted (8057FC60->B2E2A080), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateSection (32) intercepted (805652B3->B2E2AD00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateSymbolicLinkObject (34) intercepted (8059F509->B2E2A7B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateThread (35) intercepted (8058E63F->B2E2B600), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDeleteKey (3F) intercepted (805952BE->B2E1B860), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDeleteValueKey (41) intercepted (80592D50->B2E1B8E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDuplicateObject (44) intercepted (805715E0->B2E2A380), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtEnumerateKey (47) intercepted (80570D64->B2E1B990), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtEnumerateValueKey (49) intercepted (8059066B->B2E1BA40), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtFlushKey (4F) intercepted (805DC590->B2E1BAF0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtInitializeRegistry (5C) intercepted (805A8064->B2E1BB70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadDriver (61) intercepted (805A3AF1->B2E27E50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadKey (62) intercepted (805AED5D->B2E1C590), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadKey2 (63) intercepted (805AEB9A->B2E1BB90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtNotifyChangeKey (6F) intercepted (8058A68D->B2E1BC70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenFile (74) intercepted (8056CD5B->F8555030), hook C:\WINDOWS\system32\Drivers\kl1.sys, driver recognized as trusted
Function NtOpenKey (77) intercepted (80568D59->B2E1BD50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenProcess (7A) intercepted (805717C7->B2E29D00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenSection (7D) intercepted (80570FD7->B2E2AB20), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryKey (A0) intercepted (80570A6D->B2E1BE30), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryMultipleValueKey (A1) intercepted (8064E320->B2E1BEE0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQuerySystemInformation (AD) intercepted (8057BC36->B2E2B2B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryValueKey (B1) intercepted (8056A1F1->B2E1BF90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtReplaceKey (C1) intercepted (8064F0FA->B2E1C070), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtRequestWaitReplyPort (C8) intercepted (80576CE6->B2E28900), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtRestoreKey (CC) intercepted (8064EC91->B2E1C100), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtResumeThread (CE) intercepted (8058ECB2->B2E2B5B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSaveKey (CF) intercepted (8064ED92->B2E1C300), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetContextThread (D5) intercepted (8062DCDF->B2E2B940), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetInformationFile (E0) intercepted (8057494A->B2E2BF60), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetInformationKey (E2) intercepted (8064DE83->B2E1C390), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetSecurityObject (ED) intercepted (8059B19B->B2E26A10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetSystemInformation (F0) intercepted (805A7BDD->B2E2A9A0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetValueKey (F7) intercepted (80572889->B2E1C430), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSuspendThread (FE) intercepted (805E045E->B2E2B560), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSystemDebugControl (FF) intercepted (80649CE3->B2E281B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtTerminateProcess (101) intercepted (805822E0->B2E2B150), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtUnloadKey (107) intercepted (8064D9FA->B2E1C550), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtWriteVirtualMemory (115) intercepted (8057E420->B2E2A240), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function FsRtlCheckLockForReadAccess (80512919) - machine code modification Method of JmpTo. jmp B2E2C380 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function IoIsOperationSynchronous (804E875A) - machine code modification Method of JmpTo. jmp B2E2C880 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Functions checked: 284, intercepted: 43, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 25
Analyzer: process under analysis is 1232 C:\WINDOWS\system32\svchost.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Located in system folder
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1440 C:\WINDOWS\system32\svchost.exe
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
[ES]:Located in system folder
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1600 C:\WINDOWS\System32\svchost.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Located in system folder
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1660 C:\WINDOWS\System32\svchost.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Located in system folder
Analyzer: process under analysis is 1828 C:\WINDOWS\System32\svchost.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Located in system folder
Analyzer: process under analysis is 880 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1580 C:\WINDOWS\System32\svchost.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Located in system folder
Analyzer: process under analysis is 3548 C:\Programme\Mozilla Firefox\firefox.exe
[ES]:Contains network functionality
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 2852 C:\PROGRA~1\Versatel\Versatel.exe
[ES]:Contains network functionality
[ES]:Trojan.PSW ?
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Number of modules loaded: 378
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> Abnormal REG files association
>> Service termination timeout is out of admissible values
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 403, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 24.09.2008 13:55:48
Time of scanning: 00:00:42
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
System Analysis in progress
System Analysis - complete



Ohhhhhhh, wo ist denn der erste???? Ich habe ihn gespeichert...und nun ist er weg... Mache ihn nochmal. Momentchen.

Bezüglich HiJacktThis Log:
Mich würde nach wie vor ein TCP View Log interessieren.

Hört sich nach einem Bot/Botnetz an oder Fremdeinfluss durch einen Trojaner.
Haste in letzter Zeit merkwürdige Datein geöffnet die nicht von seriösen Quellen (Webseiten) kamen?

Suche doch mal mit der Windowssuche nach iexplorer.exe und sage in welchen Verzeichnissen die entsprechenden Funde liegen.

Hier der Rest:

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 24.09.2008 14:21:53
Database loaded: signatures - 188307, NN profile(s) - 2, microprograms of healing - 56, signature database released 23.09.2008 23:40
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 73357
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Function kernel32.dll:GetProcAddress (409) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Hook kernel32.dll:GetProcAddress (409) blocked
Function kernel32.dll:LoadLibraryA (581) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C
Hook kernel32.dll:LoadLibraryA (581) blocked
>>> Functions LoadLibraryA - preventing AVZ process from being intercepted by address replacement !!)
Function kernel32.dll:LoadLibraryExA (582) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0
Hook kernel32.dll:LoadLibraryExA (582) blocked
>>> Functions LoadLibraryExA - preventing AVZ process from being intercepted by address replacement !!)
Function kernel32.dll:LoadLibraryExW (583) intercepted, method ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8
Hook kernel32.dll:LoadLibraryExW (583) blocked
Function kernel32.dll:LoadLibraryW (584) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4
Hook kernel32.dll:LoadLibraryW (584) blocked
IAT modification detected: LoadLibraryA - 7C884F9C<>7C801D7B
IAT address restored: LoadLibraryA
IAT modification detected: GetProcAddress - 7C884FEC<>7C80AE30
IAT address restored: GetProcAddress
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Function user32.dll:RegisterRawInputDevices (546) intercepted, method ProcAddressHijack.GetProcAddress ->7E3BCE0E->7EEA0080
Hook user32.dll:RegisterRawInputDevices (546) blocked
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Function NtClose (19) intercepted (805678DD->B2E2A1E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtConnectPort (1F) intercepted (805879EB->B2E282F0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateKey (29) intercepted (8057065D->B2E1B750), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateProcess (2F) intercepted (805B135A->B2E29F10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateProcessEx (30) intercepted (8057FC60->B2E2A080), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateSection (32) intercepted (805652B3->B2E2AD00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateSymbolicLinkObject (34) intercepted (8059F509->B2E2A7B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateThread (35) intercepted (8058E63F->B2E2B600), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteKey (3F) intercepted (805952BE->B2E1B860), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteValueKey (41) intercepted (80592D50->B2E1B8E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtDuplicateObject (44) intercepted (805715E0->B2E2A380), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtEnumerateKey (47) intercepted (80570D64->B2E1B990), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtEnumerateValueKey (49) intercepted (8059066B->B2E1BA40), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtFlushKey (4F) intercepted (805DC590->B2E1BAF0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtInitializeRegistry (5C) intercepted (805A8064->B2E1BB70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadDriver (61) intercepted (805A3AF1->B2E27E50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadKey (62) intercepted (805AED5D->B2E1C590), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadKey2 (63) intercepted (805AEB9A->B2E1BB90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtNotifyChangeKey (6F) intercepted (8058A68D->B2E1BC70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenFile (74) intercepted (8056CD5B->F8555030), hook C:\WINDOWS\system32\Drivers\kl1.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenKey (77) intercepted (80568D59->B2E1BD50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenProcess (7A) intercepted (805717C7->B2E29D00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenSection (7D) intercepted (80570FD7->B2E2AB20), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryKey (A0) intercepted (80570A6D->B2E1BE30), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryMultipleValueKey (A1) intercepted (8064E320->B2E1BEE0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtQuerySystemInformation (AD) intercepted (8057BC36->B2E2B2B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtQueryValueKey (B1) intercepted (8056A1F1->B2E1BF90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtReplaceKey (C1) intercepted (8064F0FA->B2E1C070), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtRequestWaitReplyPort (C8) intercepted (80576CE6->B2E28900), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtRestoreKey (CC) intercepted (8064EC91->B2E1C100), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtResumeThread (CE) intercepted (8058ECB2->B2E2B5B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSaveKey (CF) intercepted (8064ED92->B2E1C300), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetContextThread (D5) intercepted (8062DCDF->B2E2B940), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetInformationFile (E0) intercepted (8057494A->B2E2BF60), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetInformationKey (E2) intercepted (8064DE83->B2E1C390), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetSecurityObject (ED) intercepted (8059B19B->B2E26A10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetSystemInformation (F0) intercepted (805A7BDD->B2E2A9A0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetValueKey (F7) intercepted (80572889->B2E1C430), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSuspendThread (FE) intercepted (805E045E->B2E2B560), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtSystemDebugControl (FF) intercepted (80649CE3->B2E281B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtTerminateProcess (101) intercepted (805822E0->B2E2B150), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtUnloadKey (107) intercepted (8064D9FA->B2E1C550), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function NtWriteVirtualMemory (115) intercepted (8057E420->B2E2A240), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
>>> Hook code blocked
Function FsRtlCheckLockForReadAccess (80512919) - machine code modification Method of JmpTo. jmp B2E2C380 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
Function IoIsOperationSynchronous (804E875A) - machine code modification Method of JmpTo. jmp B2E2C880 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
>>> Function restored successfully !
Functions checked: 284, intercepted: 43, restored: 45
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 27
Number of modules loaded: 386
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFDD2.tmp
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> Abnormal REG files association
>> Service termination timeout is out of admissible values
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 65277, extracted from archives: 42003, malicious software found 0, suspicions - 0
Scanning finished at 24.09.2008 14:46:58
!!! Attention !!! Recovered 45 KiST functions during Anti-Rootkit operation
This may affect execution of several programs, so it is strongly recommended to reboot
Time of scanning: 00:25:07
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete



Übrigens: Kaspersky meldet permanent den folgenden Befund:"24.09.2008 14:21:11 Die Anwendung IEXPLORE.EXE wurde verändert"

Auch wenn du das Internet zu Testzwecken ausschaltest?

Nee, eigentlich hatte ich nichts auf meinem Rechner, d.h. keine komischen, unseriösen Datein. Bin sowieso vorsichtig geworden, weil ich ständig irgendwie befallen bin, obwohl ich nichts aus dem Netz lade... Arbeite kurz die Punkte ab. Ich glaube bei dem Port handelt es sich um versatel; überprüfe das gleich.

Nein, nur wenn ich mit Firerfox im Netz bin.

Ist deine Software up2date?
Sicherheitslücken in veralteter Software >>

Hier der tcpviewlog:

[System Process]:0 TCP nico-c43x98vb4o:1642 62.32.97.15:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1621 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1669 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1637 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1661 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1649 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1625 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1601 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1605 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1677 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1593 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1613 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1657 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1653 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1617 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1665 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1633 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1597 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1641 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1624 demdvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1652 demdvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1632 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1640 194.129.79.50:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1670 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1594 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1622 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1618 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1626 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1631 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1675 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1643 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1615 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1627 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1647 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1655 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1599 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1663 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1667 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1659 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1651 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1611 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1603 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1679 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1639 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1635 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1681 194.116.241.55:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1654 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1662 194.129.79.50:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1658 194.129.79.50:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1646 194.129.79.50:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1608 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1110 localhost:1668 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1680 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1604 localhost:1110 TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1682 194.116.241.55:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1678 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP nico-c43x98vb4o:1623 demdvip1.doubleclick.net:http TIME_WAIT
alg.exe:2236 TCP nico-c43x98vb4o:1028 nico-c43x98vb4o:0 LISTENING
avp.exe:1340 TCP nico-c43x98vb4o:1684 downloads.sysinternals.com:http ESTABLISHED
avp.exe:1340 TCP nico-c43x98vb4o:1110 localhost:1683 ESTABLISHED
avp.exe:1340 TCP nico-c43x98vb4o:1110 nico-c43x98vb4o:0 LISTENING
firefox.exe:1928 TCP nico-c43x98vb4o:1038 localhost:1039 ESTABLISHED
firefox.exe:1928 TCP nico-c43x98vb4o:1040 localhost:1041 ESTABLISHED
firefox.exe:1928 TCP nico-c43x98vb4o:1041 localhost:1040 ESTABLISHED
firefox.exe:1928 TCP nico-c43x98vb4o:1039 localhost:1038 ESTABLISHED
firefox.exe:1928 TCP nico-c43x98vb4o:1683 localhost:1110 ESTABLISHED
iexplore.exe:1640 UDP nico-c43x98vb4o:1390 *:*
iexplore.exe:3284 UDP nico-c43x98vb4o:1387 *:*
iexplore.exe:3576 UDP nico-c43x98vb4o:1374 *:*
lsass.exe:1056 UDP nico-c43x98vb4o:isakmp *:*
lsass.exe:1056 UDP nico-c43x98vb4o:4500 *:*
svchost.exe:1440 TCP nico-c43x98vb4o:epmap nico-c43x98vb4o:0 LISTENING
svchost.exe:1600 UDP 192.168.0.1:bootps *:*
svchost.exe:1600 UDP nico-c43x98vb4o:1031 *:*
svchost.exe:1600 UDP 192.168.0.1:bootpc *:*
svchost.exe:1600 UDP nico-c43x98vb4o:1030 *:*
svchost.exe:1600 UDP 192.168.0.1:domain *:*
svchost.exe:1864 UDP 192.168.0.1:1900 *:*
svchost.exe:1864 UDP nico-c43x98vb4o:1900 *:*
svchost.exe:1864 UDP nico-c43x98vb4o:1900 *:*
System:4 TCP nico-c43x98vb4o:microsoft-ds nico-c43x98vb4o:0 LISTENING
System:4 TCP 192.168.0.1:netbios-ssn nico-c43x98vb4o:0 LISTENING
System:4 UDP 192.168.0.1:netbios-ns *:*
System:4 UDP 192.168.0.1:netbios-dgm *:*
System:4 UDP nico-c43x98vb4o:microsoft-ds *:*

Ja, eigentlich bemühe ich mich regelmäßig um alle Updates.
Hier die Ergebnisse zur iexplore.exe-Suche:
C:\Programme\InernetExplorer
C:\Windows\Prefetch
C:\Windows\ServicePackFiles\i386
C:\Windows\SoftwareDistribution\Download
C:\Windows\SoftwareDistribution\Download

Im TCP View Log konnte ich erstmal nichts Verdächtiges finden, demnach lässt sich fast komplett ausschließen, dass du einen gewöhnlichen Trojaner hast.

Wenn die ieexplore.exe trotz geschlossenem Internetexplorer dennoch im Taskmanager sind, ist dies dennoch merkwürdig.

Ich kann dir jetzt nur noch folgendes raten:

a-squared Free Scan ausführen
Bitte lade dir a-squared Free herunter. Führe ein Update aus und mache einen vollständigen Scan. Lösche am Ende noch keine Funde sondern liste alle Funde samt deren Fundort (Verzeichnis) hier auf. Dabei musst du die Tracking Cookies nicht nennen.

Und das die iexplore.exe bei folgenden Diensten überprüfen lässt:
Ps. Im Titel steht nicht iexplore sondern iexplorer war das ein Rechtschreibfehler oder welches der beiden wird im Taskmanager angezeigt.

Tests durchführen
1. Avira Labor
Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben.

2. Anubis
Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse.

3. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

Eventuell kann dir dann noch undoreal weiterhelfen, wenn er deine AVZ Logs auswertet.

Vielen Dank, ich gehe die Punkte einzeln durch. Nein, das ist ein Fehler gewesen: Im Taskmanager steht iexplore. exe. Ich werde noch verrückt. Alle zwei Minuten kommt diese Kasperskymeldung....

Also entweder lässt du die Dateien von AVIRA und ANUBIS(?) testen, oder aber nur von Virustotal!
Denn beim hochladen bei VT werden die Dateien automatisch an alle Labore verschickt.
Man muss den Leuten ja nicht mehr Arbeit machen als sie schon haben. ;)

Virustoal leitet die Datein an den Virenscannerherstellern weiter, aber nicht vorrangig. Wer es bei Avira direkt hochlädt wird bei der Auswertung bevorzugt.

Anbubis ist ein Dienst der Datein ausführt und genau anzeigt welche Aktivitäten in der Registry / File / Internet usw sie getätigt haben. Welche DLLS sie ausgelesen haben und noch vieles mehr.
Siehe Samples

Hat alles seine Gründe, das ich es so sage wie ich es sage :)

So, habe den Scan mit a-squared gemacht - folgendes Resultat: Riskware.PSWTOOL.Win32.AirCrack.c
Habe den Verdacht, dass dieses Ergebnis mit einem Program zusammenhängt, dass mir mal ein Freund gegeben hat, weil ich mein Versatelpasswort nicht mehr gefunden habe. Damit sollte es funktionieren - ging aber nicht. Eigentlich dachte ich aber, dass ich es vollständig gelöscht habe...Aber ihr wisst ja bestimmt, worum es sich dabei handelt. Mehr Ergebnisse brachte auch a-squared nicht.... :(

Hier noch ein paar Infos - vieleicht bringen die ja etwas:

1. Mein Kaspersky läuft in 5 Tage ab: Bekomme beim Hochfahren immer eine Meldung.
2. Hatte diesen komischen Googlebrowser kurz auf dem Rechner.
3. Bekomme regelmäßig (etwa seit einem Jahr) die Meldung, dass ein Wormhellkern mich angreift.
4. Es ist immer eine msmsgs.exe aktiv, die ich nicht genau zuordnen kann.

Kann schon damit zusammenhängen.
Quelle: emsisoft.com
Hatte oben aber noch weitere Aufgaben...

Also lösche ich das Ding mal. Ja klar, bin ja dabei. Ist ja nur ein Zwischenergebnis gewesen ;-)

Hallo,
ich habe die Scans alle abgeschlossen. Kein Dienst konnte etwas finden. Leider kann ich nun nicht mehr auf mein Mailpostfach zugreifen (kein Plan, ob das mit der ganzen Angelegenheit zusammenhängt), weshalb ich die Logs nicht posten kann. Nun aber ein Überraschung: Ich habe Bitdefender durchlaufen lassen und folgendes Ergebnis:

Online Scanner


Bericht erstellt am: Thu, Sep 25, 2008 - 15:53:32


Zu prüfender Pfad: C:\;D:\;E:\;F:\;


Statistik

Zeit


00:22:38

Dateien


48070

Ordner


3652

Boot-Sektoren


0

Archive


605

Komprimierte Dateien


4689







Ergebnisse

Erkannte Viren


1

Infizierte Dateien


1

verdächtige Dateien


0

Warnungen


0

Desinfiziert


0

Gelöscht


0


Engine-Info

Virensignaturen


1809667

Engine info


AVCORE v1.7 (build 8314.19) (i386) (Sep 10 2008 19:37:42)

Prüf-Plugins


16

Archiv-Plugins


43

Extraktions-Plugins


7

E-Mail-Plugins


6

System-Plugins


4

Prüfeinstellungen

Primäre Aktion


Desinfizieren

Sekundäre Aktion


Löschen

Heuristik


Ja

Warnungen aktivieren


Ja

Zu prüfende Erweiterungen


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp ;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Auszuschließende Erweiterungen


E-Mails prüfen


Ja

Archive prüfen


Ja

Komprimierte Dateien prüfen


Ja

Dateien prüfen


Ja

Boot-Sektoren prüfen


Ja

Geprüfte Dateien


Status

C:\WINDOWS\system32\netwoman.dll


Infiziert: Trojan.Downloader.Agent.ZNZ

C:\WINDOWS\system32\netwoman.dll


Desinfektion fehlgeschlagen

C:\WINDOWS\system32\netwoman.dll


Löschung fehlgeschlagen


Ich habe noch nichts unternommen, also auch nicht versucht, das Ding manuell zu löschen. Was nun?

Wenn ich mich nicht irre, dann ist doch die dll netman für Netzwerkverbindungen zuständig. netwoman scheint ja eventuell die Lösung meines Problems zu sein.

Hm, also über den angegebene Pfad findet sich netwoman nicht. Ebenso mit der Suche-Funktion kann ich nichts finden.

Zu einer dll Datei zählt auch immer eine ausführbare Datei /exe/scr...
Zu dem Trojaner Downloader finde ich keine genaueren Infos jedoch ist
es wirklich ein Trojaner Downloader wird dir nur noch formatieren helfen, die
wieder los zu werden.

@Off Topic@
Einen Trojan-Downloader selber kann man schon entfernen , aber man weiß halt nicht was der alles so nachgeladen hat. :rolleyes:
Mir fällt auf , das Du so manches mal tief ins Klo greifst und dann noch auf Profi machst. *hust*
Überlass das mal den älteren Mitgliedern. Vor denen habe ich sogar ein bisschen respekt :D

@Back Topic@
Scanne dein System mal mit MalwareBytes.
Anleitung und Download : http://www.trojaner-board.de/51187-a...i-malware.html

Das will ich jetzt genauer erklärt haben.
Ich habe genau das gleiche doch schon damit ausgesagt...

Hey!!! Mal keinen Streit jetzt!!! :headbang:
Habe mein System schon mit Malwarebytes gescant: Kei Ergebnis. Ebenso kein Erfolg mit Kaspersky, Spybot, Blacklight, a-suqared. Kommt schon, es muss doch eine Lösung geben, die nicht ein Neuaufsetzen verlangt. Hab da keinen Bock drauf. Ist immer ein riesiger Aufwand, weil bei mir dann nichts mehr richtig funkt. Kein Ton, kein elktronisches Herunterfahren etc etc etc. Will ich nicht!!!!! Außerdem habe ich neulich meinen Pc - jetzt lest mal richtig, ist kein Scheiß - 16mal formatieren müssen, bevor ich so eine Trojanerbande los gewesen bin, die ich mir eingafangen hatte.

Wenn es ein Trojaner Downloader ist wird er ja das Internet nutzen etwas runterzuladen. Entweder vor TCP View setzen und 3 Stunden warten wenn nicht noch länger oder einen Sniffer starten und laufen lassen und am Ende gucken ob was Auffälliges gefunden wird so habe ich das mal bei meinem Bruder gemacht.

Ich glaube nicht, das die sich im Speicher gesetzt haben und wenn man keine infizierten Daten mehr auf einer anderen Patrition hat oder gesicherten Daten die infiziert sind und um ganz pingelich zu sein kein illegales Win hat was eventuell verseucht ist wäre das wohl nicht nötig gewesen.

Wie lösche ich das Ding denn manuell? Geht das nicht? Was ist ein Sniffer?

http://www.google.de/search?hl=de&q=Sniffer&btnG=Google-Suche&meta=
http://www.google.de/search?hl=de&q=Sniffer+download&btnG=Suche&meta=

STOP!

Was ist denn hier los?

Immer mit der Ruhe sonst geht das hier ganz gewalltig in die Hose.

xonic bitte halte sich ein bischen zurück wenn du nicht ganz genau weisst was du tust denn du "spielst" mit dem System und den Nerven des TOs.

So geht's weiter Pygmalion: (und zwar bur so!)


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Mache danach Scans mit SuperAntiSpyware und Anti-Malware und poste die logs wie beschrieben.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Ok, fünf Minuten, dann bin ich da (Wäsche aufhängen, sonst Schläge von der Freundin) und arbeite die Punkte ab.

Keine Hektik! Ich habe auch noch andere Dinge zu tun..

Spybot hat gerade den automatischen Scan durchgeführt und folgende Ergebnisse geliefert:

1.Microsoft.WindowsSecurityCenter.Antivirusoverride.
2.Microsoft. Windows.Explorer

Arbeite jetzt die Punkte ab.

Ergebnisse von VirusTotal

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.25 -
AntiVir 7.8.1.34 2008.09.25 -
Authentium 5.1.0.4 2008.09.25 -
Avast 4.8.1195.0 2008.09.25 -
AVG 8.0.0.161 2008.09.25 -
BitDefender 7.2 2008.09.25 -
CAT-QuickHeal 9.50 2008.09.25 -
ClamAV 0.93.1 2008.09.25 -
DrWeb 4.44.0.09170 2008.09.25 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6106 2008.09.25 -
Ewido 4.0 2008.09.25 -
F-Prot 4.4.4.56 2008.09.25 -
F-Secure 8.0.14332.0 2008.09.25 -
Fortinet 3.113.0.0 2008.09.25 -
GData 19 2008.09.25 -
Ikarus T3.1.1.34.0 2008.09.25 -
K7AntiVirus 7.10.473 2008.09.25 -
Kaspersky 7.0.0.125 2008.09.25 -
McAfee 5391 2008.09.24 -
Microsoft 1.3903 2008.09.25 -
NOD32 3471 2008.09.25 -
Norman 5.80.02 2008.09.25 -
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.25 -
Prevx1 V2 2008.09.25 -
Rising 20.63.32.00 2008.09.25 -
Sophos 4.33.0 2008.09.25 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.09.25 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.25 -
VBA32 3.12.8.6 2008.09.25 -
ViRobot 2008.9.25.1392 2008.09.25 -
VirusBuster 4.5.11.0 2008.09.25 -
Webwasher-Gateway 6.6.2 2008.09.25 -
weitere Informationen
File size: 552960 bytes
MD5...: a10b1793b483cd297e7033dc6fd3ea24
SHA1..: 932ce5835746a12362c3c9e18a568081e65f6406
SHA256: 3b76888f71e1ee7036d1343b4363bb58b1e8c24ccf0252daebea1a8a5198a6df
SHA512: faeebbaf6a22e04a3b3961a4bd1d546b09414a62f1543aad9f71a73013cf5a78
feef30df5e639bdc5deb71bee56f0dc8439937628fb9e7f8d8b4327baf02c5cc
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43f7bf
timedatestamp.....: 0x40178ef6 (Wed Jan 28 10:29:10 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5e3ef 0x5f000 6.51 9b8b3b45cd090303cec0acd3b2b0f29c
.rdata 0x60000 0x13aee 0x14000 4.95 8126175ef594e4780f173fbd73bf568c
.data 0x74000 0x15208 0xc000 4.49 7c5c1e44a13f8005cbec81840a912b49
.tls 0x8a000 0x208 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x8b000 0x5e9c 0x6000 3.54 c64964c25bdf0b29d5b9fbf0f7939c18

( 16 imports )
> TAPI32.dll: lineGetTranslateCaps, lineSetCurrentLocation, lineNegotiateAPIVersion, lineGetDevCaps, lineOpen, lineGetID, lineGetLineDevStatus, lineClose, tapiGetLocationInfo, lineInitialize, lineGetCountry, lineGetProviderList, lineShutdown
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> KERNEL32.dll: lstrcmpA, ResumeThread, SetThreadPriority, SuspendThread, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GlobalFlags, GetProcessVersion, TlsAlloc, GlobalHandle, TlsFree, TlsSetValue, TlsGetValue, GetCPInfo, GetOEMCP, SizeofResource, DuplicateHandle, GetCurrentProcess, LockFile, UnlockFile, SetEndOfFile, GetVolumeInformationA, GetFileAttributesA, GetFileTime, FileTimeToSystemTime, FileTimeToLocalFileTime, SetErrorMode, HeapFree, HeapAlloc, RtlUnwind, RaiseException, GetTimeZoneInformation, HeapReAlloc, GetStartupInfoA, ExitProcess, TerminateProcess, CreateThread, ExitThread, HeapSize, GetACP, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetCurrentThread, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProfileStringA, lstrlenA, GlobalFree, GlobalReAlloc, GlobalUnlock, GlobalLock, GlobalAlloc, GetUserDefaultLCID, GetCommandLineA, SetEvent, CreateEventA, CloseHandle, WaitForSingleObject, GetModuleFileNameA, OpenEventA, GetSystemTime, Sleep, GetTickCount, GetVersionExA, FreeLibrary, GetProcAddress, LoadLibraryA, WritePrivateProfileStringA, GetSystemDirectoryA, InterlockedDecrement, InterlockedIncrement, ReleaseMutex, CreateMutexA, ReadFile, GetFileSize, CreateFileA, WriteFile, SetFileAttributesA, FreeEnvironmentStringsW, DeleteFileA, SetCurrentDirectoryA, GetThreadLocale, FindResourceA, LoadResource, GetFullPathNameA, GetSystemDefaultLangID, ResetEvent, SetSystemTime, SetFilePointer, LockResource, GetVersion, lstrcatA, GetCurrentThreadId, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcpyA, MulDiv, SetLastError, MultiByteToWideChar, WideCharToMultiByte, LocalSize, OutputDebugStringA, LocalAlloc, LocalReAlloc, LocalFree, GetModuleHandleA, FormatMessageA, GetTempPathA, FindFirstFileA, RemoveDirectoryA, FindNextFileA, FindClose, CreateDirectoryA, GetLastError, SetLocalTime, lstrcpynA, GetPrivateProfileStringA, GetTempFileNameA, CopyFileA, GetLocalTime, CreateProcessA, GetExitCodeProcess, FlushFileBuffers
> USER32.dll: GetNextDlgGroupItem, MessageBeep, CharUpperA, RegisterClipboardFormatA, PostThreadMessageA, CopyAcceleratorTableA, GetSysColorBrush, GetDesktopWindow, GetClassNameA, DestroyMenu, MapDialogRect, SetWindowContextHelpId, LoadStringA, GetMessageA, TranslateMessage, ValidateRect, PostQuitMessage, EndDialog, GetActiveWindow, CreateDialogIndirectParamA, CharNextA, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, GetNextDlgTabItem, IsWindowEnabled, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, SendDlgItemMessageA, MapWindowPoints, PeekMessageA, GetFocus, SetActiveWindow, SetFocus, AdjustWindowRectEx, GetTopWindow, IsChild, WinHelpA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, TrackPopupMenu, GetWindowTextLengthA, GetDlgCtrlID, GetKeyState, DefWindowProcA, DestroyWindow, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, SetWindowLongA, SetWindowPos, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, DefDlgProcA, IsWindowUnicode, ReleaseDC, GetDC, OffsetRect, GetWindowPlacement, IntersectRect, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, ScreenToClient, wsprintfA, AppendMenuA, CreatePopupMenu, GetSysColor, PtInRect, CopyRect, LoadImageA, GetClassInfoA, DestroyIcon, InflateRect, DrawFrameControl, SetCursor, DrawFocusRect, SetRect, EnableWindow, UpdateWindow, InvalidateRect, LoadCursorA, GetWindowRect, KillTimer, SetTimer, FindWindowA, GetSystemMetrics, SystemParametersInfoA, IsWindowVisible, SendMessageA, PostMessageA, GetParent, SetForegroundWindow, MessageBoxA, LoadIconA, DrawIcon, GetClientRect, IsIconic, IsWindow, GetWindow, RegisterWindowMessageA, GetWindowTextA, GetDlgItem, GetWindowLongA, EnumWindows, AdjustWindowRect, GetCursorPos, FillRect, SetWindowRgn, EnableMenuItem, GetCapture, WindowFromPoint, DispatchMessageA
> GDI32.dll: GetStockObject, FrameRgn, CreateFontIndirectA, GetTextExtentPoint32A, Polygon, SaveDC, RestoreDC, SetBkMode, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, GetClipBox, IntersectClipRect, MoveToEx, LineTo, GetTextExtentPointA, GetViewportExtEx, GetWindowExtEx, CreatePen, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetMapMode, PatBlt, DPtoLP, GetTextColor, GetBkColor, LPtoDP, CreateSolidBrush, CreateDIBSection, ExtCreateRegion, CombineRgn, SetBkColor, SetTextColor, CreateBitmap, SelectClipRgn, GetObjectA, BitBlt, StretchBlt, DeleteDC, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, DeleteObject, CreateDIBitmap, GetDeviceCaps
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: OpenPrinterA, ClosePrinter, DocumentPropertiesA
> ADVAPI32.dll: GetUserNameA, RegSetValueExA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA
> SHELL32.dll: ShellExecuteA, Shell_NotifyIconA
> COMCTL32.dll: _TrackMouseEvent, -
> oledlg.dll: -
> ole32.dll: CoGetClassObject, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, CreateILockBytesOnHGlobal, CoTaskMemFree, CoTaskMemAlloc, CLSIDFromString, OleInitialize, OleUninitialize, CoFreeUnusedLibraries, CoRegisterMessageFilter, CoRevokeClassObject, OleFlushClipboard, OleIsCurrentClipboard, CLSIDFromProgID
> OLEPRO32.DLL: -
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -
> WININET.dll: InternetSetOptionA, InternetOpenA, InternetConnectA, InternetCloseHandle, FtpOpenFileA, InternetWriteFile

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=a10b1793b483cd297e7033dc6fd3ea24

Hey, weiß ja nicht, ob ich mich schn freuen darf, aber hier erstmal den Combofixtext:

ComboFix 08-09-25.01 - Besitzer 2008-09-25 19:41:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.233 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\netwoman.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-25 15:27 . <DIR> C:\WINDOWS\LastGood.Tmp
2008-09-25 15:27 . 2008-09-25 15:53 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-09-25 02:08 . 2008-09-25 02:37 <DIR> d-------- C:\Programme\Registry Easy
2008-09-24 17:06 . 2008-09-24 18:52 <DIR> d-------- C:\Programme\a-squared Free
2008-09-23 00:27 . 2008-09-23 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GlarySoft
2008-09-23 00:15 . 2008-09-23 00:15 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-09-23 00:09 . 2008-06-19 22:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-23 00:09 . 2008-06-19 23:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-23 00:09 . 2008-09-23 00:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-09-23 00:03 . 2008-09-23 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\MSN6
2008-09-23 00:03 . 2008-09-23 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-09-22 00:54 . 2008-09-22 00:54 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-09-11 14:24 . 2008-09-11 14:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-11 14:14 . 2008-09-11 15:52 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-11 14:14 . 2008-09-11 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-09-11 14:14 . 2008-09-11 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-11 14:14 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-11 14:14 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 17:47 11,778,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-25 17:46 618,528 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-25 17:46 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-25 17:45 58,988 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-25 17:45 158,780 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-25 17:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-25 10:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-22 22:22 --------- d-----w C:\Programme\BaySearchBar
2008-09-17 13:57 --------- d-----w C:\Programme\Wise Registry Cleaner 3
2008-09-09 20:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-07 08:42 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-01 23:55 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\dvdcss
2008-08-01 23:53 --------- d-----w C:\Programme\VideoLAN
2008-07-28 11:32 --------- d-----w C:\Programme\Google
2008-07-25 13:47 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

------- Sigcheck -------

2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2008-04-14 07:53 14336 4fbc75b74479c7a6f829e0ca19df3366 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2008-04-14 07:53 14336 402844c32d2980ac7b570e9d0bf9952e C:\WINDOWS\system32\svchost.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCPL"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoNetSetup"= 0 (0x0)
"NoNetSetupIDPage"= 0 (0x0)
"NoNetSetupSecurityPage"= 0 (0x0)
"NoWorkgroupContents"= 0 (0x0)
"NoEntireNetwork"= 0 (0x0)
"NoFileSharingControl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"RestrictRun"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)
"NoClose"= 0 (0x0)
"NoSetFolders"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 24344]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 9472]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\st5b5edl.default\
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 19:47:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 19:52:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-25 17:52:17

Vor Suchlauf: 7 Verzeichnis(se), 66.091.376.640 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 66,001,178,624 Bytes frei

146 --- E O F --- 2008-09-22 12:22:21


Ich habe nun - nach dem scan - plötzlich zwei verschiedene Interneteplorersymbole im Desktop. Ist das so richtig?

Deinstalliere a-Square und mache die Systemanalyse.

Hier das Log:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1205
Windows 5.1.2600 Service Pack 3

25.09.2008 22:03:57
mbam-log-2008-09-25 (22-03-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 101148
Laufzeit: 36 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Avz zip:
http://rapidshare.com/files/148388537/avz_sysinfo.zip.html

Avz Log:

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 25.09.2008 22:37:57
Database loaded: signatures - 188654, NN profile(s) - 2, microprograms of healing - 56, signature database released 25.09.2008 21:07
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 73357
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Function kernel32.dll:GetProcAddress (409) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Function kernel32.dll:LoadLibraryA (581) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C
Function kernel32.dll:LoadLibraryExA (582) intercepted, method ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0
Function kernel32.dll:LoadLibraryExW (583) intercepted, method ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8
Function kernel32.dll:LoadLibraryW (584) intercepted, method ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4
IAT modification detected: LoadLibraryA - 7C884F9C<>7C801D7B
IAT modification detected: GetProcAddress - 7C884FEC<>7C80AE30
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Function user32.dll:RegisterRawInputDevices (546) intercepted, method ProcAddressHijack.GetProcAddress ->7E3BCE0E->7EEA0080
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Function NtClose (19) intercepted (805678DD->B2E041E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtConnectPort (1F) intercepted (805879EB->B2E022F0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateKey (29) intercepted (8057065D->B2DF5750), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateProcess (2F) intercepted (805B135A->B2E03F10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateProcessEx (30) intercepted (8057FC60->B2E04080), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateSection (32) intercepted (805652B3->B2E04D00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateSymbolicLinkObject (34) intercepted (8059F509->B2E047B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtCreateThread (35) intercepted (8058E63F->B2E05600), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDeleteKey (3F) intercepted (805952BE->B2DF5860), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDeleteValueKey (41) intercepted (80592D50->B2DF58E0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtDuplicateObject (44) intercepted (805715E0->B2E04380), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtEnumerateKey (47) intercepted (80570D64->B2DF5990), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtEnumerateValueKey (49) intercepted (8059066B->B2DF5A40), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtFlushKey (4F) intercepted (805DC590->B2DF5AF0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtInitializeRegistry (5C) intercepted (805A8064->B2DF5B70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadDriver (61) intercepted (805A3AF1->B2E01E50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadKey (62) intercepted (805AED5D->B2DF6590), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtLoadKey2 (63) intercepted (805AEB9A->B2DF5B90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtNotifyChangeKey (6F) intercepted (8058A68D->B2DF5C70), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenFile (74) intercepted (8056CD5B->F8573030), hook C:\WINDOWS\system32\Drivers\kl1.sys, driver recognized as trusted
Function NtOpenKey (77) intercepted (80568D59->B2DF5D50), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenProcess (7A) intercepted (805717C7->B2E03D00), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtOpenSection (7D) intercepted (80570FD7->B2E04B20), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryKey (A0) intercepted (80570A6D->B2DF5E30), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryMultipleValueKey (A1) intercepted (8064E320->B2DF5EE0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQuerySystemInformation (AD) intercepted (8057BC36->B2E052B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtQueryValueKey (B1) intercepted (8056A1F1->B2DF5F90), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtReplaceKey (C1) intercepted (8064F0FA->B2DF6070), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtRequestWaitReplyPort (C8) intercepted (80576CE6->B2E02900), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtRestoreKey (CC) intercepted (8064EC91->B2DF6100), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtResumeThread (CE) intercepted (8058ECB2->B2E055B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSaveKey (CF) intercepted (8064ED92->B2DF6300), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetContextThread (D5) intercepted (8062DCDF->B2E05940), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetInformationFile (E0) intercepted (8057494A->B2E05F60), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetInformationKey (E2) intercepted (8064DE83->B2DF6390), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetSecurityObject (ED) intercepted (8059B19B->B2E00A10), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetSystemInformation (F0) intercepted (805A7BDD->B2E049A0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSetValueKey (F7) intercepted (80572889->B2DF6430), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSuspendThread (FE) intercepted (805E045E->B2E05560), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtSystemDebugControl (FF) intercepted (80649CE3->B2E021B0), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtTerminateProcess (101) intercepted (805822E0->B1F3FF20), hook C:\Programme\SUPERAntiSpyware\SASKUTIL.sys
Function NtUnloadKey (107) intercepted (8064D9FA->B2DF6550), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function NtWriteVirtualMemory (115) intercepted (8057E420->B2E04240), hook C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function FsRtlCheckLockForReadAccess (80512919) - machine code modification Method of JmpTo. jmp B2E06380 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Function IoIsOperationSynchronous (804E875A) - machine code modification Method of JmpTo. jmp B2E06880 \??\C:\WINDOWS\system32\drivers\klif.sys, driver recognized as trusted
Functions checked: 284, intercepted: 43, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 24
Number of modules loaded: 317
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> Service termination timeout is out of admissible values
Checking - complete
Files scanned: 342, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 25.09.2008 22:38:23
Time of scanning: 00:00:27
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

So, ich glaube jetzt habe ich alles abgearbeitet. Superantispyware hat zwar nichts gefunden, aber wo finde ich das Log-Dingens?

Was meinst du mit Internet Symbolen?


Führe bitte folgendes Skript mit AVZ aus (File -> Custom Skript) Der Rechner startet dabei neu!


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Lasse im Anschluss SuperAntiSpyware und Panda drüber schauen.


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Wieso willst Du immer direkt formatieren lassen ? Man kan Malware auch ohne formatieren loswerden. Das bezieht sich jetzt auf deine Aussage : Wenn Du infiziert bist , hilft eh nur formatieren. Da könnte GUA das Forum ja direkt schließen und nur die Anleitung fürs Neuaufsetzen online lassen :rolleyes:

OT-Blase bitte an dieser Stelle beenden. Wenn ihr diskutieren wollt dann bitte im entsprechenden Unter-Forum

Naja, ich habe nach dem Comboscan zwei Internetexplorersymbole gehabt. Dieser automatische Yahooscan findet bei mir immer bifrost und KaZaa, beide Ordner/ Schlüssel sind auch im entsprechenden Verzeichnis, aber angeblich leer. Versuche ich sie zu löschen, dann sind sie schnell wieder da. Ich arbeite jetzt noch deine weiteren Anweisungen ab. Vielen Dank, für deinen Hinweis an die anderen: Das verunsichert und nervt nämlich. :headbang:

Als ich Anvenger ausführte bekam ich eine Virenmeldung von Kaspersky. habe dann folgendes gelöscht: Infiziert: schädliches Programm Hoax.Win32.Agent.fu C:\WINDOWS\system32\drivers\wuhd.sys 60 KB

Ich dachte immer, diese c cleanup exe gehört zum CClenaer. Führe jetzt den Pandascan durch.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 23040 bytes
MD5...: b68aee4586a0195f2ba8223ee36fda40
SHA1..: 8ef83aeb1c0cbbcfa0da10ad117fb03e192c54c3
SHA256: 5e04b5832101b9558e5deb70d83da0963f6d452f901be86e76c90dc7ac8e6528
SHA512: 9dd65833c5322f099cf23ca198f288abcbd656fa1705441101710687993b8c46
f23c38eed98da5738220dd3cf37532f8eec4caeb90204637af70a842ef79c3b3
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601b2ed0
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2432 0x2600 6.16 0fa5f13848f4447d7156f4b2754bb2d1
.rdata 0x4000 0xed5 0x1000 5.73 292dc406d33ae8ddd16c719d7725487b
.data 0x5000 0x370 0x200 0.49 8cb92535fced5bbe1980af6e98d20b22
.rsrc 0x6000 0x390 0x400 2.97 39a449a88f891c8aada7ffab0876d2b7
.reloc 0x7000 0x3fc 0x400 5.11 a64da0e8f379d2d93372e47b6bf7b5dd

( 4 imports )
> xpcom.dll: NS_GetServiceManager, NS_Alloc, NS_CStringContainerInit, NS_CStringContainerInit2, NS_NewNativeLocalFile, NS_CStringContainerFinish
> nspr4.dll: PR_AtomicIncrement, PR_AtomicDecrement
> MOZCRT19.dll: strcpy, _except_handler4_common, _onexit, _lock, __dllonexit, _unlock, __clean_type_info_names_internal, _crt_debugger_hook, __CppXcptFilter, _adjust_fdiv, _amsg_exit, _initterm_e, strcmp, __3@YAXPAX@Z, __2@YAPAXI@Z, memmove, free, realloc, malloc, memcpy, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm
> KERNEL32.dll: IsDebuggerPresent, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedExchange, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, Sleep

( 1 exports )
NSGetModule

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 134656 bytes
MD5...: 0b5ab942bc83a11259b548fb93110049
SHA1..: 4b1555d24dea4123a966df9f165c93e418e46a4c
SHA256: 22a63e9685e2875852f8caf887a5dcddda797556efa94a9e7cf99ffa605b7617
SHA512: ab573a1a36af2012e2c055cb1cb46022a22c433ecc00995585743234717b8434
ae4b0c97ccb7219d8cf394b34783efc05135206006f3d0f50a48fcee1a47ca9d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601d8160
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17841 0x17a00 6.40 59d0d552d20fe3a9884cdf00a0efbbd2
.rdata 0x19000 0x4f2b 0x5000 5.72 b956ffbc5b64071e631b4cee1d40f4f4
.data 0x1e000 0x1180 0xc00 4.33 ff43f96d2c4bea5daf72b3a7e889ee6d
.rsrc 0x20000 0x390 0x400 2.97 8731a9ce95e58c342f36ea070d9a6df9
.reloc 0x21000 0x199a 0x1a00 6.23 bfce677179f5bfa5850f76b77f932b2c

( 10 imports )
> xpcom.dll: NS_GetServiceManager, NS_GetComponentManager, NS_CStringGetMutableData, NS_StringGetMutableData, NS_Alloc, NS_NewNativeLocalFile, NS_Realloc, NS_StringCopy, NS_CStringCopy, NS_Free, NS_StringSetData, NS_CStringCloneData, NS_StringGetData, NS_StringSetDataRange, NS_StringCloneData, NS_UTF16ToCString, NS_CStringSetData, NS_NewLocalFile, NS_StringContainerInit2, NS_CStringGetData, NS_CStringToUTF16, NS_CStringSetDataRange, NS_StringContainerFinish, NS_StringContainerInit, NS_CStringContainerInit2, NS_CStringContainerInit, NS_CStringContainerFinish
> nspr4.dll: PR_Free, PR_ImplodeTime, PR_Close, PR_Read, PR_Malloc, PR_sscanf, PR_Now, PR_snprintf, PR_NewLock, PR_DestroyLock, PR_GetError, PR_Unlock, PR_Lock, PR_SetError, PR_Calloc, PR_AtomicDecrement, PR_AtomicIncrement
> plc4.dll: PL_strcasecmp, PL_strcpy, PL_strcmp, PL_strlen, PL_Base64Encode, PL_strncpy, PL_strdup
> KERNEL32.dll: UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, SetUnhandledExceptionFilter, InterlockedExchange, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, Sleep, IsDebuggerPresent, GetWindowsDirectoryA, CloseHandle, GetModuleFileNameW, GetShortPathNameW, CreateProcessW, InterlockedDecrement, GetProcAddress, ExpandEnvironmentStringsW, FileTimeToSystemTime, GetEnvironmentVariableW, LoadLibraryA, GetSystemTimeAsFileTime, DisableThreadLibraryCalls
> USER32.dll: GetDC, SystemParametersInfoW, GetSysColor, SetSysColors, ReleaseDC
> GDI32.dll: EnumFontFamiliesExW
> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegQueryValueExW
> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -
> MOZCRT19.dll: _wfopen, memmove, realloc, _snprintf, memcmp, strcpy, fflush, fseek, ftell, fwrite, fread, fopen, _errno, memcpy, _stat64i32, memset, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm, _initterm_e, _amsg_exit, _adjust_fdiv, __CppXcptFilter, _unlock, __dllonexit, strcmp, malloc, printf, free, swscanf, sprintf, _lock, _onexit, _crt_debugger_hook, __clean_type_info_names_internal, _except_handler4_common, fclose, ___V@YAXPAX@Z, wcscat, sscanf, wcsncpy, wcslen, wcstol, _mktime64, __2@YAPAXI@Z, __3@YAXPAX@Z

( 1 exports )
NSGetModule

Der Pandascan fand eine Datei, die er aber nicht löschen kann - hier die Ergebnisse

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 134656 bytes
MD5...: 0b5ab942bc83a11259b548fb93110049
SHA1..: 4b1555d24dea4123a966df9f165c93e418e46a4c
SHA256: 22a63e9685e2875852f8caf887a5dcddda797556efa94a9e7cf99ffa605b7617
SHA512: ab573a1a36af2012e2c055cb1cb46022a22c433ecc00995585743234717b8434
ae4b0c97ccb7219d8cf394b34783efc05135206006f3d0f50a48fcee1a47ca9d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601d8160
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17841 0x17a00 6.40 59d0d552d20fe3a9884cdf00a0efbbd2
.rdata 0x19000 0x4f2b 0x5000 5.72 b956ffbc5b64071e631b4cee1d40f4f4
.data 0x1e000 0x1180 0xc00 4.33 ff43f96d2c4bea5daf72b3a7e889ee6d
.rsrc 0x20000 0x390 0x400 2.97 8731a9ce95e58c342f36ea070d9a6df9
.reloc 0x21000 0x199a 0x1a00 6.23 bfce677179f5bfa5850f76b77f932b2c

( 10 imports )
> xpcom.dll: NS_GetServiceManager, NS_GetComponentManager, NS_CStringGetMutableData, NS_StringGetMutableData, NS_Alloc, NS_NewNativeLocalFile, NS_Realloc, NS_StringCopy, NS_CStringCopy, NS_Free, NS_StringSetData, NS_CStringCloneData, NS_StringGetData, NS_StringSetDataRange, NS_StringCloneData, NS_UTF16ToCString, NS_CStringSetData, NS_NewLocalFile, NS_StringContainerInit2, NS_CStringGetData, NS_CStringToUTF16, NS_CStringSetDataRange, NS_StringContainerFinish, NS_StringContainerInit, NS_CStringContainerInit2, NS_CStringContainerInit, NS_CStringContainerFinish
> nspr4.dll: PR_Free, PR_ImplodeTime, PR_Close, PR_Read, PR_Malloc, PR_sscanf, PR_Now, PR_snprintf, PR_NewLock, PR_DestroyLock, PR_GetError, PR_Unlock, PR_Lock, PR_SetError, PR_Calloc, PR_AtomicDecrement, PR_AtomicIncrement
> plc4.dll: PL_strcasecmp, PL_strcpy, PL_strcmp, PL_strlen, PL_Base64Encode, PL_strncpy, PL_strdup
> KERNEL32.dll: UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, SetUnhandledExceptionFilter, InterlockedExchange, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, Sleep, IsDebuggerPresent, GetWindowsDirectoryA, CloseHandle, GetModuleFileNameW, GetShortPathNameW, CreateProcessW, InterlockedDecrement, GetProcAddress, ExpandEnvironmentStringsW, FileTimeToSystemTime, GetEnvironmentVariableW, LoadLibraryA, GetSystemTimeAsFileTime, DisableThreadLibraryCalls
> USER32.dll: GetDC, SystemParametersInfoW, GetSysColor, SetSysColors, ReleaseDC
> GDI32.dll: EnumFontFamiliesExW
> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegQueryValueExW
> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -
> MOZCRT19.dll: _wfopen, memmove, realloc, _snprintf, memcmp, strcpy, fflush, fseek, ftell, fwrite, fread, fopen, _errno, memcpy, _stat64i32, memset, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm, _initterm_e, _amsg_exit, _adjust_fdiv, __CppXcptFilter, _unlock, __dllonexit, strcmp, malloc, printf, free, swscanf, sprintf, _lock, _onexit, _crt_debugger_hook, __clean_type_info_names_internal, _except_handler4_common, fclose, ___V@YAXPAX@Z, wcscat, sscanf, wcsncpy, wcslen, wcstol, _mktime64, __2@YAPAXI@Z, __3@YAXPAX@Z

( 1 exports )
NSGetModule

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\Registry Easy" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Och nee, ich kotze gleich: Jetzt macht Kaspersky permanent Krach - Nachstehendes wird gemeldet:nicht gefunden: schädliches Programm Hoax.Win32.Agent.fu Datei: C:\WINDOWS\system32\drivers\xtaft.sys
Ist das eventuell ein Dinge vom Pandascanner?

Mache bitte einen Screenshot von der entsprechenden Meldung und poste das Bild hier.
Wie geht's dem Rechner sonst so?

Hm, wie mache ich den einen screenshot. Und meinst du jetzt von der KaZaa- und Bifrostmeldung (wenn ja, dann vom Verzeichnis/ Ordner, oder der Yahoomeldung?) , oder von der Kasperskymeldung. Will mich ja nicht blöde anstellen, aber bisher bestand dazu keine Notwendigkeit - ergo: Brauchte ich nie machen. Ganz klar: Er läuft wieder viel, viel besser, aber irgendwie noch nicht ganz rund. Wie gesagt, Panda fand auch etwas, aber konnte ich nicht löschen. Bisher - also vor dem ganzen Theater - ist es immer so gewesen, dass ich eine CPU-Auslastung von 0% hatte, wenn ich nicht gerade am Rechner arbeitete, also eine Eingabe tätigte, oder mich im Netz bewegte. Jetzt ist es aber so, dass trotz der ganzen Maßnahme die CPU ab und an plötzlich auf 7% und höher springt, dort kurz bleibt und wieder abfällt. Auch mein Bildschirm flimmert hin und wieder so seltsam und wird etwas unscharf - ist zwar nur ganz schwach, aber irgendwie komisch. Weil ich ja völlig Paranoid bin :crazy:, nachdem ich auch in der Vergangenheit ständig angegriffen und Befallen wurde, bin ich mir 100%ig sicher, dass diese Sachen früher nicht so gewesen sind. Mein Gott, woher kommt denn der ganze Scheiß, ich lade mir nicht mal ein Abziehbild, oder mal ein Tittenfoto herunter: Bin der totale Internetheilige!:o

Was hat Panda denn gefunden? Wir brauchen die logs, sonst können wir nichts machen..

Poste bitte einen Screenshot von der aktuellen Kaspersky Meldung.

Mehr hat mir der Pandascan nicht ausgespuckt. Wenn das nicht reicht, dann mache ich den Scan nochmals. Sorry, von Kaspersky kann ich nichts mehr senden: Mein Schlüssel ist heute abgelaufen. Vor dem Fünfzehnten des nächsten Monats besteht für mich keine Möglichkeit, den Schlüssel zu erneuern. Habe jetzt Antivir installiert - und schränke meinen Netzverkehr rapide ein. Antivir hat auch direkt etwas gefunden: Die Datei 'C:\QooBox\Quarantine\C\WINDOWS\system32\netwoman.dll.vir'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.10752.28' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4954e555.qua' verschoben!


Da ist sie wieder: netwoman.

Hier die Pandaergebnisse:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2008-09-28 18:44:21
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 7.0 7.0.0.119 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
03738686 Generic Malware Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe[32788R22FWJFW\catchme.cfexe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location Q
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description Q
;===================================================================================================================================================== ==============================
;===================================================================================================================================================================================

:) Die liegt in der Avneger Quarantäne. Das ist kein Problem.

Poste bitte noch ein frisches HJT log.

Oh, na gut... dann bin ich ja beruhigt :-) Und was sagst du zu dem Antivirfund und zu der Bifrost- und KaZaa-Meldung?

Hier Log von Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:14, on 29.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FE3E1C-A6CD-44AB-94D0-43696B8262DE}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5656 bytes

Wo ist das log dazu? Ohne können wir nicht arbeiten.

Meldet dir dein AntiVir immernoch eine Infizierung oder wie? Wie gesagt: bitte das log posten.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hi, danke für die ganze Hilfe, aber sie hat sich jetzt wohl erledigt...Nachdem mein Kaspersky mich eine Ewigkeit genervt hat, dass es bald abläuft, wollte ich es nun von der Festplatte schmeißen. Gedacht getan... Rechner platt. Nachdem ich es forschriftsmäßig rausgeworfen habe, vollzog der Rechner einen Neustart, nachdem nichts mehr ging: Fast kein Programm ließ sich öffnen und das Design sah plötzlich wie auf einem Atari aus. Jetzt habe ich Vista drauf und bin total unglücklich: Was ist das denn? Tausend Dinge, die wirklich völlig behämmert sind (siehe zum Beispiel sidebar). Ergebnis: ALLES ist langsamer. Dir aber trotzdem aller, aller besten Dank. Werde mich jetz mal an die Arbeit machen und herausbekommen, was und wie ich alles Überflüssige runterschmeißen kann.