Trojaner-Board - AntiVir meldet: TR/FakeAV.bak.2

Hallo Zusammen,

mein AntiVir hat folgenden Bericht erstellt:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 8. Oktober 2008 20:06

Es wird nach 1669803 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ACER-9FC3C33E4F

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 18:00:20
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 18:00:20
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 18:00:22
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 18:00:22
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 21:21:22
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 05:31:08
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 17:59:02
ANTIVIR3.VDF : 7.0.7.14 9728 Bytes 08.10.2008 17:59:02
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 19.04.2008 05:26:30
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 19.09.2008 18:59:42
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 15:53:26
AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 18:59:38
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 23:38:30
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 19.09.2008 18:59:32
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19.09.2008 18:59:28
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 16:48:32
AEGEN.DLL : 8.1.0.36 315764 Bytes 30.08.2008 20:13:34
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 18:05:50
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 11:30:56
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 18:00:24
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 18:00:20
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 18:00:20
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:05:44
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 18:00:20
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 05:26:28
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 18:00:20
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 05:26:28
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 18:00:22
NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 05:26:28
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 18:00:12
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 18:00:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 8. Oktober 2008 20:06

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoSTS08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIPRVSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHMSAS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPOEVM08.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCARDS32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPOHMR08.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPOTDD01.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSMSGS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLDial.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALCWZRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SoundMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCARDSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '84' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Victor\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JS0YL5EW\Binaries1[1].cab
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.baj.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495b0ce9.qua' verschoben!
C:\Dokumente und Einstellungen\Victor\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UH2UNV51\Binaries2[1].cab
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPSecurityCenter.AS
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495b0d14.qua' verschoben!
C:\System Volume Information\_restore{67BCF5B8-0EB2-4926-B47C-E9C94D16F5E7}\RP179\A0057150.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491d149f.qua' verschoben!
Beginne mit der Suche in 'D:\' <ACERDATA>

Ende des Suchlaufs: Mittwoch, 8. Oktober 2008 22:17
Benötigte Zeit: 2:11:31 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8154 Verzeichnisse wurden überprüft
389036 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
389030 Dateien ohne Befall
8329 Archive wurden durchsucht
7 Warnungen
3 Hinweise

Danach habe ich, wie in einem anderem Bereich des Forums beschrieben ComboFix laufen lassen und folgende log.txt erhalten:
ComboFix 08-10-10.09 - Victor 2008-10-11 19:06:03.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.669 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Victor\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\mdm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-11 08:17 . 2008-10-11 08:17 <DIR> d-------- C:\Programme\CCleaner
2008-10-08 19:43 . 2008-10-08 19:43 90 --a------ C:\WINDOWS\wininit.ini
2008-10-08 18:40 . 2008-10-08 18:40 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-08 18:40 . 2008-10-08 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-07 22:01 . 2008-10-08 18:21 65,428 --a------ C:\WINDOWS\system32\wini10611.exe
2008-10-05 12:02 . 2008-10-05 12:02 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-05 12:02 . 2008-10-05 12:02 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-05 12:02 . 2008-10-05 12:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-05 11:59 . 2008-10-05 11:59 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-03 19:08 . 2008-10-03 19:08 <DIR> d-------- C:\Programme\NOS
2008-10-03 19:08 . 2008-10-03 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-03 18:44 . 2008-10-03 18:44 <DIR> d-------- C:\Programme\Sun
2008-10-03 18:43 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-03 14:37 . 2008-10-03 14:37 <DIR> d-------- C:\Programme\iTunes
2008-10-03 14:37 . 2008-10-03 14:37 <DIR> d-------- C:\Programme\iPod
2008-10-03 14:37 . 2008-10-03 14:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-03 14:36 . 2008-10-03 14:36 <DIR> d-------- C:\Programme\QuickTime
2008-10-01 21:01 . 2008-10-01 21:01 <DIR> d-------- C:\Programme\Bonjour

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB8276"="command" [X]
"SpybotDeletingD7395"="del" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 59392]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"MPS"="C:\ACER\PSM.EXE" [2004-03-04 372736]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2004-11-24 245760]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-10 5533696]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-02-25 496752]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-10 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-08-12 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 C:\WINDOWS\ALCWZRD.EXE]
"nwiz"="nwiz.exe" [2005-02-10 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= IR41_32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\MSMSGS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 ppa;Iomega Parallelanschluss-Filtertreiber;C:\WINDOWS\system32\DRIVERS\ppa.sys [2001-08-17 17792]
R0 TwkMs;CHIPDRIVE Maus Adapter;C:\WINDOWS\system32\drivers\TwkMs.sys [2003-04-30 4828]
R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;C:\WINDOWS\system32\drivers\TwkPCSC.sys [2003-04-30 11676]
R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;C:\WINDOWS\SCARDS32.EXE [2003-04-30 264192]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-11-24 53248]
R3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
R3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2004-11-03 69632]
R3 TWKPNP;CHIPDRIVE Plug and Play driver;C:\WINDOWS\system32\DRIVERS\TWKPNP.SYS [2003-04-30 5550]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2004-12-29 167424]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ba359c6-c95b-11d9-afcf-00038a000015}]
\Shell\AutoRun\command - G:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2006-07-23 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134993790.job
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]

2008-10-05 C:\WINDOWS\Tasks\Norton Security Scan.job
- C:\Programme\Norton Security Scan\Nss.exe [2008-01-09 04:08]

2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-swg - C:\Programme\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
HKCU-Run-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-eRecoveryService - (no file)
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe

.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O15 -: Trusted Zone: www.seb.de

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://banking.seb.de/hbci/plugin/AXFOAM.CAB
C:\WINDOWS\Downloaded Program Files\AXFOAM.INF
C:\WINDOWS\system32\AXFOAM.DLL

O16 -: {65EEE2E1-B8D5-4724-8489-048B551045BF} - hxxps://karte.seb-bank.de/gei/plugins/SEBChipcardPlugin1210.cab
C:\WINDOWS\Downloaded Program Files\PPIChipcardPlugin.inf
C:\WINDOWS\Downloaded Program Files\PPIChipcardPlugin.ocx
C:\WINDOWS\Downloaded Program Files\SEBChipcardPlugin.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 19:09:18
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-11 19:10:39
ComboFix-quarantined-files.txt 2008-10-11 17:10:36

Vor Suchlauf: 22 Verzeichnis(se), 71.349.960.704 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 71,499,448,320 Bytes frei

172 --- E O F --- 2008-10-06 18:15:54

Bitte um Hilfe!!!!