Trojaner-Board - TR/AvKill.AQ wie entfernen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/AvKill.AQ wie entfernen? (https://www.trojaner-board.de/89008-tr-avkill-aq-entfernen.html)

TR/AvKill.AQ wie entfernen?

Hallo alle miteinander,

seit einigen Tagen hat mein Antivir kein update mehr geschafft.
Nachdem ich es dann manuell geschafft habe, wurde mir der
Trojaner TR/AvKill.AQ angezeigt.

Wer kann mir bitte helfen, diesen Fiesling endgültig zu löschen.

Mit Antivir geht es nicht; Malwarebytes findet ihn nicht; adaware hat auch nichts gefunden?

Bin für jede Hilfe dankbar.

Hallöle.

Wo wird der Trojaner gefunden?

Poste bitte generell immer alle Dateipfadangaben und die kompletten logs und Berichte!

Poste bitte zwei AVZ logs.

Hallo und vielen Dank für die schnelle Antwort.

Also, der TR wird gefunden :

In der Datei 'C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\ipv.old'

Leider funzt das avz nicht bei mir, obwohl ich es genau nach der Anweisung
durchgeführt habe, ;-(

Vielen Dank für die Hilfe

Was bedeutet "funzt" nicht?

Du musst anfangen die sehr viel genauer auszudrücken... ;) Sonst kann dir hier keiner helfen.

Das soll heissen, daß avz4 nicht in dem Masse arbeitet, wie es soll; nämlich garnicht:
Ich habe alles genau nach Anweisung ausgeführt; nur nach der umbenennung wird aus der .exe eine dos-datei. Und die startet nicht

Ich habe die Schritte der Anleitung zwei mal durchlaufen, bleibe immer an der Dos-Box mit der Bezeichnung : 1111111.com hängen.

Was nun??

Ich habe den Schädling nun bestimmt schon 15 mal in der Quarantäne-Box v. Antivir.

Dann versuche mal die AVZ.exe nicht umzubennen sondern gleich auszuführen..

Vielen Dank für den Tip; nun funktioniert es.

Ich konnte leider am Mo. u. gestern nicht an den Rechner, darum die späte Antwort, sorry.

Habe nun die Programmläufe gem. der Anleitung durchgeführt und hänge
die beiden zip - Dateien an in der stillen Hoffnung, dieses Problem mit Deiner Hilfe lösen zu können.

Vielen Dank

Was hast du dir denn alles an Antisonstwas Zeugs installiert? =)

Deinstalliere bitte:
-Adaware
-RUBotted (TrendMicro)
-Norton Utilities
-Registry Booster (von sowas lass in Zukunft die Finger!!)
-F-Secure online Scanner.
-AVG
-Spybot

Führe mit AVZ dieses Skript aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\ALLOW-IO.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOKUME~1\uwe\LOKALE~1\Temp\ipv.old');
ClearHostsFile;
ExecuteWizard('TSW',2,2,true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

Poste nachdem du das alles getan hast zwei neue AVZ logs. Wie immer vorher mit dem cCleaner aufräumen!

Nun habe ich alles "weisungsgemäß" gelöscht.
Allerdings bekomme ich AVZ.exe nicht ans laufen ;-(
Habe den Rechner 3 x neu gestartet; auch die Rubrik....ausführen als...
habe ich durch. Es tut sich nichts.
Der dowload-link auf der AVZ-Seite führt ins leere.

Ich kann also das Skript nicht ausführen.

Was nun? (Am besten den Kasten zu einem handlichen Schrottwürfel verarbeiten)

Wie meinst du das genau?

Bis eben konntest du AVZ doch noch ausführen oder?

Lösche bitte den kompletten AVZ Ordner. Räume mit dem cCleaner auf.

Danach downloade dir AVZ auf die folgende Art und Weise:

Download:

1. Lege dir einen eigenen Ordner für AVZ unter folgendem Pfad an: C:\AVZ

2. Klicke mit einem rechts Klick auf diesen Link: Toolkit und wähle speichern unter:

Dateiname: 1111111.com und wähle als
Speicherort: C:\AVZ (den eben von dir erstellten Ordner)

http://img187.imageshack.us/img187/4...bspeichern.png

3. Das Programm muss nicht installiert werden sondern ist direkt betriebsbereit.

Versuche die 111111.com auszuführen. Sollte das mal wieder nciht gehen dann lösche den komletten Ordner nochmal, downloade es dir wie oben beschrieben nocheinmal aber bennene es diesmal nur um in 1111.exe.

Führe danach ohne Umschweife das Skript aus:

Zitat:

Vielen Dank für das neue Progr.

Habe nun alles ausführen können;

zuerst Cc-clean; dann das Skript; Neustart, dann die anderen
zwei Durchläufe; jeweils mit Neustart verbunden.
Die Logs hänge ich an und hoffe, diesmal wird es klappen ;-))

Auf jeden Fall bin ich Dir sehr dankbar für diese tolle Hilfe.

Gruß aus dem Schwarzwald....achwas

Hm, das Ding sitzt fester als ich angenommen habe.

Der Computer hat nach Ausführung des AVZ-Skripts selbstständig neugestartet?

Bekommst du Malwarebytes zum laufen? Am besten nochmal deinstallieren und neu downloaden.

Hallo und guten Abend,
also, das Skript ist durchgelaufen u hat von selbst neu gestartet.
Ob Malwarebytes nun läuft, kann ich leider erst morgen sagen; der infizierte Rechner steht in meinem Laden; bin mittlerweile zu Hause.
Ich werde es morgen früh probieren u dann Bescheid geben.

Nochmal vielen Dank für Deine Bemühungen ;-)

In deinem Laden?

Der Computer wird kommerziell genutzt?

Und du hast den Nerv ihn infiziert weiterlaufen zu lassen? Na prost Mahlzeit. Ich kann nur hoffen, dass da keine wichtigen Sachen drauf gespeichert sind und erst recht nicht drauf verarbeitet werden...

Guck' wie gesagt mal nach ob MBAM jetzt läuft...

Gutren morgen,

...weiter geht``s.
Also, der Rechner wird nicht kommerzionell genutzt; er steht im Laden nur zur I-net Recherche (neue Artikel u Lieferanten) ;-) u. einfache email.
Die wichtigen Dinge (Buchhaltung, Steurn, Bank usw. ) erledige ich zu Hause u darüber hinaus auf einer externen Platte.

Habe soeben noch einmal Cc Clean laufenlassen u dann Malwarebytes.
Malwarebytes lief anstandslos u hat nichts gefunden.

Ob der Kasten nun wieder sauber ist??

Gruß....achwas

Sauber ist der auf keinen Fall!

AVZ scheint nicht in der Lage zu sein die datei zu löschen, was mich wundert. Daher müssen wir es anders versuchen. Irgendwas muss die Datei schützen, bzw. wiederherstellen und das hat sich bisher noch nicht gezeigt.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Habe nun alles erledigt; Cc-Clean u. "BlaBlub" Ich füge die Log-Datei unten ein.

Combofix Logfile:

Code:

ComboFix 10-08-04.05 - uwe 05.08.2010  10:40:02.1.2 - x86

ausgeführt von:: c:\dokumente und einstellungen\uwe\Desktop\BlaBlub.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\uwe\Anwendungsdaten\inst.exe

c:\dokumente und einstellungen\uwe\Desktop\RegClean.exe

C:\extensions.exe

c:\extensions.exe\config.bin

c:\extensions.exe\extensions.exe

c:\programme\\setup.exe

c:\programme\Setup.exe

c:\windows\regedit.com

c:\windows\system32\taskmgr.com
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))

.
 

2010-08-04 15:07 . 2010-08-04 15:07        13312        ----a-w-        c:\windows\system32\drivers\vdqwnza0.sys

2010-08-02 12:15 . 2010-08-04 15:30        --------        d-----w-        C:\AVZ

2010-08-02 09:39 . 2010-08-02 09:39        50968        ----a-w-        c:\windows\system32\avgfwdx.dll

2010-08-02 09:39 . 2010-08-02 09:39        30104        ----a-w-        c:\windows\system32\drivers\avgfwdx.sys

2010-08-02 09:37 . 2010-08-02 11:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9

2010-08-01 11:40 . 2010-08-01 11:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-08-01 11:34 . 2010-08-01 11:34        --------        d-----w-        c:\dokumente und einstellungen\uwe\Anwendungsdaten\Malwarebytes

2010-08-01 11:33 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-01 11:33 . 2010-08-01 11:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-08-01 11:33 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-07-12 13:55 . 2009-08-24 20:08        28160        ----a-w-        c:\windows\system32\DfSdkBt.exe

2010-07-12 13:55 . 2010-07-12 13:55        --------        d-----w-        c:\programme\Ashampoo
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-05 07:39 . 2001-08-23 12:00        704214        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-05 07:39 . 2001-08-23 12:00        183138        ----a-w-        c:\windows\system32\perfc007.dat

2010-08-04 11:51 . 2008-01-31 09:25        --------        d-----w-        c:\programme\Avira

2010-08-04 11:47 . 2008-03-02 13:13        --------        d-----w-        c:\programme\VSO

2010-08-04 11:47 . 2008-03-02 13:13        47360        -c--a-w-        c:\dokumente und einstellungen\uwe\Anwendungsdaten\pcouffin.sys

2010-08-04 11:47 . 2008-03-02 13:13        --------        d-----w-        c:\dokumente und einstellungen\uwe\Anwendungsdaten\Vso

2010-08-04 11:47 . 2008-03-02 13:13        94208        -c--a-w-        c:\dokumente und einstellungen\uwe\Anwendungsdaten\ezplay.sys

2010-08-04 11:45 . 2008-05-01 15:08        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-08-04 11:45 . 2008-05-01 15:08        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-08-04 11:43 . 2010-06-26 13:27        --------        d-----w-        c:\programme\Uniblue

2010-08-04 11:39 . 2008-02-07 11:43        --------        d-----w-        c:\programme\Norton SystemWorks

2010-08-04 11:39 . 2008-02-07 11:43        --------        d-----w-        c:\programme\Gemeinsame Dateien\Symantec Shared

2010-08-04 11:38 . 2008-02-07 11:43        --------        d-----w-        c:\programme\Symantec

2010-08-04 11:38 . 2009-03-16 14:31        --------        d-----w-        c:\programme\Trend Micro

2010-07-31 10:49 . 2008-04-11 14:33        --------        d-----w-        c:\dokumente und einstellungen\uwe\Anwendungsdaten\ICQ

2010-07-31 08:14 . 2008-07-16 10:03        --------        d-----w-        c:\programme\XPcleanv5

2010-07-31 08:05 . 2004-03-03 15:23        892        -c--a-w-        c:\programme\WASHANDGO.ini

2010-07-31 07:59 . 2010-03-15 10:02        --------        d-----w-        c:\programme\BACKUP

2010-07-25 12:23 . 2008-04-24 15:06        10        -c--a-w-        c:\windows\popcinfo.dat

2010-07-25 12:23 . 2008-02-01 16:10        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2010-07-18 14:12 . 2008-02-06 13:08        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2010-07-11 08:53 . 2009-03-06 12:42        --------        d-----w-        c:\programme\TuneUp Utilities 2008

2010-07-05 14:09 . 2010-07-05 14:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft

2010-07-05 14:04 . 2010-07-05 14:04        --------        d-----w-        c:\programme\SlySoft

2010-06-26 13:50 . 2010-06-26 13:50        --------        d-----w-        c:\programme\Daphne

2010-06-26 13:40 . 2009-12-24 11:29        --------        d-----w-        c:\programme\nLite

2010-06-26 13:39 . 2008-01-30 13:28        77544        -c--a-w-        c:\dokumente und einstellungen\uwe\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-06-26 09:10 . 2008-01-30 15:52        --------        d-----w-        c:\programme\BitComet

2010-06-25 15:18 . 2010-06-25 14:53        397312        ----a-w-        c:\windows\esi_kl01.dat

2010-06-25 14:53 . 2010-06-25 14:53        --------        d-----w-        c:\programme\Gemeinsame Dateien\Spielberg DMS

2010-06-16 14:56 . 2009-03-22 15:34        --------        d-----w-        c:\programme\ICQ6.5

2010-06-10 14:44 . 2010-06-10 14:44        --------        d-----w-        c:\dokumente und einstellungen\uwe\Anwendungsdaten\Canneverbe Limited

2010-06-10 14:44 . 2010-06-10 14:44        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited

2010-06-10 14:44 . 2010-06-10 14:44        --------        d-----w-        c:\programme\CDBurnerXP

2010-06-10 08:35 . 2010-03-31 14:46        --------        d-----w-        c:\programme\eToro

2010-06-10 08:35 . 2009-05-07 14:03        --------        d-----w-        c:\programme\Eusing Free Registry Cleaner

2010-06-10 08:35 . 2008-02-09 12:11        --------        d-----w-        c:\programme\MpcStar

2010-06-09 20:41 . 2010-06-09 20:41        106432        ----a-w-        c:\windows\system32\drivers\AnyDVD.sys

2010-03-19 14:02 . 2010-03-19 14:02        1        -c--a-w-        c:\programme\WashAndGo.cho

2009-11-17 14:01 . 2010-02-08 13:02        1456640        -c--a-w-        c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi

2005-08-15 20:43 . 2004-03-03 15:23        15629        -c--a-w-        c:\programme\WashAndGo.t02

2005-08-14 20:02 . 2004-03-03 15:23        13883        -c--a-w-        c:\programme\WashAndGo.t012

2005-04-29 08:22 . 2004-03-03 15:23        14158        -c--a-w-        c:\programme\WashAndGo.t011

2005-04-19 20:49 . 2004-03-03 15:23        14981        -c--a-w-        c:\programme\WashAndGo.t09

2005-02-27 21:43 . 2004-03-03 15:23        14767        -c--a-w-        c:\programme\WashAndGo.t05

2005-02-05 17:53 . 2004-03-03 15:23        612        -c--a-w-        c:\programme\WhatsNew.txt

2005-02-05 17:13 . 2004-03-03 15:23        164352        -c--a-w-        c:\programme\WashAndGo.d01

2005-02-05 17:12 . 2004-03-03 15:23        198656        -c--a-w-        c:\programme\WashAndGo.doc

2005-02-05 17:12 . 2004-03-03 15:23        198656        -c--a-w-        c:\programme\WashAndGo.d00

2005-02-05 17:10 . 2004-03-03 15:23        91330        -c--a-w-        c:\programme\WashAndGo.chm

2005-02-05 17:10 . 2004-03-03 15:23        91330        -c--a-w-        c:\programme\WashAndGo.c00

2005-02-05 17:08 . 2004-03-03 15:23        87404        -c--a-w-        c:\programme\WashAndGo.c01

2005-02-05 16:41 . 2004-03-03 15:23        14816        -c--a-w-        c:\programme\WashAndGo.t07

2005-02-05 16:36 . 2004-03-03 15:23        14293        -c--a-w-        c:\programme\WashAndGo.t01

2005-02-05 16:16 . 2004-06-10 18:27        14762        -c--a-w-        c:\programme\WashAndGo.t013

2005-02-05 16:13 . 2004-03-03 15:23        13903        -c--a-w-        c:\programme\WashAndGo.t08

2005-02-05 16:12 . 2004-03-03 15:23        14196        -c--a-w-        c:\programme\WashAndGo.t06

2005-02-05 16:12 . 2004-03-03 15:23        14831        -c--a-w-        c:\programme\WashAndGo.t04

2005-02-05 16:11 . 2004-03-03 15:23        14599        -c--a-w-        c:\programme\WashAndGo.t03

2005-02-05 16:10 . 2004-03-03 15:23        13865        -c--a-w-        c:\programme\WashAndGo.t010

2005-01-19 20:46 . 2004-03-03 15:23        15809        -c--a-w-        c:\programme\WashAndGo.t00

2005-01-19 20:46 . 2004-03-03 15:23        15809        -c--a-w-        c:\programme\WashAndGo.def

2005-01-04 22:12 . 2004-03-03 15:23        2193920        -c--a-w-        c:\programme\WashAndGo.exe

2004-04-28 11:02 . 2009-01-03 16:02        62693        -c----w-        c:\programme\setup.ini

2004-04-28 10:57 . 2009-01-03 16:02        492016        -c----w-        c:\programme\Eumex 504PC USB.msi

2004-04-28 10:57 . 2009-01-03 16:02        1759570        -c----w-        c:\programme\Data.Cab

2004-03-13 10:57 . 2004-03-03 15:23        116224        -c--a-w-        c:\programme\WashAndGo.d09

2004-02-21 20:07 . 2004-03-03 15:23        38        -c--a-w-        c:\programme\WASHANDGO.key

2004-02-21 19:47 . 2004-03-03 15:23        247        -c--a-w-        c:\programme\WashAndGo.dat

2004-02-21 19:08 . 2004-03-03 15:23        98304        -c--a-w-        c:\programme\WashAndGo.d02

2004-02-03 22:37 . 2004-03-03 15:23        18930        -c--a-w-        c:\programme\washandgo.sk4_2.ani

2004-02-03 22:35 . 2004-03-03 15:23        4812        -c--a-w-        c:\programme\washandgo.sk1_1.ani

2004-02-03 22:34 . 2004-03-03 15:23        7984        -c--a-w-        c:\programme\washandgo.sk5_1.ani

2004-02-03 22:05 . 2004-03-03 15:23        6846        -c--a-w-        c:\programme\washandgo.sk2_1.ani

2004-02-03 16:54 . 2004-03-03 15:23        10839        -c--a-w-        c:\programme\washandgo.bg3.jpg

2004-02-03 16:54 . 2004-03-03 15:23        24761        -c--a-w-        c:\programme\washandgo.bg1.jpg

2004-02-03 16:54 . 2004-03-03 15:23        11384        -c--a-w-        c:\programme\washandgo.bg2.jpg

2004-02-03 14:40 . 2004-03-03 15:23        11088        -c--a-w-        c:\programme\washandgo.sk5_2.ani

2003-04-07 17:21 . 2004-03-03 15:23        71680        -c--a-w-        c:\programme\Checker.exe

2003-03-20 22:50 . 2004-03-03 15:23        3127        -c--a-w-        c:\programme\washandgo.bg0.jpg

2001-10-19 18:37 . 2005-01-02 22:05        749        -c--a-w-        c:\programme\WashAndGo.exe.Manifest

2001-09-17 15:21 . 2004-03-03 15:23        149504        -c--a-w-        c:\programme\washandgo.d03

2001-07-20 11:17 . 2004-03-03 15:23        10428        -c--a-w-        c:\programme\WashAndGo.c09

2001-07-20 11:17 . 2004-03-03 15:23        10428        -c--a-w-        c:\programme\WashAndGo.c03

2001-07-20 11:17 . 2004-03-03 15:23        10428        -c--a-w-        c:\programme\WashAndGo.c02

1999-06-10 09:34 . 2008-02-08 15:19        570128        -c--a-w-        c:\programme\Gemeinsame Dateien\DAO350.DLL

1998-08-07 16:49 . 2004-03-03 15:23        4786        -c--a-w-        c:\programme\washandgo.sk0_1.ani

1998-06-01 23:10 . 2004-03-03 15:23        6806        -c--a-w-        c:\programme\washandgo.sk2_2.ani

1998-05-01 21:14 . 2004-03-03 15:23        2696        -c--a-w-        c:\programme\schhht.wav

1998-04-13 22:00 . 2004-03-03 15:23        684        -c--a-w-        c:\programme\klick.wav

1998-04-13 21:58 . 2004-03-03 15:23        13940        -c--a-w-        c:\programme\finished.wav

1996-10-09 18:06 . 2004-03-03 15:23        33826        -c--a-w-        c:\programme\washandgo.sk3_2.ani

1996-10-09 18:06 . 2004-03-03 15:23        33826        -c--a-w-        c:\programme\washandgo.sk3_1.ani

1995-07-31 10:22 . 2004-03-03 15:23        18722        -c--a-w-        c:\programme\washandgo.sk4_1.ani

1993-11-06 14:12 . 2004-03-03 15:23        4786        -c--a-w-        c:\programme\washandgo.sk0_2.ani

1993-11-06 14:08 . 2004-03-03 15:23        4778        -c--a-w-        c:\programme\washandgo.sk1_2.ani

1993-05-07 17:28 . 2004-03-03 15:23        26540        -c--a-w-        c:\programme\start.wav

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

CAPIControl.lnk - c:\programme\DeTeWe\OpenCom X32\Capictrl.exe [2005-9-9 290913]

HomeNet Control.lnk - c:\programme\DeTeWe\OpenCom X32\HNetCtrl.exe [2005-9-9 90112]

OpenComControl.lnk - c:\programme\DeTeWe\OpenCom X32\PABXControl.exe [2005-9-16 53248]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"NoSecCpl"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoFileAssociate"= 0 (0x0)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStartMenuSubFolders"= 0 (0x0)

"NoCommonGroups"= 0 (0x0)

"NoPrinters"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoChangeAnimation"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]

"NoAutoUpdate"= 1 (0x1)
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]

backup=c:\windows\pss\Status Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^uwe^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateStar
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 3]

2010-03-29 12:54        2343120        -c--a-w-        c:\programme\IObit\Advanced SystemCare 3\AWC.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2007-07-02 10:29        220544        -c--a-w-        c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

2004-08-11 04:44        1228800        -c--a-r-        c:\windows\mixer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]

2004-07-20 08:34        851968        -c----w-        c:\programme\Brother\ControlCenter2\brctrcen.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2006-08-16 07:35        7630848        -c--a-w-        c:\windows\system32\nvcpl.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]

2007-09-04 18:25        81920        -c--a-w-        c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2006-08-16 07:35        86016        -c--a-w-        c:\windows\system32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-08-16 07:35        1617920        -c--a-w-        c:\windows\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2008-02-09 12:12        282624        -c--a-w-        c:\programme\MpcStar\Codecs\QuickTime\QTSystem\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]

2004-06-08 22:12        40960        -c--a-w-        c:\programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]

2004-05-25 08:16        49152        -c----w-        c:\programme\Brother\Brmfl04a\BrStDvPt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2007-09-25 00:11        132496        -c--a-w-        c:\programme\Java\jre1.6.0_03\bin\jusched.exe
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

"H/PC Connection Agent"="Z:\wcescomm.exe"

"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

"ctfmon.exe"=c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"QuickTime Task"="c:\programme\MpcStar\Codecs\QuickTime\qttask.exe" -atboottime

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"z:\rapimgr.exe"= z:\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"z:\wcescomm.exe"= z:\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"z:\wcesmgr.exe"= z:\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Programme\\DeTeWe\\OpenCom X32\\PABXControl.exe"=

"c:\\Programme\\DeTeWe\\OpenCom X32\\HNetCtrl.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"18378:TCP"= 18378:TCP:BitComet 18378 TCP

"18378:UDP"= 18378:UDP:BitComet 18378 UDP

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [19.08.2009 12:24 39472]

R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]

R2 CAPI20;OpenCom 31lan;c:\windows\system32\drivers\Capi20.sys [15.09.2005 18:00 972568]

R2 DETEWECP;DeTeWe CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [09.09.2005 16:30 37696]

R3 dtwmnic5;DeTeWe OpenCom 32;c:\windows\system32\drivers\dtwmnic5.sys [09.09.2005 15:30 198118]

R3 ulisa;DeTeWe ISDN-Adapter (USB);c:\windows\system32\drivers\ulisa.sys [09.09.2005 15:30 34713]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]

S2 DirMngr;DirMngr;c:\programme\GNU\GnuPG\dirmngr.exe [17.09.2007 16:58 219136]

S2 gupdate1c9a2f2cf8133ca;Google Update Service (gupdate1c9a2f2cf8133ca);c:\programme\Google\Update\GoogleUpdate.exe [12.03.2009 11:10 133104]

S3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [02.08.2010 11:39 30104]

S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [02.08.2010 11:39 30104]

S3 DfSdkS;Defragmentation-Service;c:\programme\Ashampoo\Ashampoo WinOptimizer 2010 Advanced\DfSdkS.exe [12.07.2010 15:55 406016]

S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\dokume~1\uwe\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\dokume~1\uwe\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]

S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]

S3 PORTMON;PORTMON;\??\c:\programme\Sysinternals-Suite\PORTMSYS.SYS --> c:\programme\Sysinternals-Suite\PORTMSYS.SYS [?]

S3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [19.08.2009 11:40 16456]

S3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [19.08.2009 11:40 11088]

S3 TMPassthruMP;TMPassthruMP;c:\windows\system32\DRIVERS\TMPassthru.sys --> c:\windows\system32\DRIVERS\TMPassthru.sys [?]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2010-08-05 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 16:47]
 

2010-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-12 09:09]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.t-online.de/

mStart Page = hxxp://www.msn.com

mSearch Bar = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: RF - &Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html

IE: RF - &Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

IE: RF - Formular ausf&üllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html

FF - ProfilePath - c:\dokumente und einstellungen\uwe\Anwendungsdaten\Mozilla\Firefox\Profiles\shhj95ce.default\

FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin.dll

FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin5.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - fales

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autoFill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 600000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 1000000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

FF - user.js: browser.blink_allowed - true

FF - user.js: network.prefetch-next - true

FF - user.js: layout.spellcheckDefault - 1

FF - user.js: browser.search.openintab - false

FF - user.js: browser.tabs.closeButtons - 1

FF - user.js: browser.tabs.opentabfor.middleclick - true

FF - user.js: browser.tabs.tabMinWidth - 100

FF - user.js: browser.urlbar.hideGoButton - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKCU-Run-extensions.exe - c:\extensions.exe\extensions.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-08-05 10:47

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\brss01a.exe

c:\windows\system32\LEXPPS.EXE

c:\windows\system32\Brmfrmps.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\programme\NVIDIA Corporation\nTune\nTuneService.exe

c:\programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe

c:\windows\system32\nvsvc32.exe

c:\programme\CyberLink\Shared files\RichVideo.exe

c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-08-05  10:53:51 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-08-05 08:53
 

Vor Suchlauf: 1.588.727.808 Bytes frei

Nach Suchlauf: 1.949.732.864 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /usepmtimer /noguiboot
 

- - End Of File - - B50950182E81E45AFF8055DAF8E2CB21

--- --- ---

Na das hat ja wenigstens mal was gebracht. Die schädliche Treiber Datei hat CF aber übersehen.
Evtl. erwischen wir sie jetzt mit AVZ.

Poste zwei frische AVZ logs.

Habe nun alles wieder laufenlassen; C-Clean - AVZ - Neustart -C-Clean - AVZ

Im Anhang die neuen Log - Dateien.

Gruß...achwas

Führe folgendes Skript mit AVZ aus:

Hast du so ein "XPClean5" installiert?
Und WashAndGo?

Deinstalliere bitte beide!

Deinstalliere auch BitComet.

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\drivers\vdqwnza0.sys');
DeleteFolder('c:\programme\XPcleanv5');
DeleteFile('c:\programme\WASHANDGO.ini');
DeleteFile('c:\windows\popcinfo.dat');
DeleteFile('c:\windows\esi_kl01.dat');
DeleteFile('C:\Programme\Checker.exe');
ExecuteWizard('TSW',2,2,true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

Habe auch diese Progs. gelöscht.

Leider funktioniert das Skript nicht :

Script error: Undeclared Indentifer. "Delete Folder", position (5:13)

Gruß...achwas

Neues Skript:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\drivers\vdqwnza0.sys');
DeleteDirectory('c:\programme\XPcleanv5');
DeleteFile('c:\programme\WASHANDGO.ini');
DeleteFile('c:\windows\popcinfo.dat');
DeleteFile('c:\windows\esi_kl01.dat');
DeleteFile('C:\Programme\Checker.exe');
ExecuteWizard('TSW',2,2,true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

Vielen Dank; das hat funktioniert.
Im Anhang befinden sich die neuesten Logs.

Vielen Dank

Das sieht soweit doch ganz gut aus.

Poste bitte ein Hjackthis log.

Scanne den Rechner außerdem mit Hitman Pro und poste das log.
http://filepony.de/?q=hitman/

Danke

zunächst Log-Hijack this; das andere (Hitman) kommt morgen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: OpenComControl.lnk = ?
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - Z:\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Z:\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Z:\INetRepl.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Lucky Emperor Casino - {13C3A988-5BF3-4911-91A8-DDBF0A09F2F6} - C:\Microgaming\Casino\LuckyEmperor\casinogame.exe (HKCU)
O9 - Extra button: Golden Tiger Casino - {17E31981-DED3-416D-BCE8-26194116BB8E} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: The Gaming Club - {303AF311-6D13-43AC-998D-6E64A9FB1746} - C:\Microgaming\Casino\GamingClub\casinogame.exe (HKCU)
O9 - Extra button: Nostalgia Casino - {4B52E09A-222D-423F-896D-BB0896767585} - C:\Microgaming\Casino\Nostalgia\casinogame.exe (HKCU)
O9 - Extra button: Virtual City Casino - {9213F054-69D2-4427-8F4B-335112E1C33C} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: Platinum Play Online Casino - {B002E97B-5694-4A05-B6CF-5B3D4E44C612} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: Zodiac Casino - {D3D8CED6-7789-437B-8F13-673D07149084} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - hxxp://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Programme\Ashampoo\Ashampoo WinOptimizer 2010 Advanced\Dfsdks.exe
O23 - Service: DirMngr - Unknown owner - C:\Programme\GNU\GnuPG\dirmngr.exe
O23 - Service: Google Update Service (gupdate1c9a2f2cf8133ca) (gupdate1c9a2f2cf8133ca) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9029 bytes

Du hast den Kopf des HJT logs vergessen..

Welche AntiViren Programme sind bei dir installiert?

Sorry, dass beim HJ Log etwas felht.
Im Augenblick habe ich kein virenprogr. installiert, weil ich dachte, es würde bei der Auswertung stören u ich sollte ja auch alles löschen. Ich werde aber wieder Antivr nehmen wollen, oder?
Noch eine Ffrage: seit dem Comfix- Durchlauf haben sich meine Favoriten
im Inet-Explorer verändert; sie haben das Symbol geändert u funktionieren nicht mehr. Gibt sich das wieder?
Und, last but not least: woher kann so ein Virus kommen? Bin eig. sehr
vorsichtig und das ist seit 12 Jahren das erste mal, das mir so etwas passiert.

Da ich wieder zu Hause bin, bitte ixg um Deine Geduld, damit ich die letzten Logs morgen senden kann.

Vielen dank

Sehr vorsichtig?

Aber du installierst so einen Mist an Registry Waschern und son Mist und saugst über BitComet?!
Vorsichtig ist etwas ganz anderes!

Die Favoriten wirst du neu einrichten müssen.

Durchführen, log posten: http://www.trojaner-board.de/54192-a...tellungen.html

Guten morgen

....und vielen Dank für den "Rüffel". Allerdings nutze ich Bitcomet seit ca. 1,5 Jahren nicht mehr, das nur am Rande.

Habe Antivir runtergeladen; es hat sich das Update holen können!!! ;-)

Hier die Report-Datei:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 6. August 2010 09:46

Es wird nach 2680386 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : uwe
Computername : SLÄDLE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:44:29
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:44:30
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:44:34
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 07:44:34
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 07:44:34
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 07:44:34
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 07:44:34
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 07:44:34
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 07:44:35
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 07:44:35
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 07:44:35
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 07:44:36
VBASE017.VDF : 7.10.10.53 1536 Bytes 03.08.2010 07:44:36
VBASE018.VDF : 7.10.10.54 1536 Bytes 03.08.2010 07:44:36
VBASE019.VDF : 7.10.10.55 1536 Bytes 03.08.2010 07:44:36
VBASE020.VDF : 7.10.10.56 1536 Bytes 03.08.2010 07:44:36
VBASE021.VDF : 7.10.10.57 1536 Bytes 03.08.2010 07:44:36
VBASE022.VDF : 7.10.10.58 1536 Bytes 03.08.2010 07:44:36
VBASE023.VDF : 7.10.10.59 1536 Bytes 03.08.2010 07:44:36
VBASE024.VDF : 7.10.10.60 1536 Bytes 03.08.2010 07:44:36
VBASE025.VDF : 7.10.10.61 1536 Bytes 03.08.2010 07:44:36
VBASE026.VDF : 7.10.10.62 1536 Bytes 03.08.2010 07:44:36
VBASE027.VDF : 7.10.10.63 1536 Bytes 03.08.2010 07:44:36
VBASE028.VDF : 7.10.10.64 1536 Bytes 03.08.2010 07:44:36
VBASE029.VDF : 7.10.10.65 1536 Bytes 03.08.2010 07:44:36
VBASE030.VDF : 7.10.10.66 1536 Bytes 03.08.2010 07:44:36
VBASE031.VDF : 7.10.10.82 116224 Bytes 05.08.2010 07:44:36
Engineversion : 8.2.4.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 06.08.2010 07:44:40
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 06.08.2010 07:44:40
AESCN.DLL : 8.1.6.1 127347 Bytes 06.08.2010 07:44:39
AESBX.DLL : 8.1.3.1 254324 Bytes 06.08.2010 07:44:40
AERDL.DLL : 8.1.8.2 614772 Bytes 06.08.2010 07:44:39
AEPACK.DLL : 8.2.3.3 471414 Bytes 06.08.2010 07:44:39
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 06.08.2010 07:44:39
AEHEUR.DLL : 8.1.2.10 2830711 Bytes 06.08.2010 07:44:39
AEHELP.DLL : 8.1.13.2 242039 Bytes 06.08.2010 07:44:38
AEGEN.DLL : 8.1.3.18 393589 Bytes 06.08.2010 07:44:37
AEEMU.DLL : 8.1.2.0 393588 Bytes 06.08.2010 07:44:37
AECORE.DLL : 8.1.16.2 192887 Bytes 06.08.2010 07:44:37
AEBB.DLL : 8.1.1.0 53618 Bytes 06.08.2010 07:44:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Kurze Systemprüfung nach Installation
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\setupprf.dat
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 6. August 2010 09:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'presetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avira_antivir_personal_de.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Brmfrmps.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PABXControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HNetCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Capictrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1724' Dateien ).

Ende des Suchlaufs: Freitag, 6. August 2010 09:47
Benötigte Zeit: 00:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2200 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2200 Dateien ohne Befall
5 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Ist die Kiste nun wieder sauber?

Zitat:

Ist die Kiste nun wieder sauber?

Sieht ganz so aus, ja.

Na, da kommt ja dann Freude auf :lach:

Und Dir recht herzlichen Dank für Deine Mühe mit mir. Ohne Deine Hilfe und Geduld würde ich jetzt noch ratlos in den Monitor starren.

Vielen Dank!!

p.s. Was kann ich noch tun, um meinen Dank auszudrücken??

Liebe Grüsse aus dem Schwarzwald....achwas

Nocheinmal Hallöle,

lasse gerade nocheinmal "Luke Filewalker" laufen; zeigt mir bis jetzt 1 verstecktes Objekt an??

Soll ich die Report-Datei nochmal posten?

Jau, Report kannst du posten.

Hallo nochmal,

nun der Report v. Antivir

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 6. August 2010 10:12

Es wird nach 2680386 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SLÄDLE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:44:29
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:44:30
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:44:34
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 07:44:34
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 07:44:34
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 07:44:34
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 07:44:34
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 07:44:34
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 07:44:35
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 07:44:35
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 07:44:35
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 07:44:36
VBASE017.VDF : 7.10.10.53 1536 Bytes 03.08.2010 07:44:36
VBASE018.VDF : 7.10.10.54 1536 Bytes 03.08.2010 07:44:36
VBASE019.VDF : 7.10.10.55 1536 Bytes 03.08.2010 07:44:36
VBASE020.VDF : 7.10.10.56 1536 Bytes 03.08.2010 07:44:36
VBASE021.VDF : 7.10.10.57 1536 Bytes 03.08.2010 07:44:36
VBASE022.VDF : 7.10.10.58 1536 Bytes 03.08.2010 07:44:36
VBASE023.VDF : 7.10.10.59 1536 Bytes 03.08.2010 07:44:36
VBASE024.VDF : 7.10.10.60 1536 Bytes 03.08.2010 07:44:36
VBASE025.VDF : 7.10.10.61 1536 Bytes 03.08.2010 07:44:36
VBASE026.VDF : 7.10.10.62 1536 Bytes 03.08.2010 07:44:36
VBASE027.VDF : 7.10.10.63 1536 Bytes 03.08.2010 07:44:36
VBASE028.VDF : 7.10.10.64 1536 Bytes 03.08.2010 07:44:36
VBASE029.VDF : 7.10.10.65 1536 Bytes 03.08.2010 07:44:36
VBASE030.VDF : 7.10.10.66 1536 Bytes 03.08.2010 07:44:36
VBASE031.VDF : 7.10.10.82 116224 Bytes 05.08.2010 07:44:36
Engineversion : 8.2.4.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 06.08.2010 07:44:40
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 06.08.2010 07:44:40
AESCN.DLL : 8.1.6.1 127347 Bytes 06.08.2010 07:44:39
AESBX.DLL : 8.1.3.1 254324 Bytes 06.08.2010 07:44:40
AERDL.DLL : 8.1.8.2 614772 Bytes 06.08.2010 07:44:39
AEPACK.DLL : 8.2.3.3 471414 Bytes 06.08.2010 07:44:39
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 06.08.2010 07:44:39
AEHEUR.DLL : 8.1.2.10 2830711 Bytes 06.08.2010 07:44:39
AEHELP.DLL : 8.1.13.2 242039 Bytes 06.08.2010 07:44:38
AEGEN.DLL : 8.1.3.18 393589 Bytes 06.08.2010 07:44:37
AEEMU.DLL : 8.1.2.0 393588 Bytes 06.08.2010 07:44:37
AECORE.DLL : 8.1.16.2 192887 Bytes 06.08.2010 07:44:37
AEBB.DLL : 8.1.1.0 53618 Bytes 06.08.2010 07:44:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:, Z:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 6. August 2010 10:12

Der Suchlauf nach versteckten Objekten wird begonnen.
Brmfrmps.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'Brmfrmps.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'PABXControl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'HNetCtrl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Capictrl.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Z:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1727' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Start>
C:\Qoobox\Quarantine\C\extensions.exe\extensions.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.HM.862
C:\System Volume Information\_restore{F3756EC5-C2FF-4FC9-BF3E-DCA42B8D2F1F}\RP1\A0000261.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.862

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{F3756EC5-C2FF-4FC9-BF3E-DCA42B8D2F1F}\RP1\A0000261.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.862
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f0054fa.qua' verschoben!
C:\Qoobox\Quarantine\C\extensions.exe\extensions.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.HM.862
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57d37b86.qua' verschoben!

Ende des Suchlaufs: Freitag, 6. August 2010 13:21
Benötigte Zeit: 3:08:47 Stunde(n)

Der Suchlauf wurde abgebrochen!

11773 Verzeichnisse wurden überprüft
1425453 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1425451 Dateien ohne Befall
49909 Archive wurden durchsucht
0 Warnungen
2 Hinweise
726481 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Dieser TR/Agent taucht immer wieder auf.

Malwarebytes hat nix gegfunden.

Hoffe nun doch, das es mit dem sch.... ein Ende hat

Zitat:

Dieser TR/Agent taucht immer wieder auf.

Im laufenden Betrieb oder nur jetzt als Ergebniss des Scans?
Das was AntiVir während des Scans gefunden hat sind nur die Quarantäne Dateien von Combofix und eine Datei aus der Systemwiederherstellung.
Also alles nicht gefährlich.

Wenn du sonst keine Probleme bzw. Meldungen mehr hast dann bist du entlassen.