Hallo,
vergleiche die Beschreibung in Sophos mit dem Log von mindless..richte dabei dein besonderes Augenmerk auf die O4 Einträge....dort allein wirst du sogar zwei Stück finden können.Einer hat allerdings einen anderen Namen...Möglicherweise verwechselst du was ?
..und verlasse dich nicht auf die automatische Auswertung...
Sir Reklov

  so ein misssst bin auf den link gegangen und als ich "Regedit" eingegeben hab kamm "Keine gültige Anwendung" was kann man noch versuchen auser Neu Aufsetzen  

könnt ich nich einfach mit HijackThis die 04... dateien Löschen? 

Sir Reklov,
im dem Punkt sind wir uns schon einig, dass dieser Eintrag
O4 - HKLM\..\RunServices: [winlog] winlog.exe
von einer Malware stammt.
Nur das System von mindless ist wohl Up to Date und mit einen aktuellen Virenscanner versehen,
so dass der Computer gegen den Wurm W32/Agobot-LF immun sein sollte.
Leider wird der Eintrag von verschiedenen Malwarevarianten genützt, somit ist eine genau Bestimmung der Malware alleine über dem Logfile of HijackThis nicht möglich.
Auch für diese Einträge ist Malware verantwortlich:
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu.exe
(Vermutlich ein Trojan.Downloader)
O20 - Winlogon Notify: rqrqrpn - C:\WINDOWS\SYSTEM32\rqrqrpn.dll
(TR/Agent.33302 ist gleich Vundo)

@ mindless
Fixe die drei Einträge mit HijackThis.
Danach arbeite unbedingt die To Do Liste in der Reihenfolge und vollständig ab.
Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.
Überprüfe dann deinen PC mit dem Freeware Online-Scanner von Bitdefender.
Er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzt eine Reinigungsfunktion.
BitDefender Online Scanner:
http://www.bitdefender.de/scan_de/scan8/ie.html

Online-Scanner von Ewido:
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)
Poste bitte auf jeden Fall die ausführlichen Scanreports der Scanner hier !
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
 

Danke für eure Tipss ich werd mal alles versuchen wenn halt nichts klappt muss ich neu aufsetzen 

Nach den ganzen aktionen hier mein log



Logfile of HijackThis v1.99.1
Scan saved at 11:10:28, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Razer\Habu\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\D\D-Info Sommer 2006\Distart.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Razer\Habu\razertra.exe
C:\Programme\Razer\Habu\razerofa.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Computer\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\rqrqrpn.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Habu] C:\Programme\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2006\Distart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: rqrqrpn - C:\WINDOWS\SYSTEM32\rqrqrpn.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

Hallo mindless,

 

O4 - HKLM\..\RunServices: [winlog] winlog.exe

Immer noch da.
Kein Verzeichnispfad,wie in den unteren Beispielen.Ganz typisch für eine Installation durch einen Wurm.

Beispiel:

 

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

In diesen beiden Beispielen kannst du der Exe Datei ganz leicht nachspüren,da du den Pfad dafür siehst.

 

NeroCheck.exe
 

Diese hier findest du ,wenn du über C >Windows Ordner > System 32 Ordner aufmachst und darin nach der Nero exe suchst.
as kannst du hier eben nicht machen :

O4 - HKLM\..\RunServices: [winlog] winlog.exe

Das ist auch Absicht so....
Ein sehr sicheres Indiz für einen Wurm....
..und "Agobot erstellt ganz genau diesen Eintrag,nachzulesen im Sophos Link unter "erweitert"

Versuche mal bei "Virustotal" diese "winlog exe" einzugeben.Sollte ein Ergebnis zustande kommen (ich zweifel dran) dann poste es bitte.
Du kannst auch mal versuchen über die "suchen" Funktion deiner Kiste nach der datei forschen zu lassen.
Dazu Start > suchen > und den Namen eingeben.Läßt sie sich finden,hingehen zu dem Pdad und von dort aus hochladen bei "Virustotal.
Ich denke aber das du eine Fehlermeldung bekommst ,weil ein "run" Datei normalerweise nicht hochgeladen werden kann.
Sir Reklov