So hab das mit dem Wiederherstellungspunkt gemacht aber nur deaktivirt und 2 min. ausgeschaltet.Nicht wie in der Beschreibung stand.Ich hoffe das war so richtig.Hier der Log:

ComboFix 08-05-12.1 - Administrator 2008-05-14 21:29:27.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1584 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-14 bis 2008-05-14 ))))))))))))))))))))))))))))))
.

2008-05-14 19:00 . 2008-05-14 19:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-14 19:00 . 2008-05-14 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-14 19:00 . 2008-05-14 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-05-14 19:00 . 2008-05-14 19:17 93,033 --ahs---- C:\WINDOWS\system32\MSYccMoq.ini
2008-05-14 19:00 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-14 19:00 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-14 06:30 . 2008-05-14 06:30 90,304 --a------ C:\WINDOWS\system32\kgsudhij.dll
2008-05-13 01:38 . 2008-05-13 01:38 <DIR> d-------- C:\Programme\Avira
2008-05-13 00:11 . 2008-05-13 09:04 308 --a------ C:\WINDOWS\wininit.ini
2008-05-12 23:55 . 2008-05-12 23:55 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-12 23:55 . 2008-05-13 00:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-12 23:16 . 2008-05-12 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TmpRecentIcons
2008-05-12 23:11 . 2008-05-13 01:10 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-12 22:59 . 2008-05-12 22:59 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-12 22:34 . 2008-05-12 22:34 <DIR> d-------- C:\Programme\Trend Micro
2008-05-12 21:48 . 2008-05-13 01:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-12 21:33 . 2008-05-12 21:33 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-07 22:16 . 2008-05-07 22:16 <DIR> d-------- C:\Programme\Ubisoft
2008-05-07 13:16 . 2008-05-10 22:09 <DIR> d-------- C:\P�nkbuster
2008-05-06 20:14 . 2005-02-11 10:19 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
2008-05-06 20:14 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
2008-05-06 20:14 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
2008-05-04 21:48 . 2008-05-04 21:48 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-05-01 18:02 . 2008-05-01 18:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-01 18:02 . 2008-05-01 18:02 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-04-24 22:46 . 2008-04-24 22:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-04-24 22:45 . 2008-04-24 22:48 <DIR> d-------- C:\Programme\Microsoft Digital Image 2006
2008-04-21 00:53 . 2008-04-21 00:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ArcSoft
2008-04-21 00:52 . 2008-04-21 00:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-04-21 00:52 . 2008-04-21 00:52 <DIR> d-------- C:\Programme\ArcSoft
2008-04-21 00:52 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-04-21 00:52 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 19:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-05-14 16:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-05-12 19:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2008-05-11 07:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZoomBrowser EX
2008-05-11 07:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CameraWindowDC
2008-05-10 20:27 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-07 20:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-01 16:02 --------- d-----w C:\Programme\Skype
2008-04-28 15:30 --------- d-----w C:\Programme\Canon
2008-04-28 12:29 --------- d-----w C:\Programme\Pinnacle
2008-04-13 23:19 --------- d-----w C:\Programme\DivX
2008-04-07 10:53 --------- d-----w C:\Programme\Electronic Arts
2008-04-07 10:50 --------- d-----w C:\Programme\DAEMON Tools
2008-04-07 10:48 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-03-30 18:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-03-26 07:31 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-03-23 19:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2008-03-21 12:21 --------- d-----w C:\Programme\Winamp
2008-03-20 17:25 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-03-16 09:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CANON INC
2008-03-16 08:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-03-16 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Canon
2008-03-16 07:44 --------- d-----w C:\Programme\eBay
2008-03-07 20:25 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied
2006-06-01 21:06 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB884883$\explorer.exe
2005-04-07 20:46 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-14_18.54.32.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-14 16:52:29 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-14 19:32:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{010D48BE-FAF5-4B15-BFFD-2894CEB5DCBE}]
C:\WINDOWS\system32\geBrsPIb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3E2C80A5-AD44-47AF-9F5C-5E1078636D87}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97F7302A-147C-4435-901C-184375993BE6}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D339730D-9EEA-4F2E-B04A-67E0DF888115}]
C:\WINDOWS\system32\nnnnlKba.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8E625A3-2D3F-44C5-90C0-5D3F795AB40C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5AC18EE0-E9B2-428D-844F-6D3EEA227215}"= "C:\WINDOWS\pvnsmfor.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{5ac18ee0-e9b2-428d-844f-6d3eea227215}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{E959253D-2F5C-480C-B7D2-6BD8996A05B1}]
[HKEY_CLASSES_ROOT\pvnsmfor]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-06-01 21:06 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-04-23 17:45 22058792]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-10-24 20:20 1626112 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40 155648]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 02:26 406016]
"SideWinderTrayV4"="C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe" [1999-11-18 19:12 24650]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 05:44 16262656 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 21:06 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sQAeyZFH"= {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\system32\eio.dll [2007-04-16 18:09 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"InetChk"=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe work
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"cc4ccedc"=rundll32.exe "C:\WINDOWS\system32\eqwmhflt.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 16:08:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-14 21:32:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Microsoft Hardware\Game Controllers\Common\SWTrayV4.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-14 21:34:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-14 19:34:08
ComboFix2.txt 2008-05-14 16:54:56

10 Verzeichnis(se), 25,740,976,128 Bytes frei
13 Verzeichnis(se), 25,733,201,920 Bytes frei

174

Die Datei "EGUI.EXE" die ich zu Avira schicken sollte gibt es nicht mehr .Hatte ich gestern ganz vergessen zu schreiben.Habe jetzt gerade nochmal gesucht.Nix .
Mein Firefox verweigert auch sämtliche Scans muß dafür den IE nehmen.Und der spinnt total.Öffnet nee menge Fenster und Spybot dreht dann auch immer durch.

Hallo

Zitat:

Die Datei "EGUI.EXE" die ich zu Avira schicken sollte gibt es nicht mehr .Hatte ich gestern ganz vergessen zu schreiben.Habe jetzt gerade nochmal gesucht.Nix .

Mist...das ist ganz schlecht.
Ich hab zu der Datei (wenn es sie denn ist) dies gefunden das würde sich etwa mit der ersten Analyse (ClamAV W32.Virut.Gen.C-94) decken

Zitat:

* Registers a Dynamic Link Library File
* This Process Creates Other Processes On Disk
* Executes a Process
* The process hooks code into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
* The Process is packed and/or encrypted using a software packing process

da dies ja nicht der einzige Schädling auf deinem System ist/war ist daher mein Rat, setz die Kiste neu auf.
http://www.trojaner-board.de/51262-a...sicherung.html
Ändere alle Pass- und Kennwörter nach der Neuinstallation.
Sichere keine ausführbaren Dateien wie .exe, bat, pif, scr usw., ebenso keine Dateien die von Vätern verschickt werden oder aus unsicheren Quellen.

Evtl. hat jemand noch ne andere Idee?

MFG

Hallo,
das hört sich aber nicht so gut an.
Ich habe nochmal Antiv durchlaufen lassen,nix.
Spybot,nur einen "doublekilck" oder so
Malwarebytes' Anti-Malware hat aber auch nix mehr gefunden.
kann es denn nicht sein das ich ihn wieder los bin?
Vielleicht bin ich ja resistent?

Aber trotzdem besten dank für die Hilfe.wenn sich zum Wochenende hin keiner mehr meldet werde ich mal alles wieder neu machen.
Vielleicht nochmal ein Hijack Log?

Hallo

Zitat:

kann es denn nicht sein das ich ihn wieder los bin?

Hmm

Zitat:

Mein Firefox verweigert auch sämtliche Scans muß dafür den IE nehmen.Und der spinnt total.Öffnet nee menge Fenster und Spybot dreht dann auch immer durch.

vor einigen Stunden klang das ganz anders...

Ich denke nicht, dass dein System sauber ist

Zitat:

md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied
2006-06-01 21:06 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB884883$\explorer.exe
2005-04-07 20:46 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied

hier wird irgendwie verhindert, dass ein MD5-Wert erstellt wird wodurch man überprüfen könnte, ob es sich bei den Dateien um die originale handeln würde, sehr suspekt.
Ich persönlich halte dein System für nicht mehr vertrauenswürdig.

MFG

Jo!!!
Hast recht ,hier stimmt was nicht.
Mach morgen alles neu.
Vielen Dank für Deine Mühe.
Wenn ich mal was für Dich tun kann(nen krassen Virus oder so )
Bis denn dann.

:aplaus:

Achso 1 noch wenn ich mich an die Anleitung zum Neuafsetzten halte ,werde ich dann nichts mit ins neue System nehmen?

Moin

Zitat:

wenn ich mich an die Anleitung zum Neuafsetzten halte ,werde ich dann nichts mit ins neue System nehmen?

so soll es sein.

Bilder, Officedokumente und MP3 sollten bei der Sicherung kein Problem sein.
Verzichte aber, wie schon gesagt, auf ausführbare Dateien und Dateien aus unsicheren Quellen.

MFG

Ein hab ich noch........
meinst du es reicht wenn ich die Daten die ich sichern will auf eine andere Partition verschiebe oder besser auf CD?Habe meine Festplatte in 3 Teile geteilt und nur C verwendet.Die anderen sind noch leer.

Hallo

Zitat:

meinst du es reicht...

Jupp, wenn dort nix installiert ist wie du sagst, langt das aus
Schönes Wochenende trotzdem

MFG