Also,
ich hab das offizielle OK von erty bekommen.

Führe folgendes Tool aus (Tutorial genau durchlesen):

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Zitat:

Zitat von Dark Viruz

Also,
ich hab das offizielle OK von erty bekommen.

Beweise?

Und noch eine vorsichtige Frage:
Geht das wirklich schneller? Das sind 8 Einträge, davon die meisten nahe beieinander. Ich scheue nicht vor ein bisschen Handarbeit zurück...

ComboFix findet vieles, was MBAM, SmitfraudFix nicht findet.

Es gibt auch sonstige wichtige Informationen wieder.

Ok, ich habs ja fast geahnt. Hab gar nix gesagt
Dann mach ich mich mal dran.

Der CCleaner fragt nach Klick auf "Fehler beheben" unter Registry: "Änderungen in der Registry sichern?".
Ja oder nein? Und vielleicht kann man diesen Punkt in der Anleitung noch ergänzen...

Das dürfte sich eigentlich von selber ergeben.
Fehler beheben? Na klar, für was ist die Funktion sonst da?
Änderung sichern? Je nach dem, ob du die Registry-Leichen bunkern willst, oder nicht..

auf nem astreinen system normalerweise erstmal sichern, aber ich denke du kannst getrost löschen. CCleaner scannt nicht so aggresiv wie manch anderer registry cleaner.

Naja, ich dachte, ich frag lieber einmal zu viel...

Also hier das CF-Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-10.04 - xxxxx 2008-09-12  0:35:53.1 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2370 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\SW_Win2000X24.DLL

.
(((((((((((((((((((((((   Dateien erstellt von 2008-08-11 bis 2008-09-11  ))))))))))))))))))))))))))))))
.

2008-09-12 00:26 . 2008-09-12 00:26	<DIR>	d--------	C:\Programme\CCleaner
2008-09-11 23:21 . 2008-09-11 23:21	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-11 23:21 . 2008-09-11 23:21	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-09-11 23:21 . 2008-09-11 23:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-11 23:21 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-11 23:21 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-11 22:59 . 2008-09-11 23:16	3,046	--a------	C:\WINDOWS\system32\tmp.reg
2008-09-11 11:32 . 2008-09-11 11:32	<DIR>	d--------	C:\Programme\Avira
2008-09-11 11:32 . 2008-09-11 11:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-08 02:13 . 2008-09-08 02:13	7	--a------	C:\WINDOWS\INI2=No
2008-09-08 02:13 . 2008-09-08 02:13	7	--a------	C:\WINDOWS\INI1=No
2008-09-08 02:12 . 2008-09-08 02:12	<DIR>	d--------	C:\Downloads
2008-09-08 02:12 . 2008-09-08 02:12	<DIR>	d--------	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GetRightToGo
2008-09-05 01:09 . 2008-09-05 01:09	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-08-28 21:57 . 2008-08-28 21:57	108,768	--a------	C:\WINDOWS\system32\drivers\ACEDRV08.sys
2008-08-28 21:56 . 2006-08-08 09:32	626,688	--a------	C:\WINDOWS\DBREG.dll
2008-08-28 21:56 . 2004-03-09 00:00	132,880	--a------	C:\WINDOWS\system32\MSINET.OCX
2008-08-28 21:56 . 2006-08-08 09:31	131,584	--a------	C:\WINDOWS\DBReg.exe
2008-08-28 21:56 . 2006-08-04 12:26	16,070	--a------	C:\WINDOWS\German2.ini
2008-08-27 23:36 . 2008-08-27 23:36	<DIR>	d--------	C:\WINDOWS\system32\NtmsData
2008-08-15 15:31 . 2008-04-11 20:50	683,520	---------	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-15 15:31 . 2008-05-01 16:30	331,776	---------	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-14 10:02 . 2008-08-14 10:02	<DIR>	d--------	C:\TEMP

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-30 17:26	1,868,944	----a-w	C:\WINDOWS\system32\RSA32_16.DLL
2008-08-05 18:39	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\gtk-2.0
2008-08-04 18:43	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-08-04 18:33	315,392	----a-w	C:\WINDOWS\HideWin.exe
2008-08-04 18:33	---------	d-----w	C:\Programme\Realtek
2008-08-04 17:39	9,388	----a-w	C:\WINDOWS\system32\drivers\iaStor.PNF
2008-08-04 17:39	7,280	----a-w	C:\WINDOWS\system32\drivers\viamraid.PNF
2008-08-04 17:39	63,240	----a-w	C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-08-04 17:39	6,984	----a-w	C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-08-04 17:39	20,152	----a-w	C:\WINDOWS\system32\drivers\INFCACHE.1
2008-08-04 17:39	12,432	----a-w	C:\WINDOWS\system32\drivers\adpu320.PNF
2008-08-04 17:39	12,204	----a-w	C:\WINDOWS\system32\drivers\nvraid.PNF
2008-08-04 17:39	10,828	----a-w	C:\WINDOWS\system32\drivers\iaAHCI.PNF
2008-07-31 08:15	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-16 18:55	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Spider Player
2008-07-15 16:45	---------	d-----w	C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\vstsaxi
2008-07-15 15:25	---------	d-----w	C:\Programme\ASIO4ALL v2
2008-07-15 15:08	---------	d-----w	C:\Programme\Steinberg
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-07 20:30	253,952	------w	C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:22	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22	74,240	------w	C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 09:49	18,432	------w	C:\WINDOWS\system32\dllcache\iedw.exe
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39	247,296	------w	C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39	148,992	------w	C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45	360,320	------w	C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44	138,368	------w	C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52	225,920	------w	C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\dllcache\bthport.sys
2008-01-24 14:06	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 21686568]
"MCW Startup"="E:\Monitor Calibration Wizard\MCW.exe" [2002-12-20 321024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Adobe Reader Speed Launcher"="E:\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 7634944]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 86016]
"QuickTime Task"="E:\Quicktime\qttask.exe" [2008-03-28 413696]
"HP Software Update"="E:\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-10-31 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-10-11 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
WinZip Quick Pick.lnk - E:\WinZip\WZQKPICK.EXE [2007-06-06 394856]
HP Digital Imaging Monitor.lnk - E:\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Trillian\\trillian.exe"=
"F:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"E:\\Azureus\\Azureus.exe"=
"E:\\grandMA 3D\\GrandMA 3D.exe"=
"E:\\Mozilla\\firefox.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"E:\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"E:\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"E:\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"E:\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-08-28 108768]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18432]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\lvetd120.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.net/
FF -: plugin - E:\Adobe Reader\Reader\browser\nppdf32.dll
FF -: plugin - E:\Mozilla\plugins\np32dsw.dll
FF -: plugin - E:\Mozilla\plugins\npdivx32.dll
FF -: plugin - E:\Mozilla\plugins\npDivxPlayerPlugin.dll
FF -: plugin - E:\Mozilla\plugins\npnul32.dll
FF -: plugin - E:\Mozilla\plugins\NPOFF12.DLL
FF -: plugin - E:\Mozilla\plugins\nppdf32.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin2.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin3.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin4.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin5.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin6.dll
FF -: plugin - E:\Mozilla\plugins\npqtplugin7.dll
FF -: plugin - E:\Mozilla\plugins\NPSWF32.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin2.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin3.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin4.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin5.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin6.dll
FF -: plugin - E:\Quicktime\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 00:36:49
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-12  0:37:10
ComboFix-quarantined-files.txt  2008-09-11 22:37:08

Pre-Run: 497,590,272 Bytes frei
Post-Run: 597,458,944 Bytes frei

181	--- E O F ---	2008-09-10 13:48:09
         

So jetzt nur noch das:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

==============

Jetzt ist mein Teil getan.

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.6.5 began on 12.09.2008 at  0:47:50,76

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "xxxxx" 

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : FAT32

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\xxxxx\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\XXX\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\GAST\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\xxxxx\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\XXX\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\GAST\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\xxxxx\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\XXX\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\GAST\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\xxxxx\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\XXX\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\GAST\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\xxxxx\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\XXX\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\GAST\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 12.09.2008 at  0:48:31,00 ***
         

Zitat:

Zitat von Dark Viruz

Jetzt ist mein Teil getan.

Dann danke ich dir sehr herzlich!
Und harre gespannt dem, was noch kommt

Kein Problem, war nur das bisschen.

Jetzt ist erty wieder dran.

na du bist mir einer... Dark!

darf ich jetzt doch die schlüssel einzeln bereinigen?

Ja, wenn du willst

also sieht es so bei dir aus?

achte auf das untere grüne "Zeile".

Nein, ich hab im Ordner "Policies" keinen weiteren Ordner gleichen Namens, sondern: ActiveDesktop, Associations, (+)Explorer, System, WindowsUpdate.