Hallo Community,

ich habe mir blöderweise den oben genanntne Trojaner eingefangen
Ich habe shcon hier im forum gesucht und gefunden dass ich erst den beschriebenen Weg mit CCleaner machen muss (tempräre Daten usw. löschen), dann Combofix und dann HJTI....
Hier seht ihr jetzt die logfiles und ich hoffe ihr könnt mir helfen:

ComboFix 08-10-07.06 - Dominik 2008-10-08 8:20:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1625 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dominik\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 ))))))))))))))))))))))))))))))
.

2008-10-08 08:23 . 2008-10-08 08:23 24,064 --a------ C:\Dokumente und Einstellungen\Dominik\so7.exe
2008-10-08 08:11 . 2008-10-08 08:11 <DIR> d-------- C:\Programme\CCleaner
2008-10-07 12:31 . 2008-10-07 12:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Dominik\.qbzvavx-abgrobb
2008-10-07 12:31 . 2008-10-07 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\.borland
2008-10-06 22:10 . 2008-10-07 21:00 <DIR> d-------- C:\Programme\mIRC
2008-10-06 22:10 . 2008-10-07 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\mIRC
2008-10-06 17:42 . 2008-04-13 20:45 26,368 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-10-06 13:59 . 2008-10-06 13:59 <DIR> d-------- C:\Programme\Putty
2008-10-05 13:33 . 2008-10-05 13:33 <DIR> d-------- C:\Programme\Valve
2008-10-03 14:38 . 2008-10-03 14:38 <DIR> d-------- C:\Programme\MSXML 4.0
2008-10-02 18:08 . 2008-10-02 18:08 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Oracle
2008-10-02 17:55 . 2008-10-07 14:15 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-10-02 17:51 . 2008-10-02 17:51 <DIR> d-------- C:\WINDOWS\oradiag_dominik
2008-10-02 17:51 . 2008-10-02 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\admin
2008-10-02 17:49 . 2008-10-02 17:49 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\diag
2008-10-02 17:49 . 2008-10-06 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\cfgtoollogs
2008-10-02 17:14 . 2008-10-02 17:14 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-02 17:14 . 2008-10-02 17:14 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-02 17:14 . 2008-10-02 17:14 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-02 17:14 . 2008-10-02 17:14 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-02 17:12 . 2008-10-02 17:14 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-02 16:26 . 2008-04-14 04:22 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2008-10-02 16:16 . 2008-10-02 16:16 <DIR> d-------- C:\Programme\NeroInstall.bak
2008-10-02 16:15 . 2008-10-02 16:15 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Nero
2008-10-02 16:10 . 2008-10-02 16:10 <DIR> d-------- C:\Programme\Nero
2008-10-02 16:10 . 2008-10-02 16:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-10-02 16:10 . 2008-10-02 16:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-10-02 16:03 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-10-02 16:03 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-10-02 16:02 . 2008-10-02 16:02 <DIR> d-------- C:\Programme\N Schach 3
2008-10-02 15:56 . 2008-06-14 19:32 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-10-02 15:56 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-02 15:54 . 2006-03-21 05:23 23,040 --------- C:\WINDOWS\kb913800.exe
2008-10-02 15:05 . 2008-10-02 15:05 <DIR> d-------- C:\Programme\Lavalys
2008-10-02 14:49 . 2008-10-02 14:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-10-02 14:49 . 2008-10-02 14:49 1,144 --a------ C:\WINDOWS\mozver.dat
2008-10-02 14:19 . 2008-10-02 15:06 <DIR> d-------- C:\Programme\Sun
2008-10-02 14:19 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-02 14:15 . 2008-10-02 14:19 <DIR> d--h----- C:\Programme\Zero G Registry
2008-10-02 14:15 . 2008-10-02 14:15 <DIR> d-------- C:\Programme\Borland
2008-10-02 14:15 . 2008-10-02 14:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Dominik\InstallAnywhere
2008-10-02 14:12 . 2008-10-02 15:14 <DIR> d-------- C:\Programme\Winamp
2008-10-02 14:11 . 2008-10-02 14:11 <DIR> d-------- C:\Programme\EditPlus 2
2008-10-02 14:11 . 2008-10-02 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\EditPlus 2
2008-10-02 14:10 . 2008-10-02 14:10 <DIR> d-------- C:\Programme\MyYouMusic
2008-10-02 14:10 . 2008-10-02 14:10 <DIR> d-------- C:\Programme\FLVPlayer
2008-10-02 14:08 . 2008-10-02 14:08 <DIR> d-------- C:\Programme\xp-AntiSpy
2008-10-02 14:08 . 2008-10-07 18:16 <DIR> d-------- C:\Programme\Spyware Terminator
2008-10-02 14:08 . 2008-10-07 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-10-02 14:07 . 2008-10-02 14:07 <DIR> d-------- C:\Programme\IrfanView
2008-10-02 14:04 . 2008-10-02 12:33 237 --a------ C:\WINDOWS\system32\$winnt$.inf

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 05:47 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-07 19:07 --------- d-----w C:\Programme\Thunderbird-Tray
2008-10-05 16:35 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQ
2008-10-02 13:06 --------- d-----w C:\Programme\Java
2008-10-02 11:57 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird
2008-10-02 11:57 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Talkback
2008-10-02 11:52 --------- d-----w C:\Programme\Microsoft.NET
2008-10-02 11:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-02 11:48 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-10-02 11:48 --------- d-----w C:\Programme\epson
2008-10-02 11:42 --------- d-----w C:\Programme\CyberLink
2008-10-02 11:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-10-02 11:41 --------- d-----w C:\Programme\FRITZ!DSL
2008-10-02 11:40 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2008-10-02 11:40 --------- d-----w C:\Programme\FRITZ!Box
2008-10-02 11:27 --------- d-----w C:\Programme\Avira
2008-10-02 11:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-02 11:25 --------- d-----w C:\Programme\ICQ6
2008-10-02 11:23 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\InstallShield
2008-10-02 11:13 5 ----a-w C:\WINDOWS\system32\drivers\DELL_XPS_MM061 .MRK
2008-10-02 11:13 5 ----a-w C:\WINDOWS\system32\drivers\1028_DELL_XPS_MM061 .MRK
2008-10-02 11:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-10-02 11:10 --------- d-----w C:\Programme\Synaptics
2008-10-02 11:09 --------- d-----w C:\Programme\CONEXANT
2008-10-02 11:08 --------- d-----w C:\Programme\SigmaTel
2008-10-02 11:07 --------- d-----w C:\Programme\Dell
2008-10-02 11:04 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ATI
2008-10-02 11:02 --------- d-----w C:\Programme\ATI Technologies
2008-10-02 10:58 --------- d-----w C:\Programme\DIFX
2008-10-02 10:58 --------- d-----w C:\Programme\Broadcom
2008-10-02 10:56 --------- d-----w C:\Programme\Intel
2008-10-02 10:44 --------- d-----w C:\Programme\GermanOtto
2008-10-02 10:44 --------- d-----w C:\Programme\GemMasterGerman
2008-10-02 10:30 --------- d-----w C:\Programme\microsoft frontpage
2008-10-02 10:26 --------- d-----w C:\Programme\Online-Dienste
2008-10-02 10:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-10-02 10:22 --------- d-----w C:\Programme\Windows Plus
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-02-28 13:04 97064 --a------ C:\Programme\Nero\Nero8\InCD\NBHShx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [2006-06-22 1384448]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-08-03 1032192]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Advanced DHTML Enable"="C:\Dokumente und Einstellungen\Dominik\so7.exe" [2008-10-08 24064]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 C:\WINDOWS\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
TB-Tray.lnk - C:\Programme\Thunderbird-Tray\TBTray.exe [2005-11-08 38912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_SL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 17:08 173304 C:\PROGRA~1\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2008-02-28 13:03 1083176 C:\Programme\Nero\Nero8\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2008-02-28 17:07 1828136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2008-02-18 16:29 2221352 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2008-02-28 09:59 570664 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2008-02-28 13:04 2049320 C:\Programme\Nero\Nero8\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-10-05 13:53 1271032 C:\Programme\Valve\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=

R2 NeroRegInCDSrv;Nero Registry InCD Service;C:\Programme\Nero\Nero8\InCD\NBHRegInCDSrv.exe [2008-02-28 53032]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-RegistryMechanic - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gesichterparty.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 08:23:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 8:23:55
ComboFix-quarantined-files.txt 2008-10-08 06:23:53

Vor Suchlauf: 5 Verzeichnis(se), 45.232.054.272 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 46,240,690,176 Bytes frei

191 --- E O F --- 2008-10-03 12:39:01






JETZT DIE LOGFILE VON HJT


C:\Dokumente und Einstellungen\Dominik\so7.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Dominik\so7.exe
C:\Dokumente und Einstellungen\Dominik\so7.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\Dominik\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\Dokumente und Einstellungen\Dominik\so7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 5942 bytes

hi Rule2k7 und

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Doppel-klicke navilog1.exe, um es auf dem PC zu installieren.
  (Wenn Du die Zip Datei heruntergeladen hast, dann doppel-klicke diese und mache einen erneuten Doppel-klick auf die im Archiv befindende Navilog1.exe)
• Wenn die Installation abgeschlossen ist, wird das Programm automatisch starten.
• Sollte es nicht automatisch starten, so mache einen Doppel-klick auf Navilog1 shortcut auf deinem desktop um es auszufuehren.
• Druecke E fuer Englisch im Sprachenmenue-
• Druecke 1 in dem naechsten Menue umd "Suche" auszuwaehlen. Bestaetige mit Enter.
• Warte bis der Scan fertig ist (Es koennte etwas laenger dauern)
• Druecke eine beliebige Taste, wie aufgefordert.
• Ein neues Dokument wird erstellt und oeffnet sich: fixnavi.txt.
• Bitte kopiere/fuege den Inhalt dieser Datei in deine naechste Antwort ein.

Der Bericht wird außerdem Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:

Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte Risktools erkannt. Es ist kein Virus, sondern ein Programm zur Reinigung dieser Infizierung.

====

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

der lädt das navilog1 einfach nicht vom server runter, wo kann ich denn das noch herbekommen??

dann mach mit Malwarebytes weiter

Geht doch, hier der Bericht
(Malwarebyte ist gerade am laufen...)

Search Navipromo version 3.6.6 began on 08.10.2008 at 11:16:10,81

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Dominik"

Updated on 29.09.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.5512
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Dominik\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Dominik\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Dominik\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Dominik\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Dominik\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 08.10.2008 at 11:18:52,48 ***

Hier das ergebnis von Spyware

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1241
Windows 5.1.2600 Service Pack 3

08.10.2008 11:53:43
mbam-log-2008-10-08 (11-53-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 104753
Laufzeit: 26 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced DHTML Enable (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Dominik\so7.exe (Trojan.Agent) -> Delete on reboot.

rechner neu starten und Malwarebytes wiederholen.

ok hier der bericht von dem 2. scan.
Was muss ich jetzt machen??

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1241
Windows 5.1.2600 Service Pack 3

08.10.2008 12:25:12
mbam-log-2008-10-08 (12-25-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 100547
Laufzeit: 23 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So was ist denn jetzt hier???

Also es kommt keine Meldungen mehr hoch aber ist das trojanische Pferd jetzt auch von meienr Festplatte gelöscht??

schade...

Kann mir denn wirklich NIEMAND helfen?!?

jetzt halt mal den ball flach, es gibt leute die arbeiten gehen müssen, und ich bin grad erst von der arbeit gekommen


wenn du den rechner in ner stunde sauber haben willst gibts nur eins, formatieren. anonsten muss man schonmal ein wenig wartezeit in kauf nehmen....



Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Ok tut mir leid :-(
Ich habe keine Virusmeldung oder ähnliches bekomme. Heißt das es ist jetzt wieder alles ok oder befindet sich der trojaner immer noch auf miener Festplatte??
Hier die Log von Kaspersky

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 9. Oktober 2008 10:46:25
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 8/10/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1162244
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 67821
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:42:27

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QSLLPSVCShare Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQ\143504029\Messages.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQ\143504029\Owner.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Microsoft\Vorlagen\Normal.dot Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\Mail\Local Folders\Inbox.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\Mail\Local Folders\Trash.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\Mail\mail.gmx.net\Inbox.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\Mail\mail.gmx.net\Trash.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\Mail\pop.fh-trier.de\Inbox.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\Mail\pop.fh-trier.de\Trash.msf Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\panacea.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Thunderbird\Profiles\9i12ui9r.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nj4vxksi.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\JETFB6D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\Perflib_Perfdata_7e4.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\Perflib_Perfdata_b30.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\~DF3D81.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\~DFB007.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100920081010\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dominik\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\FRITZ!DSL\access\access.lock Das Objekt ist gesperrt übersprungen
C:\Programme\Nero\Nero8\Nero BackItUp\BIU1.txt Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{6EFBE440-AEA3-4421-8A9F-55A62FC27912}\RP1\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{6250ADEE-CF12-463C-876B-2479FC0B3CC3}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.

===

Systemwiederherstellung deaktivieren und wieder aktivieren:

• •*Windows XP: Deaktiviere die
  Systemwiederherstellung
  •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
  •*Wähle den Reiter Systemwiederherstellung
  •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
  •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
  •*den Haken wieder entfernen und OK drücken
  •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

===

Tool-Bereinigung mit OTCleanIt
Bitte lade Dir OTCleanIt von OldTimer herunter.

• Speichere es auf Deinem Desktop.
• Doppelklick auf OTCleanIt.exe um das Programm auszuführen.
• Eine Datei* sollte nun heruntergeladen werden.
  *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
• OTCleanIt fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTCleanIt und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

===

F-Secure Support-Seiten: F-Secure Online-Virenscanner

diesen onlinescan machen, log posten.

===

frisches hjt-log posten.

ok das 1. is der Scan Log, das 2. is HJT Log
PS: combofix kann ich nicht löschen da kommt eine fehlermeldung dass die datei nicht mehr vohanden ist, ich hatte die schon mal so gelöscht wie du geschrieben hast..die ist nicht mehr auf der hdd


Scanning Report
Thursday, October 09, 2008 13:59:11 - 14:53:32

Computer name: DOMINIK-NOTEBOO
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 6 malware found
TrackingCookie.2o7 (spyware)

* System

TrackingCookie.Atdmt (spyware)

* System

TrackingCookie.Atwola (spyware)

* System

TrackingCookie.Doubleclick (spyware)

* System

TrackingCookie.Tradedoubler (spyware)

* System

W32/Packed/FSG_2.A (virus)

* C:\PROGRAMME\NAVILOG1\GNC.EXE (Submitted)

Statistics
Scanned:

* Files: 46404
* System: 3461
* Not scanned: 10

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 6
* Submitted: 1

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{9459C0D4-B8D2-4F11-9C62-4C651911B859}.BIN
* C:\DOKUMENTE UND EINSTELLUNGEN\DOMINIK\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB
* C:\DOKUMENTE UND EINSTELLUNGEN\DOMINIK\ANWENDUNGSDATEN\ICQ\143504029\MESSAGES.MDB
* C:\DOKUMENTE UND EINSTELLUNGEN\DOMINIK\ANWENDUNGSDATEN\ICQ\143504029\OWNER.MDB

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-10-09
* F-Secure AVP: 7.0.171, 2008-10-09
* F-Secure Pegasus: 1.20.0, 2008-09-02
* F-Secure Blacklight: 1.0.68

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics


Hi Jack This Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56:29, on 09.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Nero\Nero8\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 5988 bytes