Hallo,
zuerst mal vielen Dank, Dass Du Dir Zeit nimmst, dies zu lesen. Ich wende mich an dieses Forum, weil ich nicht mehr weiter komme.
Und bevor ich eine Neuinstallation mache, möchte ich es noch mit Deiner Hilfe versuchen. Ich habe hier einiges gelesen und deshalb
die Hoffnung noch nicht aufgegeben.

Ablaufbericht :

Grundangaben :

System Windows XP Prof mit SP2, Firefox 3.03,Firewall Zonealarm Freeversion, Antivir Premiumversion (täglich aktualisiert), Toni Arts Eaysy Cleaner, Ashampoo Startup Tuner,

Adaware, What's Runnung,
Ich habe vor ca 1,5 Wochen bemerkt, dass im Firefox Seiten umgeleitet werden. Ein paarmal sollte ich etwas bestätigen. Ich konnte es nicht löschen oder am Firefox noch etwas

machen. Ich habe dann immer den Firefox mit Ctrl Alt Del geschlossen.
Ausserdem konnte ich fast keine Seiten Spyware etc.- Hilfen oder mit Programmen zum downloaden öffnen. Mit Suchresultaten von Google wurde die Seite als nicht verbindbar

angezeigt oder es wurde direkt eine Umlenkung auf andere Seiten versucht.

Ich habe vom 8.- 10.Okt. mit Antivir folgende Systemprüfungen gemacht. Ab dem 10. Okt, abends hatte ich nur noch die Meldungen gemäss letztem Antivirreport ( hinten angefügt).
Ich habe versucht, "Ad-Aware" zu aktualisieren, aber es kam immer die Fehlermeldung, dass es keine Verbindung zum Internet gibt.
Ad-Aware habe ich laufen lassen, es hat aber nichts gefunden.
Am 11.Okt habe ich das Programm "Spyfighter" installiert und damit auch einige Schlechte Programme gefunden. Ich habe aber den Report leider gelöscht.
Ich benutzte auch manchmal den Internetexplorer, aber da wurde ich direkt umgeleitet, so dass ich immer den Internetzugang unterbrechen musste, um es zu unterbrechen.
Am 16.Okt. kam ich endlich zu einer Version vom "Spybot" Programm. Der Suchlauf in der 2Normalen Version" ergab folgendes :
Golden Palace.Casino 1
Win32.Agent.ark 24
HotkeysHook 1
Inet Delivery 1
MagicControl.Agent 4
Microsoft.Windows.System 1
Smitfraud-C 65
Virtumonde 2

Es war also vieles im Argen. Leider besserte sich das Grundproblem nicht, ausser dass im Internetexplorer beim Anklicken eines Resultates bei einer Googlesuche die Weiterleitung

abgeblockt wurde von Spybot und folgende Fehlermeldung erschien :
URL:h**p:/www.searchfeed.com/rd/Clk.jsp?s=m3
identifiziert als : Win 32.Small.ddx

Zwischenzeitlich habe ich "Spybot" noch ein paarmal laufen lassen, 1x sogar nach Gebrauchsspuren, aber es wurde nichts gefunden.

In dieser Zeit habe ich noch folgendes versucht :
Im Internet Explorer hatte es einpaar tausend Namen von Seiten in der Rubrik"Sicherheit--> eingeschränkte Sites". Ausserdem kann ich die Sicherheitsstufe für diese Seiten nicht

ändern. Ich habe dann den InternetExplorer deinstalliert und neu installiert. Die aufgelisteten Seiten waren weg, aber die Sicherheitsstufe kann ich immer noch nicht anpassen.

Ich habe irgendwo gelesen, dass Spybot zur reibungslosen Funktion eine Sicherheitslücke vonm Internetexplorer benötigt, darum habe ich ihn wieder installiert. Ausserdem habe ich

vermutlich die selben Seiten in der Registry gefunden und ebenfalls gelöscht. Vielleicht kommt diese Liste auch vom Spybot ??
Ich habe auch den Firefox komplett deinstalliert ( ausser Registry )und neu aufgesetzt. Nur das Lesezeichenfile "Lesezeichen-2008-10-17.json" habe ich wieder integriert.Komisch

fand ich, dass der FireFoxordner vorher hhqzq6cs.default"hiess, und nach der Neuinstallation "av7mcond.default" heisst.
Kurzzeitig war auch der Tastaturbefehl "Ctrl+Alt+DEl" blockiert, dies konnte ich beheben in der Registry.
Ich habe einige Ordner und Dateien nach Angaben von Internetforen oder nach Gefühl, sie könnten dem Namen nach faul sein, mit dem Explorer gelöscht. Das komplette "Google Earth"

und "WinAmp" wurden gelöscht. Alles, was ich mit der Suchfunktion nach der Deinstallation noch fand, habe ich ebenfalls immer gelöscht ( ausser Registry ). Bisjetzt ohne

Ergebnis.
Google Earth Freeversion hatte ich vor ca 3 Wochen installiert sowie die "Pro" Gratisversion. Um die Zusatzfunktionen nutzen zu können, musste man einen Keylogger installieren,

vermutlich die Ursache allen Übels.

Jetzt habe ich noch das Programm "cwshredder" laufen lassen. Es hat auch nichts gefunden. Allerdings konnte ich es nicht auf den neuesten Stand updaten

Und noch den letzten Versuch mit dem HijackThis Programm. Das Ergebnis ist nachfolgend eingefügt.

Kann "cwshredder" und "Hijackthis" auch im abgesicherten Modus laufel lassen ?
Ich habe bisjetzt beide Programme im normalen Modus laufen lassen.

"Windows Scripting Host deaktivieren" habe ich in der Reistry gemacht.

========================================================================
Ergebniss for "Suche" im Explorer nach "host" im Laufwerk C ( nur vom Jahr 2008 ):
Name / Im Ordner / Grösse / Typ / Geändert am

.hosts C:\Programme\VideoLAN\VLC\lua\http 1 KB HOSTS-Datei 14.09.2008
.hosts C:\Programme\VideoLAN\VLC\lua\http\dialogs 1 KB HOSTS-Datei 14.09.2008
hosts.lua C:\Programme\VideoLAN\VLC\lua\intf\modules 11 KB LUA-Datei 14.09.2008
.hosts C:\Programme\VideoLAN\VLC\http 1 KB HOSTS-Datei 14.09.2008
.hosts C:\Programme\VideoLAN\VLC\http\dialogs 1 KB HOSTS-Datei 14.09.2008
SVCHOST.EXE-0EB47E31.pf C;\Windows\Prefetch 18 KB PF-Datei 04.10.2008
SVCHOST.EXE-3530F672.pf C;\Windows\Prefetch 21 KB PF-Datei 11.10.2008
ssvchost.exe C:\Dok + Einst\All Users\Anw.-daten\Spybot - Search & Destroy\Recovery\SmitfraudC29.zip 4 KB Anwendung 08.10.2008
ssvchost.com C:\Dok + Einst\All Users\Anw.-daten\Spybot - Search & Destroy\Recovery\SmitfraudC28.zip 4 KB Anwendung für MS-DOS 08.10.2008
msvchost.exe C:\Dok + Einst\All Users\Anw.-daten\Spybot - Search & Destroy\Recovery\SmitfraudC15.zip 4 KB Anwendung 08.10.2008
Mittwoch, 08. Oktober - 22_37_55 ; SVCHOST.EXE.reg C:\Programme\Ashampoo\Ashampoo StartUp Tuner<Backups\StartUp-Tuner\ich 1 KB Registrierungsdatei 08.10.2008
hosts C:\WINDOWS\system32\drivers\etc 245 KB Datei 16.10.2008
HostCache.ini C:\Programme\Logitech\Desktop Messenger\8876480\Users\ich\Data 1 KB Konfigurationseinst. 19.10.2008
============================================================================


Ich hoffe, dass ich nicht zuviel oder zuwenig geschrieben habe. Ich bin nur PC-Amateur.
Falls noch mehr Angaben notwendig sind, kontaktiere mich bitte.

Ich hoffe, dass mir jemand helfen kann.

Zum vornherein vielen vielen Dank

=======================================================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:30, on 19.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SEC\MagicTune3.6\GammaTray.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\SEC\MagicTune3.6\MagicTune.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bluewin.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://bluewin.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ch.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://bluewin.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bluewin.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://bluewin.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [vflx9XfyX1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vujwjuzi\zurwdcbe.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: MagicTune 3.6.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: shmsgutil - {08AA84D9-CBF4-F2DD-3E1A-01F02C470590} - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8446 bytes



=======================================================================
Avira AntiVir Premium Reportdatei: Mittwoch, 8. Oktober 2008 20:25

Konfiguration für den aktuellen Suchlauf:
Vollständige Systemprüfung

Durchsuche Prozess 'zurwdcbe.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vujwjuzi\zurwdcbe.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\drivers\svchost.exe'
Prozess 'zurwdcbe.exe' wird beendet
Prozess 'svchost.exe' wird beendet
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vujwjuzi\zurwdcbe.exe
[FUND] Ist das Trojanische Pferd TR/Obfuscated.GX.2340
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495efba9.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\svchost.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 494ffbaa.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
[HINWEIS] Die Datei wurde gelöscht.

Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F24F6TNY\._file[1].exe
[FUND] Ist das Trojanische Pferd TR/Obfuscated.GX.2340
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4952fc9c.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Volume>
D:\Datensicherungen\Bios-Installations-Programme\GoogleEarth\Google Earth Pro Gold Edition 2009\Crack (By Best For You).exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/LinkReplacer.C
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 494e08f1.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
[HINWEIS] Die Datei wurde gelöscht.

Benötigte Zeit: 1:15:11 Stunde(n)

6 Viren bzw. unerwünschte Programme wurden gefunden
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
5 Warnungen
4 Hinweise

=======================


Avira AntiVir Premium Reportdatei: Donnerstag, 9. Oktober 2008 22:19

Konfiguration für den aktuellen Suchlauf:
Vollständige Systemprüfung

Durchsuche Prozess 'zqfwzyhs.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\zqfwzyhs.exe'
Prozess 'zqfwzyhs.exe' wird beendet
C:\WINDOWS\system32\zqfwzyhs.exe
[FUND] Ist das Trojanische Pferd TR/Obfuscated.GX.2419
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495467aa.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
[HINWEIS] Die Datei wurde gelöscht.

Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <Volume>
Der Suchlauf wurde abgebrochen!

2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
3 Warnungen
1 Hinweise


=============================


Avira AntiVir Premium Reportdatei: Donnerstag, 9. Oktober 2008 22:56


Konfiguration für den aktuellen Suchlauf:
Vollständige Systemprüfung

Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\dhahmac\shmsgutil.dll
[FUND] Ist das Trojanische Pferd TR/Obfuscated.GX.2416
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495b7204.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'D:\' <Volume>
Der Suchlauf wurde abgebrochen!

1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
4 Warnungen
1 Hinweise

====================


Avira AntiVir Premium Reportdatei: Freitag, 10. Oktober 2008 22:03

Es wird nach 1676136 Virenstämmen gesucht.

Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\aarem dhahmac\rem shmsgutil.dlx
[FUND] Ist das Trojanische Pferd TR/Obfuscated.GX.2416
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495cb67c.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Volume>
Der Suchlauf wurde vollständig durchgeführt.


1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
3 Warnungen
1 Hinweise
=================================

Halli hallo Banakos

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware und SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Hallo Undoreal,

besten Dank für Deine rasche Antwort und entschuldige bitte, dass Du nichts von mir gehört hast. Ich hatte noch versucht, den Spyware Doctor zu installieren. Vermutlich hat der sich mit dem Spybot nicht vertragen, der schon installiert war. Auf jeden Fall konnte ich meinen PC sogar im abgesicherten Modus nicht mehr hochfahren. Jetzt habe ich eine Neuinstallation vorgenommen.
Entschuldige bitte, dass Du meinetwegen viel Arbeit hattest. Ich möchte mich nochmals herzlich bedanken und wünsche euch allen weiterhin viel beim Helfen.

Hallo Undoreal,

zuerst mal vielen Dank, dass Du mir helfen willst. Zweitens Entschuldigung, dass ich nichts von mir hören liess.
Zwischenzeitlich wollte ich den "Spyware Doctor" installieren. Ich hatte aber "Spybot" schon installiert.
Vermutlich vertrug sich dies nicht und ich konnte die Installation weder abschliessen noch zurücksetzen.
Ich konnte den PC sogar im abgesicherten Modus nicht mehr hochfahren. So sah ich keine andere Möglichkeit mehr
als den PC neu zu installieren. Für den Moment aheb ich nur das Problem, dass ich ( vermutlich wegen der vielen
Infos bei diversen Foren ) nicht sicher bin, welche Programme oder Konfigurationen ich zur Sicherung installieren soll.
Kennst Du eine Site, wo man klare Infos erhält, auch über Verträglichkeit der Programme untereinander.

Nochmals vielen Dank für Deine Hilfe und für die Arbeit, die Du und Deine Kollegen hier machen.
Ich finde das super.

Hallöle.

Ich habe dir doch unten gepostet wie der Rechner konfiguriert werden sollte! Halte diese Regeln ein und schalte dein Hirn beim Surfen ein dann geht's deinem Rechner gut.