ok sorry wollte da niemandem zu Nahe treten. Eigentlich hatte sich Gentlman meines Problems angenommen, aber nach sehr ausdauernden Versuchen, wusste er wohl auch nicht weiter und daher hab ich den Thread noch mal hoch geholt.

Also hier jetzt die aktuellen Log-Files:

_________________________________
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1809
Windows 5.1.2600 Service Pack 3

27.02.2009 14:30:15
mbam-log-2009-02-27 (14-30-15).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 123769
Laufzeit: 29 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

___________________________________

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/27/2009 at 03:20 PM

Application Version : 4.25.1014

Core Rules Database Version : 3778
Trace Rules Database Version: 1737

Scan type : Complete Scan
Total Scan Time : 00:44:22

Memory items scanned : 611
Memory threats detected : 0
Registry items scanned : 5746
Registry threats detected : 6
File items scanned : 60346
File threats detected : 0

Rogue.Component/Trace
HKLM\Software\Microsoft\50A2F9DE
HKLM\Software\Microsoft\50A2F9DE#50a2f9de
HKLM\Software\Microsoft\50A2F9DE#Version
HKLM\Software\Microsoft\50A2F9DE#50a2545e
HKLM\Software\Microsoft\50A2F9DE#50a23dbb
HKU\S-1-5-21-1645522239-1336601894-725345543-500\Software\Microsoft\FIAS4018

______________________________________________________________

und hier noch die HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:26, on 27.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\windows\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\windows\eHome\ehRecvr.exe
C:\windows\eHome\ehSched.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\RTHDCPL.EXE
C:\WINDOWS\vsnp2std.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\windows\eHome\ehmsas.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\windows\System32\svchost.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {63BEFC25-88EE-47BD-89E6-CABE09603DF1} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

--
End of file - 8295 bytes
_____________________________________

Wie gesagt, für jede weitere Hilfe wäre ich dankbar.

Was hast du von Symantec installiert?

ok also das hier mal einstellen bei SASW

• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

ich schau mir mal dein HJT Logfile an und derweilst machst du das:


Hallo


Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HijackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

• Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
• Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 3
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

CCleaner

• Downloade CCleaner und speichere die Datei auf dem Desktop
• Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
• Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
• Das angegebene Zielverzeichnis mit "weiter >" bestätigen
• Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
• Mit Doppelklick CCleaner öffnen
• Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
• "Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
• Diese Prozedur bei jedem Benutzerkonto durchführen
• Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 4
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 5
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Chache leeren

Um den Cache zu löschen, drücke diese Tastenkombination bei geöffnetem FF (FireFox):

Code: Alles auswählenAufklappen

ATTFilter

Strg + Umschalt + Entf
         

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 6
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 7
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Konfiguriere die Ordneransicht vernünftig um => Ordneransicht

interessant wäre ob du diese Datei finden kannst:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\wdmaud.sys
         

wenn du sie gefunden hast, lade sie bei [B]Virsutotal hoch und gib mir den Link dazu

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 8
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Avira AntiRootkit Tool

• Downloade Avira AntiRootkit Tool von >>hier<< oder >>hier<< und speichere es auf dem Desktop
• Entpacke und installiere es
• Start => Avira RootKit Detection
• Versichere, dich dass alle Kästchen einen Hacken haben außer "Fast Scan"
• Schließe nun alle Programme auch dein AV-Prog und trenne dich physikalisch von der Internet Verbindung
• Falls Rootkits gefunden wurden klicke auf "Quarantine all" danach 2 mal "OK"
• Klicke auf View report und kopiere den gesamten Text und speichere den gesamten Text als eine Textdatei
• Boote den PC neu und danach noch einmal einen Scan durchführen
• den report jetzt posten

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Hallo Jig Saw,

kurzer Zwischenstand:

Von Semantec hab ich meines Wissens nach nichts auf dem Rechner. Auch in der Softwareliste ist nichts vorhanden.

Die Arbeitsliste, hatte ich ja gemäß des Threads: "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" und wie oben im Thread dargestellt bereits abgearbeitet.

Aber gut, hab ich jetzt noch mal gemacht:
zu 1. Haken bei Systemwiederhestellung deaktivieren war bereits gesetzt
zu 2. War alles installiert bis auf Ad-Aware --> ist jetzt auch runter
zu 3. Cleaner wurde erneut so oft durchgeführt bis keine Fehler mehr aufgetreten sind, nun weiß ich leider nur nicht wo ich die Log-File finden kann.. In dem Ordner ist nur eine Datei mit .reg-Endung die ich nicht öffnen kann.
zu 4. wie bereits oben geschrieben, ist Firefox eh mein Standard-Browser
zu 5. ist erneut gemacht
zu 6. alle Updates waren bereits vorhanden
zu 7. Datei wurde gefunden. Hier ist der Link: http://www.virustotal.com/de/analisis/d0a931a8da1e67439c8064f1a5aed3e3
______________________________________

Soweit erstmal, Punkt 8 wird sogleich auch bearbeitet und nachgereicht.

sorry Fehlerteufel!!
Bei zu 2. soll es natürlich heißen DEinstalliert.

Die 3 Avira zip-Dateien kann ich leider nicht öffnen. Fehlermeldung lautet wie folgt:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$DI24.047\data1.cab
Das Archiv hat entweder ein unbekanntes Format oder ist beschädigt.

Vielleicht kannst Du mir da noch mal einen Tipp geben.

Zitat:

Zitat von Tine2

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

da müssten noch andere Einträge sein aber ich bin im Stress. Ich meld mich nacher noch mal, versuche noch einmal nachzuschauen.

es heisst Symantec
versuch alles davon zu löschen, danach nocheinmal CCleaner drüber laufen lassen

versuch mit Balcklight weiter zu machen ich bin gerade im Stress

So und hier jetzt noch die Log-File von fsbl. Oder bringt die nichts ohne den Avira-Scan?
______________________________________________________
02/27/09 17:25:27 [Info]: BlackLight Engine 2.2.1092 initialized
02/27/09 17:25:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)
02/27/09 17:25:27 [Note]: 7019 4
02/27/09 17:25:27 [Note]: 7005 0
02/27/09 17:25:47 [Note]: 7006 0
02/27/09 17:25:47 [Note]: 7011 1016
02/27/09 17:25:47 [Note]: 7035 0
02/27/09 17:25:47 [Note]: 7026 0
02/27/09 17:25:47 [Note]: 7026 0
02/27/09 17:25:48 [Note]: FSRAW library version 1.7.1024
02/27/09 17:29:37 [Note]: 2000 1012
02/27/09 17:29:37 [Note]: 2000 1012
02/27/09 17:29:37 [Note]: 2000 1012
02/27/09 17:29:56 [Note]: 7007 0
______________________________________________________

Vielen Dank für die Hilfe!

Hä? Sorry habe keine Ahnung wie mir das durchgerutscht sein kann.. Habe jetzt mal versucht alles zu deinstallieren und zu löschen, was von Symatec da war. Und die Suche findet auch nichts mehr, aber das heisst ja nicht unbedingt was.
Im übrigen sind die Umleitungen immer noch da..
Vielen Dank erstmal bis hierhin

mach das:

Gmer

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende GMER mit "OK"

Hier das Log-File:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-27 20:33:00
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF37836B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF3783574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF3783A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF378314C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF378364E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF378308C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF37830F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF378376E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF378372E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF37838AE]

---- Kernel code sections - GMER 1.0.14 ----

? C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\windows\system32\services.exe[796] @ C:\windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\windows\system32\services.exe[796] @ C:\windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA] [10001CA0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [USER32.dll!AdjustWindowRectEx] [1002B410] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHELL32.dll [USER32.dll!AdjustWindowRect] [1002B480] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [10001CA0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\SHLWAPI.dll [USER32.dll!SetWindowLongA] [1002B4A0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] [10001CA0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WININET.dll [USER32.dll!SetWindowLongA] [1002B4A0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USERENV.dll [KERNEL32.dll!LoadLibraryW] [10001C80] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USERENV.dll [KERNEL32.dll!LoadLibraryExA] [10001CA0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA] [10001CA0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW] [10001CD0] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA] [10001C60] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)
IAT C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2500] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [10001050] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Sony Ericsson Mobile Communications AB)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.14 ----

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Oh Mann, jetzt hast Du mir aber echt Angst gemacht..
Hoffe, ich hab jetzt keine Fehler gemacht. Zumal beim Starten des Programms mir mitgeteilt hat, dass dieser Wiederherstekkungspunkt deaktiviert ist und das ich diesen im eigenen Interesse wieder einstellen sollte. Habe ich jetzt nicht gemacht, da Du mir ja vorhin empfohlen hast den rauszunehmen. Hoffe das war kein Fehler.

Also nach den ganzen Bedenken jetzt das Log-File:

#code# ComboFix 09-02-26.02 - Administrator 2009-02-27 20:58:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.567 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090226-0] *On-access scanning disabled* (Updated)
FW: Norton Internet Worm Protection *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\recover.reg
c:\windows\system\oeminfo.ini
c:\windows\system32\Gjjiknnn.ini
c:\windows\system32\Gjjiknnn.ini2
c:\windows\system32\gpwredxr.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SENEKA


((((((((((((((((((((((( Dateien erstellt von 2009-01-27 bis 2009-02-27 ))))))))))))))))))))))))))))))
.

2009-02-27 20:24 . 2009-02-27 20:24 250 --a------ c:\windows\gmer.ini
2009-02-26 12:11 . 2009-02-26 12:11 <DIR> d-------- c:\windows\system32\de
2009-02-26 12:11 . 2009-02-26 12:11 <DIR> d-------- c:\windows\system32\bits
2009-02-26 12:11 . 2009-02-26 12:11 <DIR> d-------- c:\windows\l2schemas
2009-02-26 12:09 . 2009-02-26 12:11 <DIR> d-------- c:\windows\ServicePackFiles
2009-02-23 21:38 . 2009-02-23 21:38 <DIR> d-------- c:\programme\Trend Micro
2009-02-20 18:15 . 2009-02-25 18:29 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-20 18:15 . 2009-02-20 18:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-20 18:15 . 2009-02-20 18:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-20 18:14 . 2009-02-20 18:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-20 16:31 . 2009-02-20 16:31 <DIR> d-------- c:\programme\CCleaner
2009-02-19 18:56 . 2009-02-27 16:23 <DIR> d-------- c:\programme\Lavasoft
2009-02-19 18:56 . 2009-02-27 16:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-14 01:08 . 2009-02-14 01:08 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-14 01:08 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-14 01:08 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-14 01:01 . 2009-02-14 01:08 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-14 01:01 . 2009-02-14 01:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-13 22:13 . 2009-02-13 22:13 <DIR> d-------- c:\windows\system32\LogFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-27 16:39 --------- d-----w c:\programme\Microsoft ActiveSync
2009-02-26 17:05 35,832 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-20 10:18 --------- d-----w c:\programme\Google
2009-02-10 22:59 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-02-10 18:59 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-02-07 17:21 --------- d-----w c:\programme\DivX
2009-02-01 11:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2009-01-31 16:43 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-01-05 23:21 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SEGA
2008-07-02 16:56 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-12-11 18:59 16,330,024 ----a-w c:\programme\Install_Messenger.exe
2006-12-04 22:35 0 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"snp2std"="c:\windows\vsnp2std.exe" [2005-11-16 344064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-03 114768]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-06-03 20560]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 PL2501NW;Hi-Speed USB-USB Network Adapter;c:\windows\system32\drivers\PL2501NW.sys [2008-12-08 11520]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\drivers\s3017bus.sys [2008-07-08 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\drivers\s3017mdfl.sys [2008-07-08 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\drivers\s3017mdm.sys [2008-07-08 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s3017mgmt.sys [2008-07-08 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\drivers\s3017nd5.sys [2008-07-08 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\drivers\s3017obex.sys [2008-07-08 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\drivers\s3017unic.sys [2008-07-08 110120]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{462c3e30-1440-11dd-a9a6-001617e38c93}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
.
Inhalt des "geplante Tasks" Ordners

2009-02-26 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-02-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{63BEFC25-88EE-47BD-89E6-CABE09603DF1} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\f16ak16y.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPStreamPlug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 21:01:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\dllhost.exe
c:\windows\ehome\ehmsas.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-27 21:03:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-27 20:03:21

Vor Suchlauf: 13 Verzeichnis(se), 131.890.634.752 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 132,472,832,000 Bytes frei

187 --- E O F --- 2009-02-26 23:31:27
#\code#

Hoffe ich hab das jetzt mit den codes richtig gemacht. Hab das leider nicht so 100% verstanden. Sorry!

Ach so, soll ich das ComboFix jetzt wieder runterschmeissen?

So lange dein PC geht braucht man im Nachhinein es nicht unbedingt isntallieren.
Nein lass mal noch CF noch kurz drauf.

Ich werd mir das Log anschauen, aber CF meint dass Norton als Firewall installiert ist...

Poste noch einmal ein HJT

EDIT: Seit wann tritt das Problem auf? (Datum)
Hat sich seit CF etwas verändert?

Also hier noch ein aktuelles HJT Log-File:

[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:09, on 27.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\windows\eHome\ehRecvr.exe
C:\windows\eHome\ehSched.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\RTHDCPL.EXE
C:\windows\eHome\ehmsas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\windows\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\windows\system32\wscntfy.exe
C:\windows\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

--
End of file - 7332 bytes
[\code]

Sorry, wenn ich jetzt ein bißchen unruhig gewirkt habe, aber ich bin halt doch totaler Laie und so langsam krieg ich Angst. Sorry und vielen Dank für Deine Hilfe!

Kein Problem aber antworte auf meine Fragen

Sorry! Also die Umleitungen sind leider immer noch da seit CF.
Ein ganz genaues Datum kann ich DIr jetzt nicht mehr sagen, aber inzwischen dürften es über zwei Wochen sein.
Ich weiss leider nicht wo Norton herkommt. Hatte ich meines Wissens nie auf dem Rechner.
Und das mit diesen codes klappt auch irgendwie nicht. Was genau mache ich da jetzt wieder falsch? Werden ja immer noch so ewig lange Posts.

Ach jetzt fällt mir gerade was ein, ich glaube beim Kauf des PCs war Norton in einer 90 Tage Testversion dabei. Aber eigentlich habe ich das nie gekauft. Habe eigentlich Avast!