Ist egal,
habe alles gemacht der Trojaner sitzt nur noch in der einen datei die ich geschrieben habe emule ist auch weg. Hoffe ich wie bekomme ich das jetzt noch hin oder gibt es da keinen weg mehr?

Mfg

Vielleicht kann mir ja noch jemand helfen es ist nur noch der eine Virus



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Dienstag, 21. April 2009 16:48

Es wird nach 1359084 Virenstämmen gesucht.

Lizenznehmer:
Seriennummer: Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername:
Computername:
Versionsinformationen:
BUILD.DAT : 8.2.0.382 21404 Bytes 16.03.2009 14:44:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:29:04
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 14:36:32
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 14:36:32
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 14:36:32
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:03:05
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:00:58
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 19:10:48
ANTIVIR3.VDF : 7.1.3.80 65536 Bytes 21.04.2009 07:17:53
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 09:03:50
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 14.04.2009 14:44:38
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 07:43:45
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 16:10:31
AEPACK.DLL : 8.1.3.14 397685 Bytes 17.04.2009 19:11:00
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 07:45:33
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 17.04.2009 19:11:00
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 07:45:30
AEGEN.DLL : 8.1.1.36 340341 Bytes 17.04.2009 19:10:58
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 09:15:19
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 14:44:35
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 09:15:18
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 14:36:32
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 14:36:32
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 15:59:38
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 14:36:32
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 12:02:22
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 14:36:32
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 12:02:23
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 14:36:32
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 12:02:23
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 17.07.2008 14:36:30
RCTEXT.DLL : 8.0.51.0 90369 Bytes 17.07.2008 14:36:30

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\cb736d18.avp
Protokollierung..................: mittel
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 21. April 2009 16:48

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe'
C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\
C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a5add41.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Dienstag, 21. April 2009 16:48
Benötigte Zeit: 00:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Lass nochmal Navilog durchlaufen.

Hier nochmal die Beschreibung:
Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Du hast leider eine Neuinfektion.

Search Navipromo version 3.7.6 began on 21.04.2009 at 17:01:17,92

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4800+ )
BIOS : BIOS Date: 10/22/07 Ver: 08.00.14
USER : Benutzer1 ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:73 Go (Free:58 Go)
D:\ (Local Disk) - NTFS - Total:224 Go (Free:211 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Benutzer1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Benutzer1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Benutzer1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Benutzer1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Benutzer1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 21.04.2009 at 17:03:15,34 ***

Was soll ich nun machen noch mit 2 durchlaufen lassen?

Hallo,

1.) Markiere den kompletten Text in der Box und kopiere ihn.

Code: Alles auswählenAufklappen

ATTFilter

dir /a:-d "C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten" > "%userprofile%\Desktop\grummel.txt" & notepad "%userprofile%\Desktop\grummel.txt"
         

2.) Start => Ausführen => notepad => OK

3.) [Strg]v

4.) [Strg]s

5.) Links auf Desktop klicken, unten bei Dateityp auf "Alle Dateien" umstellen, als Dateiname grummel.bat vergeben. Klick auf Speichern, Notepad beenden.

6.) Lasse dir den Desktop anzeigen, Doppelklick auf grummel.bat

7.) [Strg]a, [Strg]c, Notepad beenden

8.) Hier auf Antworten klicken, in die große weiße Box klicken, [Strg]v

ciao, andreas

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 601E-9257

Verzeichnis von C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten

06.04.2009 19:56 20.992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
28.01.2009 18:27 76.304 GDIPFONTCACHEV1.DAT
01.03.2009 20:32 3.171.918 IconCache.db
04.04.2009 17:48 272.896 iymum.exe
4 Datei(en) 3.542.110 Bytes
0 Verzeichnis(se), 63.286.247.424 Bytes frei

1.) Versuche bitte diese Datei

Zitat:

C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe

bei uns hochzuladen. Halte dich an diese Anleitung. (nur Punkt 2)

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

http://www.materialordner.de/GBUo6S7TRVgkApx2xujhFEuRK4jBPmrj.html

ich hoffe ich habe alles richtig gemacht

1.) Deinstalliere (falls möglich):

• SuperAntiSpyware
• Alles von Norton/Symantec
• TuneUp Utilities
• BitTorrent

2.) Download und Ausführung des Norton-Entfernungsprogramms

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
TuneUp.ProgramStatisticsSvc

NetSvc::
UxTuneUp

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\DNA\\btdna.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{92E364B2-3C99-8131-FA38C55A9DF469B6}\{ED083C7B-BB22-E038-94448FA9BD51D19E}\{5592BF6F-6CA4-ED79-1454C42B0B348E21}*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EA20B5D7-213B-BF6A-A687F1F5E27AC26F}\{EEE35091-0AEA-CF92-BEFE1061EF739928}\{47B248DC-A6E0-641B-BA973614FEEFC865}*]

Folder::
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\SUPERAntiSpyware
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\Norton Security Scan
c:\programme\Gemeinsame Dateien\Symantec Shared
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent

File::
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051820080519\index.dat
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\Tasks\Norton Security Scan for Benutzer1.job
c:\windows\Tasks\WGASetup.job
C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Kleine Zwischenfrage die anderen hab ich runter gemacht und die:
Symantec
BitTorrent
find ich nicht warscheinlich schon weg oder?

Ja, deshalb schrieb ich auch: falls möglich

ciao, andreas

ComboFix 09-04-21.A8 - Benutzer1 21.04.2009 19:57.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1610 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Benutzer1\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Benutzer1\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\dokumente und einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051820080519\index.dat
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\Tasks\Norton Security Scan for Benutzer1.job
c:\windows\Tasks\WGASetup.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\MiniMessage\2
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\dht.dat
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\dht.dat.old
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\resume.dat
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\resume.dat.old
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\rss.dat
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\settings.dat
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\settings.dat.old
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\www.bitreactor.to_Die.letzte.Legion.German.AC3.DVDRiP.XviD-EMPiRE.torrent
c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe
c:\programme\SUPERAntiSpyware
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051820080519\index.dat
c:\windows\Tasks\WGASetup.job

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-21 bis 2009-04-21 ))))))))))))))))))))))))))))))
.

2009-04-21 17:09 . 2009-04-21 17:09 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-20 16:47 . 2009-04-20 16:47 -------- d-----w c:\programme\CCleaner
2009-04-20 12:32 . 2009-04-20 12:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-04-20 12:32 . 2009-04-20 12:32 -------- d-----w c:\windows\system32\Kaspersky Lab
2009-04-19 20:56 . 2009-04-19 20:56 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-04-19 20:56 . 2009-04-19 20:56 -------- d-----w c:\programme\Java
2009-04-19 15:01 . 2009-04-19 15:01 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Eigene Dateien
2009-04-19 11:25 . 2009-04-21 15:03 -------- d-----w c:\programme\Navilog1
2009-04-15 22:44 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 22:44 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 22:44 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 22:44 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 22:44 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 22:44 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 22:44 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 22:44 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 22:44 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 22:44 . 2009-03-27 06:49 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb
2009-04-15 22:44 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-15 16:44 . 2009-04-15 16:44 -------- d-----r c:\programme\Skype
2009-04-14 14:00 . 2009-04-14 14:00 -------- d-----w c:\windows\system32\KB905474
2009-04-14 14:00 . 2009-03-10 20:26 1436544 ----a-w c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-14 14:00 . 2009-03-10 20:18 455048 ----a-w c:\windows\system32\KB905474\wgasetup.exe
2009-04-14 14:00 . 2009-02-09 16:51 15772 ----a-w c:\windows\system32\KB905474\wga_eula.txt

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-21 16:29 . 2009-04-21 16:29 15735 ----a-w C:\log.txt
2009-04-21 15:16 . 2008-05-18 06:30 -------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-04-21 15:03 . 2009-04-19 11:28 2554 ----a-w C:\fixnavi.txt
2009-04-21 13:24 . 2008-03-14 08:33 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-21 13:22 . 2008-04-27 07:53 -------- d-----w c:\programme\BricksofEgypt2_at
2009-04-21 07:17 . 2008-03-14 14:41 -------- d-----w c:\programme\AntiVir PersonalEdition Premium
2009-04-21 07:17 . 2008-03-14 14:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium
2009-04-21 07:17 . 2008-03-14 15:43 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\Skype
2009-04-19 20:56 . 2008-12-05 14:43 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-19 15:42 . 2008-03-14 15:24 -------- d-----w c:\programme\Google
2009-04-19 15:02 . 2008-03-14 15:25 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-19 14:59 . 2008-11-16 09:53 -------- d-----w c:\programme\Yahoo!
2009-04-19 12:04 . 2009-04-19 12:02 2774 ----a-w C:\cleannavi.txt
2009-04-19 06:51 . 2008-10-06 13:51 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-18 06:59 . 2008-03-14 16:14 -------- d-----w c:\programme\FreeCommander
2009-04-16 19:12 . 2004-08-04 12:00 448470 ----a-w c:\windows\system32\perfh007.dat
2009-04-16 19:12 . 2004-08-04 12:00 80104 ----a-w c:\windows\system32\perfc007.dat
2009-04-16 14:01 . 2008-03-14 16:51 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-04-15 16:44 . 2008-03-14 15:24 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-04-12 06:06 . 2008-03-14 15:45 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\skypePM
2009-04-06 13:32 . 2008-10-06 13:51 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-10-06 13:51 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 18:21 . 2009-03-01 18:21 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\TuneUp Software
2009-03-01 18:21 . 2009-03-01 18:21 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-01 18:20 . 2009-03-01 18:20 -------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-03-01 17:02 . 2008-04-05 06:38 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-20 16:49 . 2004-08-04 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:04 . 2004-08-04 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-08-04 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-08-04 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-08-04 12:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-08-04 12:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-08-04 12:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-08-04 12:00 56832 ----a-w c:\windows\system32\secur32.dll
2009-01-28 16:27 . 2008-03-14 20:46 76304 ----a-w c:\dokumente und einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-18 06:30 . 2008-05-18 06:30 774144 ----a-w c:\programme\RngInterstitial.dll
2008-03-14 15:45 . 2008-03-14 15:45 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-14 14:41 . 2008-03-14 14:41 66484 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-21_16.18.44 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-21 18:00 . 2009-04-21 18:00 16384 c:\windows\temp\Perflib_Perfdata_aec.dat
+ 2009-04-21 18:00 . 2009-04-21 18:00 16384 c:\windows\temp\Perflib_Perfdata_148.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 1688872]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-11-05 4347120]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"avgnt"="c:\programme\AntiVir PersonalEdition Premium\avgnt.exe" [2008-07-17 266497]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE" [2003-09-04 135214]
"CloneCDElbyCDFL"="c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 45056]
"CloneCDTray"="c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-04-15 57344]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2003-09-04 152576]
S2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;c:\programme\AntiVir PersonalEdition Premium\avmailc.exe [2008-11-25 164097]
S2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;c:\programme\AntiVir PersonalEdition Premium\avesvc.exe [2008-07-17 41217]
S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\l151x86.sys [2007-08-29 36864]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: avsda.dll
DPF: {E2A2AF54-194A-499D-B6C7-79B646BC0ED6} - hxxp://reptiland.selfip.info:8080/UltraCamX.cab
FF - ProfilePath - c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\Mozilla\Firefox\Profiles\oc9mis1x.default\
FF - prefs.js: browser.search.defaulturl - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-21 20:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(956)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(1348)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\programme\AntiVir PersonalEdition Premium\avguard.exe
c:\windows\system32\rundll32.exe
c:\programme\AntiVir PersonalEdition Premium\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
c:\windows\system32\wscntfy.exe
c:\programme\Yahoo!\Messenger\Ymsgr_tray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-21 20:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-21 18:02
ComboFix2.txt 2009-04-21 17:36
ComboFix3.txt 2009-04-21 16:19

Vor Suchlauf: 16 Verzeichnis(se), 63.415.881.728 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 63.402.430.464 Bytes frei

1.) Kommen noch Meldungen von Avira?

2.) Start => Ausführen => combofix /u => OK

ciao, andreas

Er hat noch Viren gefunden

http://www.materialordner.de/2fif6hV8afrumljseYLZcRAyW8t0C4Ht.html

Was soll ich nun machen oder einfach nur hoffnungslos

Zitat:

oder einfach nur hoffnungslos

Nein. Einer ist in der Systemwiederherstellung, der andere ist in der Quarantäne von ComboFix.

1.) Lade die Datei

Zitat:

C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe.vir

bitte bei uns hoch. http://www.trojaner-board.de/54791-a...ner-board.html

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Start => Ausführen => combofix /u => OK

4.) http://www.trojaner-board.de/54192-a...tellungen.html. Log posten.

ciao, andreas