ok .... alles gelöscht ... hier die log :

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2047
Windows 5.1.2600 Service Pack 3

27.04.2009 17:03:52
mbam-log-2009-04-27 (17-03-52).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 84574
Laufzeit: 3 minute(s), 27 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Failed to unload process.

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot.



lasse nun fullscan laufen


achso ... da steht jetz wieder: " Ihr rechner muss neu gestartet werden um den entfernungsprozess erfolgreich zu beenden ... JA oder nein !? soll ich ja anklicken !? ... hab angst

Nun noch einen Fullscan.

Klicke Ja an. Sonst wird der Entfernungsprozess nicht erfolgreich durchgeführt.

jop hab ich gemacht ... dann ist er runter gefahren und das hochfahren hat ewig gedauert ... nun läuft der fullscan ... hintergrund bild ist wieder normal ... die zwei roten buttons sind weg ... aber ich seh jetzt schon 2 infizierte dateien biem scan ... :/

Lass den Fullscan normal laufen und poste das Log und entferne alles was Mbam findet.

Hi,

könntest du nach dem Fullscan mit MBAM bitte einen Scan mit Antivir machen lassen.

Anleitung für die Einstellungen findest du hier:
http://www.trojaner-board.de/54192-a...tellungen.html
Danach bitte einmal dein Antivir aktualisieren und einen kompletten Scan duchführen.
Danke

lg myrtille

scan läuft noch ... kann mittlerweile auch wieder ordneroptionen anklicken ... und bis jetzt keine fehlermeldungen ... poste gleich die log vom fullscan

nur zu info ... scan läuft immer noch ... -_-


und läuft immer noch ....

hier die log :

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2047
Windows 5.1.2600 Service Pack 3

27.04.2009 17:45:59
mbam-log-2009-04-27 (17-45-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 145876
Laufzeit: 26 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> No action taken.
C:\Programme\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.

jetzt wieder alles entfernen was er gefunden hat ?

Bitte alles entfernen und dann das befolgen, was Myrtille dir schrieb.
Stelle bitte von Avira das Log noch rein.

hier die log von avira

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. April 2009 17:52

Es wird nach 1367638 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: KALEIDO

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 20:11:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 20:00:26
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 11:05:05
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 09:40:40
ANTIVIR3.VDF : 7.1.3.118 182272 Bytes 27.04.2009 15:36:14
Engineversion : 8.2.0.156
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 14:40:06
AESCRIPT.DLL : 8.1.1.77 381306 Bytes 24.04.2009 08:02:34
AESCN.DLL : 8.1.1.10 127348 Bytes 05.04.2009 12:04:44
AERDL.DLL : 8.1.1.3 438645 Bytes 20.11.2008 20:01:50
AEPACK.DLL : 8.1.3.14 397685 Bytes 18.04.2009 09:40:36
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 13:17:37
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 26.04.2009 11:26:08
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 13:17:35
AEGEN.DLL : 8.1.1.39 348532 Bytes 24.04.2009 08:02:12
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 15.04.2009 08:22:33
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 22:09:14
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 27. April 2009 17:52

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090427-175420-FD1047EC.avp' geschrieben.
c:\windows\system32\drivers\ovfsthbdmhgwylgsmxisfbmubpgrhntlpnfpnu.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5bd5a2.qua' verschoben!
c:\windows\temp\ovfsthbkyvqmqvpo.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\ovfsthvpmvqfvitn.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\ovfsthvptimuxcpy.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthcrivwakaqshjkxekwpbwyyiugnnqnuhh.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthhqodoybcilarysfcfhlgkdcbseixfdoh.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthmbmjfpfqjjllppiyacxpkstpcsbvrlhw.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthoswolaurxirrgkkhlclkdjejewyqfuyp.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthukveupbitnxbdllsvwjyxaalniethqxy.dat
[INFO] Die Datei ist nicht sichtbar.


Ende des Suchlaufs: Montag, 27. April 2009 17:54
Benötigte Zeit: 01:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
9 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
5 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
48703 Objekte wurden beim Rootkitscan durchsucht
23 Versteckte Objekte wurden gefunden

so avira jetzt 3 mal laufen lassen ... findet immer wieder diese dropper.gen datei ... obwohl ich sie ins quarantäne verzeichnis verschoben habe ... hier die neueste log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. April 2009 17:58

Es wird nach 1367638 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: KALEIDO

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 20:11:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 20:00:26
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 11:05:05
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 09:40:40
ANTIVIR3.VDF : 7.1.3.118 182272 Bytes 27.04.2009 15:36:14
Engineversion : 8.2.0.156
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 14:40:06
AESCRIPT.DLL : 8.1.1.77 381306 Bytes 24.04.2009 08:02:34
AESCN.DLL : 8.1.1.10 127348 Bytes 05.04.2009 12:04:44
AERDL.DLL : 8.1.1.3 438645 Bytes 20.11.2008 20:01:50
AEPACK.DLL : 8.1.3.14 397685 Bytes 18.04.2009 09:40:36
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 13:17:37
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 26.04.2009 11:26:08
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 13:17:35
AEGEN.DLL : 8.1.1.39 348532 Bytes 24.04.2009 08:02:12
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 15.04.2009 08:22:33
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 22:09:14
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 27. April 2009 17:58

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090427-175934-9F9A373B.avp' geschrieben.
c:\windows\system32\drivers\ovfsthbdmhgwylgsmxisfbmubpgrhntlpnfpnu.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5bd6dc.qua' verschoben!
c:\windows\temp\ovfsthbkyvqmqvpo.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\ovfsthvpmvqfvitn.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\ovfsthvptimuxcpy.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthcrivwakaqshjkxekwpbwyyiugnnqnuhh.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthhqodoybcilarysfcfhlgkdcbseixfdoh.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthmbmjfpfqjjllppiyacxpkstpcsbvrlhw.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthoswolaurxirrgkkhlclkdjejewyqfuyp.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthukveupbitnxbdllsvwjyxaalniethqxy.dat
[INFO] Die Datei ist nicht sichtbar.


Ende des Suchlaufs: Montag, 27. April 2009 17:59
Benötigte Zeit: 01:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
9 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
5 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
48715 Objekte wurden beim Rootkitscan durchsucht
23 Versteckte Objekte wurden gefunden

da ich gleich leider arbeiten gehen muss ... möcht ihc mich jetz schon mal von ganzem herzen für die schnelle hilfe bedanken ... vor allem bei angle ... südhessen halten nunmal zusammen ... vielleicht könnt ihr mir noch sagen wie ich die letzte macke " dropper.gen " weg bekomm und mir sagen warum ich mein avira manuell starten muss!? !? grüße von der bergstraße

Noch sind wir nicht fertig mit allem

aber schonmal ein "Zwischenbitteschön"

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.