Hallo Zusammen,
nachdem ich jetzt Tage lang gegoogelt habe, weiss ich auch nicht mehr weiter. Folgendes Problem:

Vor ein paar Wochen hab ich die IP Adressen meiner PC`s fest vergeben. Zwei Tage später kam ich nicht mehr ins Internet bzw. dauerte es sehr lange. Daraufhin stellte ich fest, dass die Adresse im DNS Server auf eine ukrainische Seite verlinkte. Hab dies dann wieder geändert, mit HijackThis eine Log Datei erstellt. Dort war immer noch die Adresse unter O17 vermerkt. Ich ließ also Fiwwareout laufen und die ukrainische Adresse war weg. Nun stellte aber mein Virenscanner mehrere Viren fest (trojan.autoruninf.gen). Die autorun.inf war auf jedem Laufwerk. Der Virenscanner verschob alle in die Quarantäne. Jetzt war aber in der Datenträgerverwaltung keine Festplatte mehr zu sehen. Ausserdem erkannte Nero meinen DVD Brenner nicht mehr, obwohl im Explorer das Laufwerk zu sehen ist. Nur das XP eigene Brennprogramm erkennt den Brenner.

Nachdem ich versucht habe alle Viren zu entfernen, besteht immer noch das Problem mit den Festplatten in der Datenträgerverwaltung und mit dem Brenner. Ausserdem hab ich in O4 noch so einen seltsamen Eintrag:

O4 - HKLM\..\Run: [GEST] m’|\ü

Nun weiss ich auch nicht mehr weiter. Soll ich das System neu aufsetzen? Danke schon mal vorab für die Analyse.

Hier noch das LogFile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:07:04, on 18.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\NDAS\System\ndasmgmt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon ip4200\Easy-WebPrint\Toolband.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [WinFast Schedule] D:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] D:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: DatefinderSAV.lnk = E:\Programme\Desipro\Datefinder SAV\DatefinderSAV.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrekStor NDAS-Geräte-Manager.lnk = C:\Programme\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C493C82-22D5-4F5C-9981-D2BBF60BE0A8}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFCE1688-BA7B-4234-8FC7-2802FACF7785}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C493C82-22D5-4F5C-9981-D2BBF60BE0A8}: NameServer = 192.168.178.1
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Neuaufsetzen ist immer am besten! Bei deinem Computer sehe ich nicht mehr viel zu retten.....

Wenn du 100% sicher sein willst keine Plagegeister mehr auf deinem System zu haben führt kein weg am Neuaufsetzen vorbei.

Vorher solltest du mit der MBR.exe checken ob sich kein Viehzeug in der Master boot eingegraben hat.
Wenn die sauber ist kannst du loslegen.
XP mit sp3 und alle nötigen Treiber kostet 2-3 std. Zeit.
So viel wie ein Scan von Malwarebytes bei viel Daten schon braucht, ohne auch nur annährend von einem sauberen system sprechn zu können

Edit: Max war schneller

hab ich mit dem Eintrag

O4 - HKLM\..\Run: [GEST] m’|\ü

recht oder siehst Du noch andere Sachen??

Don du solltest ihm vlt schon nen Link geben wo er sich MBR runterladen kann

Hallo

um diesen Eintrag musst du dir keinen Kopf machen, der gehört zu Gigabytes
Motherboard oder Grafikkarte.

Ich persönlich rate bei dem DNS - Changer zur Neuinstallation, da dort ein Rootkit am Werk war, solltest Onlinebanking o.ä. betreiben würde ich dem System nicht mehr mein Geld anvertrauen.

MFG

danke für die Antworten.

komm mit mbr.exe nicht weiter, da ich keinen User Zugriff auf den mbr bekommen. Hier der Log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully

ist der Rootkit auch schuld, dass ich meine Festplatten in der Datenträgerverwaltung nicht mehr sehe und der Brenner nicht mehr erkannt wird??

Du musst die MBR.exe als Admin ausführen,
dann sollte es gehen.

mach ich, trotzdem klappts nicht