Japp. Nun musst Du aber mit der Konsole arbeiten. Es müsste auch über Start, Ausführen gehen, Tipp dort mal ein und führ aus:

c:\mbr.exe -f

Schau danach nochmal in die c:\mbr.log und poste dessen Inhalt.

hi, habe das im Startmenü unter ausführen eingegeben, blinkte kurz ein schwarzes Fenster auf- hier die Datei:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x8967dc10
NDIS: Attansic L2 Fast Ethernet 10/100 Base-T Controller -> SendCompleteHandler -> 0x8909f4c0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !
Use "Recovery Console" command "fixmbr" to clear infection !

Ich hoffe ich hab das richtig gemacht, bin ein bischen ein pc noob-was ist die Konsole, bzw. welches Fenster meinst du?Ich bin mir mit dem Begriff nicht im klaren.
danke dir für deine Hilfe...

Ja Du hast das schon richtig gemacht, nur leider kann mbr.exe den Fehler nicht korrigieren.
Boote Deinen Rechner bitte von der Windows-XP-CD und geh da in die Wiederherstellungskonsole. Dort den befehl fixmbr bitte eintippen und mit Enter oder Return bestätigen, danach den Rechner neu booten. Mach bitte ein neues Log mit mbr.exe (doppelklicken) und wieder die mbr.log posten.

Zitat:

Zitat von cosinus

Ja Du hast das schon richtig gemacht, nur leider kann mbr.exe den Fehler nicht korrigieren.
Boote Deinen Rechner bitte von der Windows-XP-CD und geh da in die Wiederherstellungskonsole. Dort den befehl fixmbr bitte eintippen und mit Enter oder Return bestätigen, danach den Rechner neu booten. Mach bitte ein neues Log mit mbr.exe (doppelklicken) und wieder die mbr.log posten.

Ich muss dazu im bios die bootreihenfolge ändern?! Muss ich die Konsole vorher installieren? Ich hab mir die microsoft hilfe durchgelesen, aus der werd ich nicht wirklich schlau, die meint das ich die Konsole vorher installieren muss....

okay, wiederhestellungskonsole krieg ich zum laufen-fixmbr hab ich auch eingeben, nur dann kamm folgende Meldung:

MBR scheint ungültig oder nicht standartmäßig zu sein.

wenn der Vorgang fortgesetzt wird, wird FIXMBR möglicherweise die Partitionstabelle beschädigen weshalb auf keine Partion merh zugegriffen werden kann

Führen sie diesen Vorgang nur aus, wenn sie keine Zugriff zur Patition haben

(oder so änlich) Soll ich das ignorieren? Klingt so, als wäre das danach am Ende und ich müsste neu installieren undd die Daten wären weg...

Sorry für das Blöde nachfragen, ich weiß einfach zu wenig über Pcs...

Nein, das geht ohne Datenverlust, hätte ich drauf hinweisen sollen. Die Warnung einfach mit J bestätigen, damit der neue MBR geschrieben wird.

Zitat:

Zitat von cosinus

Nein, das geht ohne Datenverlust, hätte ich drauf hinweisen sollen. Die Warnung einfach mit J bestätigen, damit der neue MBR geschrieben wird.

okay, danke, das mach ich gleich

So, hat super geklappt. Hier das neue Log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

Na, das ist mal ein Unterschied!
Mach mal bitte ein neues Logfile mit GMER und poste es. Danach wird es Zeit für Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

gmer ist mir gestern Abend 2x Mal abgestürtzt, und heute hab ich das laufen lassen. 5 stunden hat es gebraucht, den pc zu scanen und als ich auf save ging, hat es sich wieder aufgehangen- der Taskmanager zeigt 100% CPU Auslastung, das GMER keine Rückmeldung. Da ging nur on/off. Kann ich das gemr logfile jetzt irgendwo finden, den der scan war ja fertig?

Ich lass mal das combo fix laufen....

Hier der cofi log, der ging schnell:

ComboFix 09-12-26.05 - sa 27.12.2009 15:42:22.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1558 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\sa\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\setup.ini
c:\windows\unins000.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-27 bis 2009-12-27 ))))))))))))))))))))))))))))))
.

2009-12-26 18:50 . 2009-12-26 18:50 1956528 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player_ax.exe
2009-12-26 18:50 . 2009-12-26 19:48 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-12-26 18:05 . 2009-12-26 18:11 77312 -c--a-w- C:\mbr.exe
2009-12-24 21:59 . 2009-12-24 21:59 52224 ----a-w- c:\dokumente und einstellungen\sa\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2009-12-24 21:59 . 2009-12-24 21:59 117760 ----a-w- c:\dokumente und einstellungen\sa\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-24 21:58 . 2009-12-24 21:58 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-24 21:57 . 2009-12-24 21:58 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-12-24 21:57 . 2009-12-24 21:57 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-24 13:29 . 2009-12-24 13:29 514048 -c--a-w- C:\OTL.exe
2009-12-24 09:08 . 2009-12-24 09:08 293376 -c--a-w- C:\e5p5wkse.exe
2009-12-23 09:36 . 2009-12-24 14:11 -------- d-----w- c:\programme\trend micro
2009-12-23 09:36 . 2009-12-23 09:37 -------- dc----w- C:\rsit
2009-12-23 09:03 . 2009-12-23 09:03 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\Malwarebytes
2009-12-23 09:03 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-23 09:03 . 2009-12-23 09:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-23 09:03 . 2009-12-23 09:03 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-23 09:03 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-23 08:54 . 2009-12-23 08:54 -------- d-----w- c:\programme\CCleaner
2009-12-23 08:36 . 2009-12-23 08:36 -------- d-----w- c:\windows\system32\wbem\Repository
2009-12-22 21:49 . 2009-12-23 08:33 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-22 19:57 . 2009-12-23 08:34 -------- d-----w- c:\programme\Mozilla Firefox(2)
2009-12-22 19:26 . 2009-12-23 08:46 -------- d-s---w- c:\dokumente und einstellungen\sa\UserData
2009-12-22 16:01 . 2009-12-23 08:35 -------- dcs---w- c:\dokumente und einstellungen\HelpAssistant
2009-12-22 16:01 . 2009-12-23 08:35 -------- dc----w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-12-22 16:01 . 2009-12-23 08:35 -------- dc----w- c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen
2009-12-22 16:01 . 2009-12-23 08:35 -------- dc----w- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten
2009-12-22 16:01 . 2009-12-23 08:35 -------- dc----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien
2009-12-22 16:01 . 2009-12-23 08:35 -------- dc----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten
2009-12-20 18:03 . 2009-12-20 18:03 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\Search Settings
2009-12-20 18:03 . 2009-12-23 08:36 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\pdfforge
2009-12-20 18:00 . 2009-12-23 08:37 -------- d-----w- c:\programme\Application Updater
2009-12-20 18:00 . 2009-12-23 08:36 -------- d-----w- c:\programme\PDFCreator
2009-12-11 16:47 . 2009-12-11 16:47 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2009-12-11 10:19 . 2009-12-11 10:19 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\Nokia
2009-12-11 10:19 . 2009-12-12 10:36 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\PC Suite
2009-12-11 10:19 . 2009-12-11 10:19 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-12-11 10:18 . 2009-12-11 10:18 -------- d-----w- c:\programme\DIFX
2009-12-11 10:18 . 2008-08-26 09:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2009-12-11 10:18 . 2009-12-11 10:18 -------- d-----w- c:\programme\PC Connectivity Solution
2009-12-11 10:18 . 2009-02-09 07:37 91136 ----a-w- c:\windows\system32\nmwcdcls.dll
2009-12-11 10:18 . 2009-12-11 10:17 33727544 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_ger_web.exe
2009-12-11 10:18 . 2009-12-11 10:18 95232 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe
2009-12-11 10:18 . 2009-12-11 10:18 8192 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe
2009-12-11 10:18 . 2009-12-11 10:18 61440 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-12-11 10:18 . 2009-12-11 10:18 10240 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe
2009-12-11 10:18 . 2009-12-11 10:18 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-12-11 09:35 . 2009-12-11 09:35 60092 ----a-w- c:\windows\desctemp.dat
2009-12-10 09:17 . 2009-12-10 09:17 -------- d-----w- c:\programme\PokerStrategy.com
2009-12-10 08:38 . 2009-12-10 08:46 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-26 23:36 . 2009-01-06 18:45 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-12-26 19:49 . 2009-07-22 18:01 -------- d-----w- c:\programme\Steam
2009-12-24 21:57 . 2009-07-27 11:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-24 21:47 . 2008-10-10 00:15 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-24 14:15 . 2008-10-14 20:51 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\OpenOffice.org2
2009-12-24 08:59 . 2008-10-14 20:00 -------- d-----w- c:\programme\Everest Poker
2009-12-23 10:07 . 2009-03-26 13:00 -------- d-----w- c:\programme\Full Tilt Poker
2009-12-16 19:44 . 2009-09-07 19:25 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\Skype
2009-12-16 16:51 . 2009-09-07 19:31 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\skypePM
2009-12-10 08:39 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 08:39 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-12-08 13:00 . 2009-11-26 15:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-29 21:20 . 2008-10-10 00:01 -------- d-----w- c:\programme\Java
2009-11-26 21:04 . 2009-06-19 16:47 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-11-26 15:49 . 2009-11-26 15:49 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-26 15:49 . 2009-11-26 15:49 -------- d-----w- c:\programme\Avira
2009-11-25 12:27 . 2008-10-14 20:51 1 ----a-w- c:\dokumente und einstellungen\sa\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-11-24 17:34 . 2009-11-23 20:29 -------- d-----w- c:\dokumente und einstellungen\sa\Anwendungsdaten\FileZilla
2009-11-23 20:31 . 2009-11-16 20:57 -------- d-----w- c:\programme\FileZilla FTP Client
2009-11-20 17:26 . 2009-01-06 18:42 -------- dc--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-11-16 15:21 . 2009-11-16 15:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-10-29 05:24 . 2004-08-10 19:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-10 19:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-10 19:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-10 19:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-10 19:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-10 19:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-10 19:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2004-08-10 19:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 19:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-12-16 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]
"Launcher"="c:\programme\Kyocera\FS-720 Utilities\KMGLNC.exe" [2005-04-15 53248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\PokerStrategy\\PokerStrategy Elephant\\PokerStrategy Elephant.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Steam\\SteamApps\\common\\empire total war\\Empire.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"4569:TCP"= 4569:TCP:Services

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [16.12.2009 16:26 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [16.12.2009 16:26 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 16:49 108289]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [16.12.2009 16:27 7408]
S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\programme\PartyGaming\PartyCasino\RunApp.exe
FF - ProfilePath - c:\dokumente und einstellungen\sa\Anwendungsdaten\Mozilla\Firefox\Profiles\n3x423ls.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
Notify-AtiExtEvent - (no file)



**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(800)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-12-27 15:47:13
ComboFix-quarantined-files.txt 2009-12-27 14:47

Vor Suchlauf: 11 Verzeichnis(se), 184.732.737.536 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 184.746.823.680 Bytes frei

- - End Of File - - A2632C836BB4161D5B8BBE208F77C2AC

Wie weiter? Jetzt nochmal gmer?

Wer baut eigentlich sowas, und warum? Sind meine Bank Daten in Gefahr?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\desctemp.dat
c:\windows\system32\rastls.dll
         

Datei desctemp.dat empfangen 2009.12.27 18:41:34 (UTC)
Status: Beendet

Ergebnis: 0/41 (0.00%)
Datei desctemp.dat empfangen 2009.12.27 18:41:34 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.27 -
AhnLab-V3 5.0.0.2 2009.12.26 -
AntiVir 7.9.1.122 2009.12.26 -
Antiy-AVL 2.0.3.7 2009.12.25 -
Authentium 5.2.0.5 2009.12.26 -
Avast 4.8.1351.0 2009.12.27 -
AVG 8.5.0.430 2009.12.27 -
BitDefender 7.2 2009.12.27 -
CAT-QuickHeal 10.00 2009.12.26 -
ClamAV 0.94.1 2009.12.27 -
Comodo 3387 2009.12.27 -
DrWeb 5.0.1.12222 2009.12.27 -
eSafe 7.0.17.0 2009.12.27 -
eTrust-Vet 35.1.7198 2009.12.25 -
F-Prot 4.5.1.85 2009.12.26 -
F-Secure 9.0.15370.0 2009.12.27 -
Fortinet 4.0.14.0 2009.12.27 -
GData 19 2009.12.26 -
Ikarus T3.1.1.79.0 2009.12.27 -
Jiangmin 13.0.900 2009.12.27 -
K7AntiVirus 7.10.931 2009.12.26 -
Kaspersky 7.0.0.125 2009.12.27 -
McAfee 5844 2009.12.27 -
McAfee+Artemis 5844 2009.12.27 -
McAfee-GW-Edition 6.8.5 2009.12.27 -
Microsoft 1.5302 2009.12.26 -
NOD32 4720 2009.12.27 -
Norman 6.04.03 2009.12.27 -
nProtect 2009.1.8.0 2009.12.27 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.27 -
Prevx 3.0 2009.12.27 -
Rising 22.27.06.04 2009.12.27 -
Sophos 4.49.0 2009.12.27 -
Sunbelt 3.2.1858.2 2009.12.27 -
Symantec 1.4.4.12 2009.12.27 -
TheHacker 6.5.0.3.113 2009.12.26 -
TrendMicro 9.120.0.1004 2009.12.27 -
VBA32 3.12.12.0 2009.12.26 -
ViRobot 2009.12.26.2109 2009.12.26 -
VirusBuster 5.0.21.0 2009.12.27 -

weitere Informationen
File size: 60092 bytes
MD5...: a3de7721ae2dcb872f3061b4d5c77a54
SHA1..: 5e0a1567edfb2fe97a826a167c4ae385fd69e6e1
SHA256: 6c28bf98bd1e12fae3e32a5e97e91d8dee8a2289aa40b48b729207383515d31d
ssdeep: 192:MYPAOICgNP5PUSxD46jWss1y74D2Eqs1LSSIZz61EekukLx5aONdhLM9xGBT<BR>UOKn:Z7la7w2vZzWfDinJ6wFxfPM<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Sybase iAnywhere database files (51.3%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (18.9%)<BR>Targa bitmap (Original TGA Format) (18.9%)<BR>MS Flight Simulator Aircraft Performance Info (10.8%)
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>


File size: 60092 bytes
MD5 : a3de7721ae2dcb872f3061b4d5c77a54
SHA1 : 5e0a1567edfb2fe97a826a167c4ae385fd69e6e1
SHA256: 6c28bf98bd1e12fae3e32a5e97e91d8dee8a2289aa40b48b729207383515d31d
TrID : File type identification
Sybase iAnywhere database files (51.3%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (18.9%)
Targa bitmap (Original TGA Format) (18.9%)
MS Flight Simulator Aircraft Performance Info (10.8%)
ssdeep: 192:MYPAOICgNP5PUSxD46jWss1y74D2Eqs1LSSIZz61EekukLx5aONdhLM9xGBTUOKn:Z7la7w2vZzWfDinJ6wFxfPM
PEiD : -
RDS : NSRL Reference Data Set
-

Datei rastls.dll empfangen 2009.12.27 18:48:30 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.27 -
AhnLab-V3 5.0.0.2 2009.12.26 -
AntiVir 7.9.1.122 2009.12.26 -
Antiy-AVL 2.0.3.7 2009.12.25 -
Authentium 5.2.0.5 2009.12.26 -
Avast 4.8.1351.0 2009.12.27 -
AVG 8.5.0.430 2009.12.27 -
BitDefender 7.2 2009.12.27 -
CAT-QuickHeal 10.00 2009.12.26 -
ClamAV 0.94.1 2009.12.27 -
Comodo 3387 2009.12.27 -
DrWeb 5.0.1.12222 2009.12.27 -
eSafe 7.0.17.0 2009.12.27 -
eTrust-Vet 35.1.7198 2009.12.25 -
F-Prot 4.5.1.85 2009.12.26 -
F-Secure 9.0.15370.0 2009.12.27 -
Fortinet 4.0.14.0 2009.12.27 -
GData 19 2009.12.26 -
Ikarus T3.1.1.79.0 2009.12.27 -
Jiangmin 13.0.900 2009.12.27 -
K7AntiVirus 7.10.931 2009.12.26 -
Kaspersky 7.0.0.125 2009.12.27 -
McAfee 5844 2009.12.27 -
McAfee+Artemis 5844 2009.12.27 -
McAfee-GW-Edition 6.8.5 2009.12.27 -
Microsoft 1.5302 2009.12.26 -
NOD32 4720 2009.12.27 -
Norman 6.04.03 2009.12.27 -
nProtect 2009.1.8.0 2009.12.27 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.27 -
Prevx 3.0 2009.12.27 -
Rising 22.27.06.04 2009.12.27 -
Sophos 4.49.0 2009.12.27 -
Sunbelt 3.2.1858.2 2009.12.27 -
Symantec 1.4.4.12 2009.12.27 -
TheHacker 6.5.0.3.113 2009.12.26 -
TrendMicro 9.120.0.1004 2009.12.27 -
VBA32 3.12.12.0 2009.12.26 -
ViRobot 2009.12.26.2109 2009.12.26 -
VirusBuster 5.0.21.0 2009.12.27 -
weitere Informationen
File size: 150528 bytes
MD5...: ed5f55a46b58acaed1ab49950669ad33
SHA1..: fa70062f21bdd706562bc16a8468c287d7b15cfc
SHA256: 79283c5b423c308d28a60255727c5921eb671db55eeaabe8e6d289036803ec75
ssdeep: 3072:+cBiqORYOUoQ3Jc29sc7tJtZ4bSE6vSI/WDYAeWkimY0U:6qJOUr3JZ9sc7
tLZTZW0A

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1f0f0
timedatestamp.....: 0x4ad3314a (Mon Oct 12 13:38:18 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20fda 0x21000 6.49 855219e607a2034e41eb7c5c9d05cf6d
.data 0x22000 0x2a0 0x200 1.73 2734ba0c31006d279b68b9e4dd8f23b8
.rsrc 0x23000 0x1840 0x1a00 4.12 f10027add288f32ea1ce78fedc4c949b
.reloc 0x25000 0x1ab2 0x1c00 5.58 409bd345ab0dfc5c1e8c2067be0b9d23

( 19 imports )
> msvcrt.dll: _wcslwr, memmove, wcsncpy, wcscat, wcstok, _wtol, _wcsicmp, wcsncat, wcscmp, wcscpy, wcslen, __CxxFrameHandler, _onexit, __dllonexit, _initterm, _adjust_fdiv, _purecall, __2@YAPAXI@Z, swprintf, _snwprintf, _ltow, malloc, free, wcschr, __3@YAXPAX@Z
> ATL.DLL: -, -, -, -, -, -, -
> ntdll.dll: RtlInitUnicodeString, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString
> ADVAPI32.dll: RegisterEventSourceW, ReportEventW, DeregisterEventSource, RegCreateKeyExW, CryptImportKey, CryptSetHashParam, CryptGetHashParam, CredMarshalCredentialA, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegConnectRegistryW, CryptSetProvParam, CryptAcquireContextW, CryptReleaseContext, GetTokenInformation, OpenThreadToken, RevertToSelf, ImpersonateLoggedOnUser, CryptGetProvParam, CryptDestroyKey, CryptGetKeyParam, CryptGetUserKey, CryptAcquireContextA, RegSetValueExW, RegEnumKeyExW, CryptVerifySignatureW, CryptDestroyHash, CryptSignHashW, CryptHashData, CryptCreateHash, CryptGenRandom, CredFree
> CRYPTUI.dll: CryptUIDlgViewCertificateW
> CRYPT32.dll: CertFindChainInStore, CertEnumCertificatesInStore, CertCompareCertificateName, CryptImportPublicKeyInfo, CryptDecodeObject, CertFindExtension, CertVerifyTimeValidity, CertGetCertificateChain, CertDeleteCertificateFromStore, CertSetCertificateContextProperty, CertGetEnhancedKeyUsage, CertGetNameStringW, CryptDecodeObjectEx, CertVerifyCertificateChainPolicy, CertCreateCertificateContext, CryptUnprotectData, CertFreeCertificateChain, CertAddCertificateContextToStore, CryptProtectData, CertGetCertificateContextProperty, CertCloseStore, CertFreeCertificateContext, CertFindCertificateInStore, CertOpenStore
> GDI32.dll: GetTextExtentPoint32W, SelectObject
> KERNEL32.dll: lstrcpyA, SetLastError, FormatMessageW, InitializeCriticalSection, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, DisableThreadLibraryCalls, GetCurrentProcess, GetCurrentThreadId, GetACP, LocalFree, LocalAlloc, GetLastError, GetCurrentProcessId, lstrlenW, lstrcmpW, GetProcAddress, WideCharToMultiByte, LeaveCriticalSection, CloseHandle, GetCurrentThread, EnterCriticalSection, MultiByteToWideChar, LoadLibraryA, FreeLibrary, LoadLibraryW, DeleteCriticalSection, lstrlenA, GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, FileTimeToLocalFileTime, SystemTimeToFileTime, GetSystemTime, CompareFileTime, GetComputerNameExW, ExpandEnvironmentStringsW, lstrcmpiW, InterlockedIncrement, InterlockedDecrement
> MPRAPI.dll: MprAdminGetErrorString
> ole32.dll: CoGetClassObject, CoTaskMemAlloc, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -
> RASAPI32.dll: RasSetCredentialsW
> rtutils.dll: RouterLogEventStringW, RouterLogEventW, TraceVprintfExA, TraceRegisterExW, TraceDeregisterW, TraceDumpExA
> SCHANNEL.dll: InitializeSecurityContextW, FreeCredentialsHandle, QueryContextAttributesW, ApplyControlToken, DeleteSecurityContext, FreeContextBuffer, AcceptSecurityContext, AcquireCredentialsHandleW
> Secur32.dll: SetContextAttributesW, GetUserNameExW, QuerySecurityContextToken, DecryptMessage, EncryptMessage
> USER32.dll: FindWindowW, GetWindowThreadProcessId, PostMessageW, GetWindowLongW, BringWindowToTop, LoadStringW, GetWindowTextW, IsDlgButtonChecked, EndDialog, SetWindowLongW, GetDlgItem, SetWindowTextW, SetWindowPos, GetSystemMetrics, GetWindowRect, GetDesktopWindow, DialogBoxParamW, DestroyWindow, UpdateWindow, CreateDialogParamW, CheckRadioButton, GetFocus, ReleaseDC, GetDC, wsprintfW, GetWindowTextLengthW, WinHelpW, MessageBoxW, SendMessageW, SetFocus, ShowWindow, CheckDlgButton, EnableWindow
> WinSCard.dll: SCardEstablishContext, SCardGetCardTypeProviderNameA, SCardFreeMemory, SCardReleaseContext, SCardListReadersA
> COMCTL32.dll: InitCommonControlsEx
> PSAPI.DLL: GetModuleBaseNameW

( 14 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, RasEapCreateConnectionProperties, RasEapCreateConnectionProperties_XP, RasEapCreateUserProperties, RasEapCreateUserProperties_XP, RasEapFreeMemory, RasEapGetCredentials, RasEapGetIdentity, RasEapGetInfo, RasEapInvokeConfigUI, RasEapInvokeInteractiveUI

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Remote Access-PPP
original name: rastls.dll
internal name: rastls.dll
file version.: 5.1.2600.5886 (xpsp_sp3_gdr.091012-1253)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


http://www.virustotal.com/de/analisis/79283c5b423c308d28a60255727c5921eb671db55eeaabe8e6d289036803ec75-1261939710

Hoffe das passt so, Danke dir!

Ok, das dürften keine Schädlinge sein
Sind die Umleitungen immer noch da?