das bekommen wir aber wieder hin, oder war das jetzt nur ein kurzfristiges Hochgefühl?

Funktioniert noch der abgesicherte Modus?
Rechner mal stromlos für ne Zeit gemacht, dann erneut normaler Modus?

1. Mal abgesicherter Modus auch noch mal reboot beim zweiten Versuch ging er aber.
2. Dann habe ich einen Neustart gemacht und normal gebootet und siehe da es ging

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\0023.DLL" not found!
Deletion of file "C:\WINDOWS\system32\0023.DLL" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\programme\internet explorer\wmpscfgs.exe" deleted successfully.
File "C:\WINDOWS\tasks\A84E01169185B76A.job" deleted successfully.
File "C:\WINDOWS\system32\burst.dll" deleted successfully.

Error: folder "C:\Dokumente und Einstellungen\elaltrella\Lokale Einstellungen\Temp\Rar$EX01.031" not found!
Deletion of folder "C:\Dokumente und Einstellungen\elaltrella\Lokale Einstellungen\Temp\Rar$EX01.031" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\WINDOWS\system32\efcYRlIc" not found!
Deletion of folder "C:\WINDOWS\system32\efcYRlIc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\NetPumper" not found!
Deletion of folder "C:\Programme\NetPumper" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Programme\Azureus" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mailnameremotelist" deleted successfully.
Folder "c:\programme\svss" deleted successfully.
Driver "sptd" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REMOTELISTBONEELSE" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

So, dann noch einen Durchlauf mit CF im normalen Modus und dann müssten wir auch bald durch sein

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

wenn ich cofix auführen möchte kommt die meldung, dass antivir desktop noch aktiv ist! Avira hat aber das Schirmchen zu! ?

Soll ich trotzdem mit OK bestätigen???

Wenn der Schirm zu ist, soltle er deaktiviert sein. Ignoriere die Meldung. Falls AntiVir doch aufpoppen sollte während CF aktiv ist, bitte alle Fenster von AntiVir ignorieren, sodass AntiVir da dem Combofix nicht zuvorkommen kann!!

so nun hier:

ComboFix 10-01-12.05 - elaltrella 13.01.2010 17:07:58.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2516 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\elaltrella\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: F-PROT Antivirus for Windows *On-access scanning disabled* (Updated) {3F8BAFFE-D251-4DC6-ACF9-81FDF61FB9C9}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut .exe
c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut.exe
c:\dokumente und einstellungen\elaltrella\nwiz .exe
c:\dokumente und einstellungen\elaltrella\nwiz.exe
c:\dokumente und einstellungen\elaltrella\opagent .exe
c:\dokumente und einstellungen\elaltrella\opagent.exe
c:\dokumente und einstellungen\elaltrella\opagent.exe.delme193
c:\dokumente und einstellungen\elaltrella\opagent.exe.delme202
c:\dokumente und einstellungen\elaltrella\opagent.exe.delme316
c:\dokumente und einstellungen\elaltrella\rundll32 .exe
c:\dokumente und einstellungen\elaltrella\rundll32.exe
c:\programme\Internet Explorer\wmpscfgs.exe
c:\windows\system32\Cache
c:\windows\system32\cIlRYcfe.ini
c:\windows\system32\cIlRYcfe.ini2
c:\windows\system32\ctfmon .exe
c:\windows\system32\cwgkbnks.ini
c:\windows\system32\nerocheck .exe
c:\windows\system32\setup.ini
c:\windows\system32\WORK.DAT
c:\windows\tbpanel .exe

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 ))))))))))))))))))))))))))))))
.

2010-01-13 16:19 . 2010-01-13 16:19 40448 ----a-w- c:\temp\wmpscfgs.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\nwiz.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\rundll32.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\rundll32 .exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\opagent.exe
2010-01-13 16:18 . 2010-01-13 16:18 -------- d-----w- c:\temp\WPDNSE
2010-01-13 16:17 . 2010-01-13 16:17 53248 ----a-w- c:\temp\catchme.dll
2010-01-13 15:59 . 2010-01-13 15:59 4 ----a-w- c:\programme\4667375.dat
2010-01-13 14:12 . 2010-01-13 14:12 4 ----a-w- c:\programme\5226750.dat
2010-01-13 12:56 . 2010-01-13 12:56 -------- d-----w- C:\rsit
2010-01-13 12:56 . 2010-01-13 12:56 -------- d-----w- c:\programme\trend micro
2010-01-13 12:44 . 2010-01-13 12:44 4 ----a-w- c:\programme\13182093.dat
2010-01-13 12:44 . 2010-01-13 12:44 4 ----a-w- c:\programme\13181859.dat
2010-01-13 07:01 . 2010-01-13 07:01 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2010-01-13 07:01 . 2010-01-13 07:01 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2010-01-12 13:13 . 2010-01-12 13:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-12 10:10 . 2010-01-12 10:10 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2010-01-12 10:10 . 2010-01-12 10:10 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2010-01-12 10:05 . 2010-01-13 16:14 -------- d-----w- c:\temp\is-L62LU.tmp
2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019859.dat
2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019843.dat
2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019656.dat
2010-01-12 09:31 . 2010-01-13 16:14 -------- d-----w- c:\temp\PCTInstaller
2010-01-12 09:28 . 2010-01-13 16:14 -------- d-----w- c:\temp\is-CF1V5.tmp
2010-01-12 08:02 . 2010-01-12 08:02 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 16:19 . 2006-01-17 12:45 -------- d-----w- c:\programme\QuickTime
2010-01-13 16:19 . 2007-11-29 09:33 -------- d-----w- c:\programme\Gemeinsame Dateien\OLXShared
2010-01-13 16:18 . 2001-07-09 08:50 40448 ----a-w- c:\windows\system32\nerocheck.exe
2010-01-13 15:54 . 2001-07-09 08:50 40448 ----a-w- c:\windows\system32\nerocheck .exe
2010-01-13 15:53 . 2005-10-12 09:43 40448 ----a-w- c:\windows\tbpanel.exe
2010-01-13 09:11 . 2004-08-04 12:00 654284 ----a-w- c:\windows\system32\perfh007.dat
2010-01-13 09:11 . 2004-08-04 12:00 161662 ----a-w- c:\windows\system32\perfc007.dat
2010-01-13 09:10 . 2008-05-21 06:39 -------- d-----w- c:\programme\TomTom HOME 2
2010-01-13 09:06 . 2007-07-31 13:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-01-13 08:05 . 2007-08-09 08:28 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-13 08:04 . 2005-10-17 13:05 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-01-13 08:03 . 2005-10-17 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-12 09:33 . 2009-07-09 10:31 1940936 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-01-12 09:04 . 2009-10-07 07:49 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-07 15:07 . 2009-10-07 07:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-10-07 07:49 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-11 07:22 . 2008-01-17 14:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-08 07:04 . 2009-08-05 06:45 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-02 09:39 . 2007-02-19 15:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-11-25 13:06 . 2005-10-20 07:58 130952 ----a-w- c:\dokumente und einstellungen\elaltrella\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-24 10:48 . 2008-01-18 08:26 -------- d-----w- c:\dokumente und einstellungen\elaltrella\Anwendungsdaten\OLXTeamOutlook
2009-11-24 07:37 . 2009-11-24 07:37 -------- d-----w- c:\programme\Microsoft
2009-11-23 07:41 . 2006-03-20 10:16 -------- d-----w- c:\programme\Opera
2009-11-19 07:12 . 2009-08-26 15:49 1200 ----a-w- c:\windows\ImpTableL.bin
2009-11-16 16:33 . 2008-12-08 09:43 -------- d-----w- c:\programme\CCleaner
2009-10-29 07:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
.

Code: Alles auswählenAufklappen

ATTFilter

<pre>
c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray .exe
c:\programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\clistart .exe
c:\programme\Canon\Easy-PrintToolBox\bjpsmain .exe
c:\programme\CyberLink\PowerDVD\pdvdserv .exe
c:\programme\FRISK Software\F-PROT Antivirus for Windows\fprottray .exe
c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe
c:\programme\Gemeinsame Dateien\OLXShared\olxaddinmonitor .exe
c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\ssbkgdupdate .exe
c:\programme\GIGABYTE\ET5\gui .exe
c:\programme\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe
c:\programme\Java\jre6\bin\jusched .exe
c:\programme\Malwarebytes' Anti-Malware\mbam .exe
c:\programme\Microsoft Office\Office12\groovemonitor .exe
c:\programme\QuickTime\qttask    .exe
c:\programme\QuickTime\qttask   .exe
c:\programme\QuickTime\qttask  .exe
c:\programme\QuickTime\qttask .exe
c:\programme\ScanSoft\OmniPage16\Ereg\ereg .exe
c:\programme\Sharp\Sharpdesk\ftpserver .exe
c:\programme\Sharp\Sharpdesk\indextray .exe
c:\programme\Sharp\Sharpdesk\sharptray .exe
c:\programme\Sharp\Sharpdesk\typeregchecker .exe
c:\programme\TomTom HOME 2\tomtomhomerunner .exe
c:\windows\system32\nerocheck .exe
</pre>
         

------- Sigcheck -------

[-] 2008-12-17 . 63F596358D91E0DE887E3D031CCCF5C6 . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2010-01-13 40448]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-13 40448]
"OpAgent"="OpAgent.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\quicktime\qttask .exe -atboottime" [X]
"Gainward"="c:\windows\TBPanel.exe" [2010-01-13 40448]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]
"nwiz"="nwiz.exe" [2005-02-24 1495040]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-02-24 86016]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"Cmaudio"="cmicnfg.cpl" [N/A]
"EasyTuneV"="c:\programme\Gigabyte\ET5\GUI.exe" [2010-01-13 40448]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2010-01-13 40448]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2010-01-13 40448]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2010-01-13 40448]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2010-01-13 40448]
"IndexTray"="c:\programme\Sharp\Sharpdesk\IndexTray.exe" [2010-01-13 40448]
"SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2010-01-13 40448]
"TypeRegChecker"="c:\programme\Sharp\Sharpdesk\TypeRegChecker.exe" [2010-01-13 40448]
"FtpServer.exe"="c:\programme\Sharp\Sharpdesk\FtpServer.exe" [2010-01-13 40448]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2010-01-13 40448]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-01-13 40448]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2010-01-13 40448]
"OLXAddinMonitor"="c:\programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" [2010-01-13 40448]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2010-01-13 40448]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2010-01-13 40448]
"ScanSoft OmniPage 16-reminder"="c:\programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" [2010-01-13 40448]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2010-01-13 40448]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"F-PROT Antivirus Tray application"="c:\programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2010-01-13 40448]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-13 40448]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Start 3DxWare.lnk - c:\programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe [2009-4-23 119296]
Starten des Netzwerk Scanner Tools.lnk - c:\programme\Sharp\Sharpdesk\sdFTP.exe [2005-10-12 275968]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-02-24 08:58 203928 -c--a-w- c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2006-09-28 19:21 57344 -c--a-w- c:\programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
c:\programme\NetPumper\NetPumperIEProxy.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PUK]
c:\programme\SVSS\PUK\PopKill.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-01-12 09:04 40448 ----a-w- c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2010-01-13 09:10 40448 ----a-w- c:\programme\TomTom HOME 2\tomtomhomerunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sharp\\Sharpdesk\\sdFTP.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\engine.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\tmengine.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\lexAPI.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\StdAlone\\MT_Alone.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\translatepro9\\TMServer.exe"=
"c:\\Programme\\Sharp\\Sharpdesk\\FTPServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Agru Datenbank\\software\\lic\\x86\\cnslocal.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\SmartCode Solutions\\VNC Manager (Enterprise Edition)\\VNCManager.exe"=
"c:\\WINDOWS\\system32\\winver.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=
"c:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 FPAV_RTP;FPAV_RTP;c:\windows\system32\drivers\FStopW.sys [13.08.2009 07:00 682840]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.08.2009 07:45 108289]
R2 FPAVServer;F-PROT Antivirus for Windows system;c:\programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [27.08.2009 15:26 75424]
R2 GLOGODrv;GLOGODrv;c:\windows\system32\drivers\GLOGODrv.sys [12.10.2005 12:36 13332]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [12.10.2005 12:28 1275584]
S3 MA311;NETGEAR Wireless LAN Driver;c:\windows\system32\drivers\ma311n51.sys [12.10.2005 10:53 54784]
.
Inhalt des "geplante Tasks" Ordners

2010-01-13 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 13:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = 192.168.0.*
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{5039B23B-182F-46E2-A159-9E8F631FF218} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
AddRemove-TRUSTINSIDEINTERNET - c:\dokume~1\ELALTR~1\ANWEND~1\FUNKFI~1\Kindcoal.exe

Und das war es jetzt? Jetzt bin ich clean? ;-)

Das Log sieht nciht ganz vollständig aus, bitte prüfen! Notfalls die combofix.log auf file-upload.net hochladen und hier verlinken.

Zitat:

c:\windows\system32\winlogon.exe

Bitte mal bei Virustotal.com auswerten lassen und Ergebnislink posten, ich fürchte die wurde manipuliert.

Bitte auch noch GMER und anschließend Malwarebytes ausführen (das Programm vorher aktualisieren!) - es kann sein, dass GMER abstürzt, in dem Fall GMER erstmal sein lassen.

GMER läuft und läuft! Bin mal gespannt was da raus kommt!

die winlogon war 0/41 aber da GMER läuft kann ich den Link gerade nicht posten.

Melde mich wenn er es überstanden hat!

Der GMER läuft immernoch! Ist das normal? Ich dachte schon der hängt aber unten sieht man ja die Dateien die er scannt und der läuft und läuft!

Brich es ab und mach mit Malwarebytes weiter - Signaturen von Malwarebytes vorher aktualisieren!!

Guten Morgen,

hatte GMER dann nach 5 Stunden abgebrochen, obwohl er lief. Der Bericht unten von mbam war danach am 14.01, aktuell läuft noch einer.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3561
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.01.2010 17:27:03
mbam-log-2010-01-14 (17-27-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 171702
Laufzeit: 1 hour(s), 11 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{38BBC86F-73C3-4CD6-8822-848B1B44A736}\RP1001\A0281991.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{38BBC86F-73C3-4CD6-8822-848B1B44A736}\RP1001\A0282227.sys (Malware.Trace) -> Quarantined and deleted successfully.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.