1.) Hörst Du jetzt mal auf mich mit PNs zu bombardieren, sonst bekommste keine Antworten mehr von mir!

2.) Ein Forum ist kein Chat und wir sind auch nicht Diene Privathampelmänner, wenn bei Dir alles sofort sein muss und "oberwichtig" und "dringend" ist, bist Du in einem Forum definitiv falsch! Wenn Du alles sofort haben willst musst Du einen Vor-Ort-Techniker bestellen und bezahlen!!

Zitat:

Zitat von cosinus

1.) Hörst Du jetzt mal auf mich mit PNs zu bombardieren, sonst bekommste keine Antworten mehr von mir!

2.) Ein Forum ist kein Chat und wir sind auch nicht Diene Privathampelmänner, wenn bei Dir alles sofort sein muss und "oberwichtig" und "dringend" ist, bist Du in einem Forum definitiv falsch! Wenn Du alles sofort haben willst musst Du einen Vor-Ort-Techniker bestellen und bezahlen!!

Ja ok trotzdem wollte ich nur fragen ob du´s oder jemand anderer weiss also endschuldige ich mich

Also kannst du mir weiterhelfen?

Dann mach bitte mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Endlich fertig!

Hier ist der Log




ComboFix 10-02-03.08 - .. 04.02.2010 18:58:18.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.447.65 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\...\LOKALE~1\Temp\tmp2.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\EventSystem.log
c:\windows\system32\swctl.dll
c:\windows\system32\wbem\Performance\WmiApRpl_new.h
c:\windows\unins000.dat

----- BITS: Eventuell infizierte Webseiten -----

hxxp://armmf.adobe.com
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((( Dateien erstellt von 2010-01-04 bis 2010-02-04 ))))))))))))))))))))))))))))))
.

2010-02-04 17:01 . 2010-02-04 17:01 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Twisted_Wire_Productions
2010-02-03 20:50 . 2010-02-03 20:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\System
2010-02-03 20:50 . 2010-02-04 17:57 -------- d-----w- c:\windows\system32\cc32
2010-02-03 20:50 . 2010-02-03 20:50 -------- d-----w- c:\windows\tray
2010-02-03 20:50 . 2001-08-18 10:00 2322072 ----a-w- c:\windows\system32\ccsync.exe
2010-02-03 19:54 . 2010-02-03 19:54 -------- d-----w- c:\programme\trend micro
2010-02-03 19:54 . 2010-02-03 19:54 -------- d-----w- C:\rsit
2010-02-03 18:28 . 2010-02-03 18:28 -------- d-----w- c:\programme\CCleaner
2010-02-01 14:16 . 2010-02-01 14:16 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-30 21:49 . 2010-01-30 21:49 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-30 21:39 . 2010-01-30 21:51 -------- d-----w- c:\programme\Runtime Software
2010-01-30 21:00 . 2010-01-30 21:00 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Malwarebytes
2010-01-30 20:59 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-30 20:59 . 2010-01-30 20:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-30 20:59 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-30 20:10 . 2010-01-30 20:10 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Uniblue
2010-01-30 20:09 . 2010-01-30 20:09 -------- d-----w- c:\programme\Uniblue
2010-01-30 12:07 . 2010-01-14 08:34 9368 ----a-w- c:\windows\system32\drivers\mchccinj.sys
2010-01-27 20:11 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2010-01-27 20:11 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2010-01-27 20:11 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2010-01-27 20:11 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2010-01-27 20:11 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2010-01-27 20:11 . 2010-01-27 20:11 -------- d-----w- c:\programme\Trojan Remover
2010-01-27 20:11 . 2010-01-27 20:11 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Simply Super Software
2010-01-27 20:11 . 2010-01-27 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-01-26 19:08 . 2010-01-26 19:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-01-24 20:43 . 2010-01-24 20:43 -------- d-----w- c:\programme\uTorrent
2010-01-24 20:39 . 2010-02-04 17:19 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\uTorrent
2010-01-22 18:38 . 2010-01-27 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG7
2010-01-22 18:38 . 2010-01-22 18:39 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\AVG7
2010-01-22 17:27 . 2010-01-22 17:27 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\AVG7
2010-01-22 17:26 . 2010-01-22 18:55 -------- d-----w- c:\programme\Grisoft-AVG75
2010-01-22 15:24 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-22 15:24 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-22 15:24 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-22 15:24 . 2010-01-22 15:24 -------- d-----w- c:\programme\Avira
2010-01-22 14:41 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-22 14:41 . 2010-01-22 15:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-22 14:40 . 2010-01-22 14:40 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-22 14:38 . 2010-01-22 14:38 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-01-22 13:26 . 2010-01-22 14:36 -------- d-----w- c:\programme\Spyware Doctor
2010-01-21 17:13 . 2010-01-21 17:13 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2010-01-21 16:09 . 2010-02-04 16:02 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-21 15:56 . 2010-01-21 15:56 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-21 12:41 . 2010-01-21 15:56 -------- d-----w- c:\programme\Orbitdownloader
2010-01-21 12:41 . 2010-01-21 15:56 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Orbit
2010-01-20 17:12 . 2010-01-21 15:43 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Tracing
2010-01-20 17:10 . 2010-01-20 17:10 -------- d-----w- c:\programme\Microsoft
2010-01-20 17:10 . 2010-01-20 17:10 -------- d-----w- c:\programme\Windows Live SkyDrive
2010-01-20 17:09 . 2010-01-20 17:11 -------- d-----w- c:\programme\Windows Live
2010-01-20 16:29 . 2010-01-20 16:29 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-01-20 16:29 . 2010-01-20 16:29 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-01-20 16:29 . 2010-01-20 16:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-01-20 16:29 . 2010-01-20 16:29 -------- d-----w- c:\dokumente und einstellungen\Ayhan\LocalLow
2010-01-20 16:29 . 2010-01-20 16:29 -------- d-----w- c:\programme\TVUPlayer
2010-01-11 19:09 . 2010-01-11 20:20 -------- d-----w- c:\dokumente und einstellungen\Ayhan\.freemind
2010-01-11 19:08 . 2010-01-11 19:08 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-01-10 15:37 . 2010-01-10 15:39 -------- d-----w- c:\windows\system32\NtmsData
2010-01-07 18:20 . 2002-11-18 15:02 40960 ----a-w- c:\windows\system32\MMAVILNG.exe
2010-01-07 17:20 . 2010-01-13 19:48 -------- d-----w- c:\programme\Windows Media Connect 2
2010-01-07 17:18 . 2010-01-07 17:19 -------- d-----w- c:\windows\system32\drivers\UMDF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-04 18:08 . 2010-02-04 18:08 90 ----a-w- c:\windows\system32\swctl.dll
2010-02-03 22:53 . 2001-08-18 10:00 96512 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-02-03 20:51 . 2009-12-09 18:28 -------- d-----w- c:\programme\Gemeinsame Dateien\System Shared
2010-02-03 08:20 . 2009-12-14 17:52 1 ----a-w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-30 21:38 . 2009-12-14 15:08 -------- d-----w- c:\programme\TuneUp Utilities 2009
2010-01-26 11:28 . 2009-12-09 18:41 344728 ----a-w- c:\windows\system32\wdrvhook.dll
2010-01-20 17:12 . 2009-12-10 17:07 18248 ----a-w- c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-08 22:28 . 2009-12-28 20:12 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\CometNetwork
2010-01-06 18:53 . 2001-08-18 10:00 514038 ----a-w- c:\windows\system32\perfh007.dat
2010-01-06 18:53 . 2001-08-18 10:00 104692 ----a-w- c:\windows\system32\perfc007.dat
2010-01-03 13:11 . 2010-01-03 13:11 -------- d-----w- c:\programme\Lavalys
2009-12-31 14:46 . 2009-12-31 14:45 -------- d-----w- c:\programme\NimoCodec Pack
2009-12-31 14:45 . 2009-12-31 14:45 -------- d-----w- c:\programme\DivXCodec
2009-12-29 20:16 . 2009-12-29 20:14 -------- d-----w- c:\programme\Google
2009-12-28 18:55 . 2009-12-28 18:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-12-28 16:19 . 2009-12-28 16:19 -------- d-----w- c:\programme\MSXML 4.0
2009-12-27 17:52 . 2009-12-20 15:37 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\gtk-2.0
2009-12-26 09:47 . 2009-12-25 18:09 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\FileZilla
2009-12-25 21:33 . 2009-12-25 10:04 -------- d-----w- c:\programme\Windows Photo Gallery
2009-12-25 10:14 . 2009-12-25 10:05 23681 ----a-w- c:\windows\hpqins15.dat
2009-12-25 10:03 . 2009-12-25 10:03 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition
2009-12-25 10:00 . 2009-12-25 09:54 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\HP
2009-12-25 09:59 . 2009-12-25 09:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-12-25 09:59 . 2009-12-25 09:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2009-12-25 09:58 . 2009-12-25 09:42 179869 ----a-w- c:\windows\hpoins36.dat
2009-12-25 09:55 . 2009-12-25 09:43 -------- d-----w- c:\programme\HP
2009-12-25 09:54 . 2009-12-25 09:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-12-25 09:50 . 2009-12-25 09:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-12-25 09:49 . 2009-12-25 09:49 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2009-12-25 09:48 . 2009-12-25 09:48 -------- d-----w- c:\programme\Gemeinsame Dateien\Hewlett-Packard
2009-12-20 15:32 . 2009-12-20 15:32 -------- d-----w- c:\programme\GIMP-2.0
2009-12-18 17:05 . 2009-12-18 17:05 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Apple Computer
2009-12-14 19:51 . 2009-12-14 14:52 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\DivX
2009-12-14 17:51 . 2009-12-14 17:51 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\OpenOffice.org
2009-12-14 17:48 . 2009-12-14 17:48 -------- d-----w- c:\programme\JRE
2009-12-14 17:48 . 2009-12-14 17:48 -------- d-----w- c:\programme\OpenOffice.org 3
2009-12-14 17:47 . 2009-12-09 18:54 -------- d-----w- c:\programme\Java
2009-12-14 15:09 . 2009-12-14 15:09 604488 ----a-w- c:\windows\system32\TUProgSt.exe
2009-12-14 15:09 . 2009-12-14 15:09 361288 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-12-14 15:08 . 2009-12-14 15:08 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\TuneUp Software
2009-12-14 15:08 . 2009-12-14 15:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-12-14 15:07 . 2009-12-14 15:07 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-12-13 22:24 . 2009-12-12 15:09 -------- d-----w- c:\programme\Microsoft Silverlight
2009-12-13 14:19 . 2009-12-13 14:16 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-13 14:19 . 2009-12-13 14:16 -------- d-----w- c:\programme\DVDVideoSoft
2009-12-12 15:22 . 2009-12-12 15:09 -------- d-----w- c:\programme\Microsoft SQL Server
2009-12-12 15:20 . 2009-12-12 15:06 -------- d-----w- c:\programme\Microsoft.NET
2009-12-12 15:08 . 2009-12-12 15:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-12 15:08 . 2009-12-12 15:08 113216 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VCExpress\9.0\1031\ResourceCache.dll
2009-12-12 15:08 . 2009-12-12 15:08 416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\9.0\1031\ResourceCache.dll
2009-12-12 15:07 . 2009-12-12 15:05 -------- d-----w- c:\programme\Microsoft Visual Studio 9.0
2009-12-12 15:06 . 2009-12-12 15:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Merge Modules
2009-12-12 15:05 . 2009-12-12 15:05 -------- d-----w- c:\programme\Microsoft SDKs
2009-12-12 15:01 . 2009-12-12 15:01 -------- d-----w- c:\programme\MSBuild
2009-12-12 15:01 . 2009-12-12 15:01 -------- d-----w- c:\programme\Reference Assemblies
2009-12-12 14:58 . 2009-12-12 14:58 -------- d-----w- c:\programme\MSXML 6.0
2009-12-12 14:24 . 2009-12-10 17:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-12 13:46 . 2009-12-12 13:46 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C4673A56-EF7C-40A4-9249-68BD43C997F7}
2009-12-12 13:46 . 2009-12-12 13:46 -------- d-----w- c:\programme\WEB.DE
2009-12-12 13:46 . 2009-12-12 13:46 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ACD22DA6-75BE-4B73-8FEE-D4717AEBEFA5}
2009-12-12 13:46 . 2009-12-12 13:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
2009-12-12 13:46 . 2009-12-12 13:46 1204096 ----a-w- c:\windows\system32\ieconfig_1und1.dll
2009-12-12 02:36 . 2009-12-09 18:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-12-11 19:37 . 2009-12-11 19:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-11 17:05 . 2010-02-04 15:36 3613560 ----a-w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Simply Super Software\Trojan Remover\jis12.exe
2009-12-11 17:05 . 2010-01-27 20:12 3613560 ----a-w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Simply Super Software\Trojan Remover\wvi23B.exe
2009-12-10 18:32 . 2009-12-10 18:22 -------- d-----w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\MozillaControl
2009-12-10 18:17 . 2009-12-10 18:17 -------- d-----w- c:\programme\Realtek
2009-12-10 18:17 . 2009-12-10 18:17 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-10 17:42 . 2009-12-10 17:41 -------- d-----w- c:\programme\DivX
2009-12-10 17:41 . 2009-12-10 17:41 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-10 17:37 . 2009-12-10 17:36 -------- d-----w- c:\programme\QuickTime
2009-12-10 17:36 . 2009-12-10 17:36 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-12-10 17:36 . 2009-12-10 17:36 -------- d-----w- c:\programme\Apple Software Update
2009-12-10 17:36 . 2009-12-10 17:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-09 19:47 . 2009-12-09 19:47 1956528 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player_ax.exe
2009-12-09 18:54 . 2009-12-09 18:54 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-09 18:54 . 2009-12-09 18:54 -------- d-----w- c:\programme\DIFX
2009-12-09 18:54 . 2009-12-09 18:54 152576 ----a-w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-09 18:53 . 2009-12-09 18:53 79488 ----a-w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-09 18:41 . 2009-12-09 18:41 -------- d-----w- c:\programme\Salfeld
2009-12-09 18:33 . 2009-12-09 18:32 1924200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2009-12-09 18:22 . 2009-12-09 18:22 0 ----a-w- c:\windows\nsreg.dat
2009-12-08 17:41 . 2009-12-08 17:41 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-12-08 16:07 . 2009-12-08 16:07 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-12-07 20:35 . 2009-12-07 20:35 -------- d-----w- c:\programme\microsoft frontpage
2009-12-07 20:34 . 2009-12-07 20:34 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-12-07 20:34 . 2009-12-07 20:34 -------- d-----w- c:\programme\Online-Dienste
2009-12-07 20:33 . 2009-12-07 20:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-12-07 20:32 . 2009-12-07 20:32 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-04 10:03 . 2009-12-09 18:41 7035645 ----a-w- c:\windows\system32\httpsurl.dat
2009-11-26 09:59 . 2009-11-26 09:59 2554680 ----a-w- c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\9m6j56kp.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
2009-11-26 09:45 . 2009-12-12 13:46 2775333 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ACD22DA6-75BE-4B73-8FEE-D4717AEBEFA5}\InternetExplorer-WEB.DE-addon.exe
2009-11-16 11:25 . 2009-12-14 15:09 29000 ----a-w- c:\windows\system32\uxtuneup.dll
2009-11-14 00:49 . 2009-12-10 17:42 9464 ----a-w- c:\windows\system32\drivers\cdralw2k.sys
2009-11-14 00:49 . 2009-12-10 17:42 9336 ----a-w- c:\windows\system32\drivers\cdr4_xp.sys
2009-11-14 00:49 . 2009-12-10 17:42 43528 ----a-w- c:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2009-12-10 17:42 129784 ------w- c:\windows\system32\pxafs.dll
2009-11-14 00:49 . 2009-12-10 17:42 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2009-12-10 17:42 118520 ------w- c:\windows\system32\pxinsi64.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCWinTray"="c:\windows\Tray\wintmr.exe" [2010-01-26 5806496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ChicoSys"="c:\windows\system32\cc32\webtmr.exe" [2010-01-26 5558176]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-09 149280]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-10-10 7286784]
"nwiz"="nwiz.exe" [2005-10-10 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-10-10 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TrojanScanner"="c:\programme\Trojan Remover\Trjscan.exe" [2009-10-17 1070984]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"RestrictRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883840 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE Update]
2009-10-16 13:15 2226056 ----a-w- c:\programme\WEB.DE\LiveUpdate\m2LUTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.01.2010 16:24 108289]
R2 Windows-CCHook-Service;Windows-CCHook-Service;c:\windows\system32\cchservice.exe [09.12.2009 19:41 1457304]
S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys --> c:\windows\system32\DRIVERS\avfwot.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 21:14 135664]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys --> c:\windows\system32\DRIVERS\avfwim.sys [?]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.07.2008 01:27 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.07.2008 02:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.07.2008 01:27 369688]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AVG7ALRT
*NewlyCreated* - AVG7CORE
*NewlyCreated* - AVG7RSXP
*NewlyCreated* - AVG7UPDSVC
*NewlyCreated* - AVGCLEAN
*NewlyCreated* - AVGEMS
*NewlyCreated* - AVGTDI
*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-02-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
FF - ProfilePath - c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\9m6j56kp.default\
FF - prefs.js: browser.startup.homepage - Startseite von Mozilla Firefox
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\9m6j56kp.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\programme\QuickTime\Plugins\npqtplugin9.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 8
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-F5JMWNZTHI - c:\dokume~1\Ayhan\LOKALE~1\Temp\Gbl.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-02-04 19:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1644)
c:\windows\system32\wsock32.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
c:\windows\system32\wdrvprg.dll
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\MPR.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\windows\System32\nvsvc32.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\System32\TUProgSt.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-04 19:15:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-04 18:15

Vor Suchlauf: 7 Verzeichnis(se), 228.091.101.184 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 228.103.839.744 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - 6B6D018037CB3EF3F23BBFE958F2DA08

Ich habe es ausversehen nicht in Cofi.exe umbenannt ist es das egal?

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\drivers\mchccinj.sys
c:\windows\system32\drivers\mchInjDrv.sys
c:\windows\system32\MMAVILNG.exe
c:\windows\system32\swctl.dll

drivers to delete:
mchInjDrv
mchccinj
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei http://file-upload.net hochladen und hier verlinken.

ich erstelle mir lieber erstmal einen WIEDERHERSTELLUNGSPUNKT
Nicht das (mir) wieder so ein fehler unterläuft!!

In Wiederherstellungspunkten hab ich kein Vertrauen. Nimm lieber richtig Backup-Imageprogramme (auch für die Zukunft) - sowas wie Acronis True Image oder DriveSnapshot.

Zitat:

Zitat von cosinus

In Wiederherstellungspunkten hab ich kein Vertrauen. Nimm lieber richtig Backup-Imageprogramme (auch für die Zukunft) - sowas wie Acronis True Image oder DriveSnapshot.

Acronis True Image auf jeden fall das kenne ich hab es mal gedownloadet wusste ging aber irgendwie nicht, hab eine cd mit den boot sachen erstellt aber hat trotzdem nicht gefunkt (er hat die cd nicht gestartet)

Naja
hier erstmal der Log :



Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\mchccinj.sys" deleted successfully.

Error: file "c:\windows\system32\drivers\mchInjDrv.sys" not found!
Deletion of file "c:\windows\system32\drivers\mchInjDrv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\MMAVILNG.exe" deleted successfully.
File "c:\windows\system32\swctl.dll" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\mchInjDrv" not found!
Deletion of driver "mchInjDrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\mchccinj" not found!
Deletion of driver "mchccinj" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Ok. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Zitat:

Zitat von cosinus

Ok. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

ok werde ich machen!!

Hier der Antimaleware Logfile:



Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3690
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2010 21:06:49
mbam-log-2010-02-04 (21-06-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 178975
Laufzeit: 49 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\F5JMWNZTHI (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{67BF25BA-C6B0-442D-8E6C-8B95B36837D0}\RP76\A0030569.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Und, Browserumleitung weg?

Zitat:

Zitat von cosinus

Und, Browserumleitung weg?

hallo cosinus, die BROWSERLEITUNG ist bis jetzt zum glück weg. Aber erstmal ein großes lob und dankeschön ! An dich.