Hallo Leute ich wollte mich onlien bei der deutschen bank einloggen da wurde von mir erlangt das ich 100 Tans eingebe... hab ich natürlich nicht gemacht

nun hab ich cofi.exe laufen lassen da hat sich dann ein blaues fenster geöffnet
#1
#2
usw
irgendwann stand da ahaka.exe wird gelöscht.

hab die ahaka.exe aber immernoch im CCleaner autostart drin.
ich deaktiviere es immer wieder und lösche es aber es trtet nach wenigen sekunden immer wieder auf

HIER MAL MEIN LOG


ComboFix 10-10-26.04 - Sasa 27.10.2010 17:54:13.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.3071.2312 [GMT 2:00]
ausgeführt von:: c:\users\Sasa\Desktop\cofi.exe.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Sasa\AppData\Roaming\Ynemmi
c:\users\Sasa\AppData\Roaming\Ynemmi\ahaka.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-09-27 bis 2010-10-27 ))))))))))))))))))))))))))))))
.

2010-10-27 15:58 . 2010-10-27 15:58 -------- d-----w- c:\users\Sasa\AppData\Local\temp
2010-10-27 15:58 . 2010-10-27 15:58 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-27 12:53 . 2010-10-27 15:41 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-10-27 12:53 . 2010-10-27 15:40 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-23 15:02 . 2010-10-23 15:02 -------- d-----w- c:\users\Gast
2010-10-19 13:52 . 2010-10-19 13:52 -------- d-----w- c:\program files\Babylon
2010-10-19 11:35 . 2010-10-19 11:35 -------- d-----w- c:\program files\Common Files\Java
2010-10-18 15:50 . 2010-10-18 15:50 -------- d-----w- c:\users\Sasa\AppData\Roaming\OpenOffice.org
2010-10-18 15:46 . 2010-10-18 15:46 -------- d-----w- c:\program files\JRE
2010-10-18 15:46 . 2010-10-18 15:46 -------- d-----w- c:\program files\OpenOffice.org 3
2010-10-18 15:46 . 2010-09-15 02:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-10-18 15:45 . 2010-10-19 11:25 -------- d-----w- c:\program files\Java
2010-10-12 02:33 . 2010-09-16 08:24 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C5B92BE9-6B48-40C1-9030-8CBA6B244EA2}\mpengine.dll
2010-10-11 13:10 . 2010-10-20 08:38 841912 ----a-w- c:\windows\system32\drivers\ESLWireACD.sys
2010-10-09 14:46 . 2010-10-09 14:46 -------- d-----w- c:\program files\Common Files\Adobe
2010-10-09 14:04 . 2010-10-09 14:04 -------- d-----w- c:\program files\UltraISO
2010-10-09 14:04 . 2010-10-09 14:04 -------- d-----w- c:\program files\Common Files\EZB Systems
2010-10-05 18:11 . 2010-10-26 20:47 -------- d-----w- c:\users\Sasa\AppData\Roaming\Veogn
2010-09-30 13:01 . 2010-09-30 13:01 -------- d-----w- c:\programdata\KONAMI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 12:10 . 2010-08-28 19:15 24504 ----a-w- c:\windows\system32\drivers\ESLvnic.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^Users^Sasa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Produktregistrierung.lnk]
path=c:\users\Sasa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk
backup=c:\windows\pss\Logitech . Produktregistrierung.lnk.Startup
backupExtension=.Startup

[HKLM\~\startupfolder\C:^Users^Sasa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\Sasa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- d:\program files\Adobe Reader\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2010-02-17 18:37 177472 ----a-w- c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ESL Wire]
2010-10-20 08:25 7677440 ----a-w- c:\program files\EslWire\wire.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-08-22 11:02 133432 ----a-w- c:\program files\ICQ7.2\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 12:36 2793304 ----a-w- c:\program files\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"{CBDDC3FA-E3AD-367F-E812-3E549C2C384C}"=c:\users\Sasa\AppData\Roaming\Ynemmi\ahaka.exe

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 135664]
R2 prio_svc;Prio Service;c:\program files\Prio\prio_svc.exe [2010-07-28 5120]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2009-08-28 17408]
R3 pnetmdm;PdaNet Modem;c:\windows\system32\DRIVERS\pnetmdm.sys [2006-09-28 9472]
R3 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-02-11 172328]
S1 prio;prio;c:\windows\System32\drivers\prio.sys [2010-07-28 51408]
S1 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [2007-07-15 27992]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 ESLWireAC;ESLWireAC;c:\windows\system32\drivers\ESLWireACD.sys [2010-10-20 841912]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\DRIVERS\ESLvnic.sys [2010-08-12 24504]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

.
Inhalt des "geplante Tasks" Ordners

2010-10-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 14:07]

2010-10-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 14:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\users\Sasa\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\users\Sasa\AppData\Roaming\Mozilla\Firefox\Profiles\uqlvynfq.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
FF - plugin: c:\users\Sasa\AppData\Roaming\Mozilla\Firefox\Profiles\uqlvynfq.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: d:\program files\Adobe Reader\Reader\browser\nppdf32.dll
FF - plugin: d:\program files\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\program files\DivX\DivX Plus Web Player\npdivx32.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{CBDDC3FA-E3AD-367F-E812-3E549C2C384C} - c:\users\Sasa\AppData\Roaming\Ynemmi\ahaka.exe
MSConfigStartUp-CanonMyPrinter - c:\program files\Canon\MyPrinter\BJMyPrt.exe
MSConfigStartUp-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe
MSConfigStartUp-iTunesHelper - d:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-{B73A7B42-27FF-B249-621C-A4D629A128E0} - c:\users\Sasa\AppData\Roaming\Ziixax\eqas.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(584)
c:\program files\Prio\prio.dll
.
Zeit der Fertigstellung: 2010-10-27 18:00:59
ComboFix-quarantined-files.txt 2010-10-27 16:00

Vor Suchlauf: 5 Verzeichnis(se), 23.140.298.752 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 23.058.173.952 Bytes frei

- - End Of File - - 8D1FAAF82505198F467B8A7BC8BAB79E




Vielen dank im vorraus

mfg sascha

war jetzt gerade nochmal bei der deutschen bank online.
Jetzt möchte er keine tans mehr sehen, doch im CCleaner steht unter Autostart immernoch die ahaka.exe die angeblich gelöscht wurde