Ja sieht ganz gut soweit wieder aus, nut ein wenig Kontrolle mus snoch sein :)

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Also das mit dem Combofix jetzt hab ich nicht verstanden.
was und wo ist dieses Notepad??? ich hab von sowas echt keinen Plan!!!

Du musst den Editor ausführen, steht doch da!!
Start, Ausführen notepad eintippen => ok
Meinen Text einfügen und das ganze als CFScript.txt abspeichern.
Du musst doch nur mal genauer lesen und nicht von vornherein blockieren und Dir einreden das sei zu schwer!

Ich rede mich nicht ein das ich das nicht kann. Ich verstehe nur nicht genau was ich wo wie machen soll wegen dem ganzen Fachschagon.....
ich hab mich nunmal mit sowas noch nicht befasst, sorry.
jetzt weiss ich immer noch nicht wie es geht...

wie starte ich denn dieses Notepad oder den Editor? wo finde ich das denn????

*seufz* :(

Ich hab doch geschrrieben, dass Du auf Start => Ausführen klicken musst, notepad eintippen, ok - Lies doch mal bitte richtig, sonst kann man Dir nicht helfen. Wenn Dir das zu kompliziert ist musst Du einen Vor-Ort-Service eben herrufen, weil keine Fernhilfe machbar ist mit Dir.

So hab es dann doch kapiert und folgendes ist dabei rausgekommen:


ComboFix 09-12-30.01 - Penelope8282 31.12.2009 12:01:47.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.393 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Penelope8282\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Penelope8282\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\updates\ICQLRun.exe.91c2e91e127ccb34d0b0bbd8b0533169

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-31 ))))))))))))))))))))))))))))))
.

2009-12-31 06:39 . 2009-12-31 08:40 -------- d--h--w- c:\temp\dvmexp
2009-12-31 06:39 . 2009-12-31 06:39 -------- d-----w- C:\dvmexp
2009-12-30 14:26 . 2009-12-30 21:03 -------- d-----w- c:\programme\trend micro
2009-12-30 14:26 . 2009-12-30 14:26 -------- d-----w- C:\rsit
2009-12-30 13:24 . 2009-12-30 13:24 -------- d-----w- c:\dokumente und einstellungen\Penelope8282\Anwendungsdaten\Malwarebytes
2009-12-30 13:24 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-30 13:24 . 2009-12-30 13:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-30 13:23 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-30 13:23 . 2009-12-30 13:24 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-30 13:16 . 2009-12-30 13:16 -------- d-----w- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-31 09:17 . 2009-08-09 07:55 -------- d-----w- c:\programme\ICQ6.5
2009-12-31 06:44 . 2008-07-21 14:51 520208 ----a-w- c:\windows\system32\perfh007.dat
2009-12-31 06:44 . 2008-07-21 14:51 109606 ----a-w- c:\windows\system32\perfc007.dat
2009-12-09 20:55 . 2008-12-10 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-07 19:06 . 2009-11-05 11:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-10 10:16 . 2009-03-15 02:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-11-10 08:42 . 2009-03-15 02:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-11-05 11:27 . 2009-11-05 11:27 -------- d-----w- c:\programme\Avira
2009-11-05 11:27 . 2009-11-05 11:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-29 07:41 . 2008-07-21 14:51 832512 ------w- c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2008-07-21 14:50 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2008-07-21 14:50 17408 ----a-w- c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2008-07-21 14:51 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2008-07-21 14:50 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-14 00:23 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-14 03:09 . 2009-02-10 21:52 70008 ----a-w- c:\dokumente und einstellungen\Penelope8282\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-13 10:32 . 2008-07-21 14:51 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2008-07-21 14:51 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2008-07-21 14:51 150528 ----a-w- c:\windows\system32\rastls.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\DRIVERS\cbidf2k.sys ---
Company: Microsoft Corporation
File Description: CardBus/PCMCIA IDE Miniport Driver
File Version: 5.1.2600.0 (XPClient.010817-1148)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: cbidf2k.sys
File size: 13952
Created time: 2001-08-17 13:52
Modified time: 2001-08-17 11:52
MD5: 90A673FC8E12A79AFBED2576F6A7AAF9
SHA1: 2D93247F985EF498535BE7B95172182FF829588A


--- c:\windows\system32\drivers\PMEMNT.SYS ---
Company: Microsoft Corporation
File Description: Physical Memory Driver
File Version: 4.00
Product Name: Microsoft(R) Windows NT(TM) Operating System
Copyright: Copyright (C) Microsoft Corp. 1981-1996
Original Filename: PMEMNT.SYS
File size: 7012
Created time: 2009-02-10 21:51
Modified time: 2006-04-23 05:33
MD5: FA292805788528C083F416E151B60AB6
SHA1: F2527576354C72FA18D30FA52CE95F0152873AE1

---- Directory of C:\dvmexp ----


---- Directory of C:\QSTART.000 ----

2008-12-10 13:42 . 2009-12-14 07:05 15 ---ha-w- c:\qstart.000\user-001.dat.date
2008-12-10 13:42 . 2009-12-14 07:05 36 ---ha-w- c:\qstart.000\user-001.dat.md5
2008-12-10 13:42 . 2009-12-05 03:05 1048576 ---ha-w- c:\qstart.000\user-002.dat
2008-12-10 13:42 . 2009-12-14 07:05 15 ---ha-w- c:\qstart.000\user-002.dat.date
2008-12-10 13:42 . 2009-12-05 03:05 36 ---ha-w- c:\qstart.000\user-002.dat.md5
2008-12-10 13:42 . 2009-12-14 07:05 1048576 ---ha-w- c:\qstart.000\user-003.dat
2008-12-10 13:42 . 2009-12-14 07:05 15 ---ha-w- c:\qstart.000\user-003.dat.date
2008-12-10 13:42 . 2009-12-14 07:05 36 ---ha-w- c:\qstart.000\user-003.dat.md5
2008-12-10 13:42 . 2009-12-14 07:05 15 ---ha-w- c:\qstart.000\user-000.dat.date
2008-12-10 13:42 . 2009-12-05 03:05 36 ---ha-w- c:\qstart.000\user-000.dat.md5
2008-12-10 13:42 . 2009-12-14 07:05 33554432 ---ha-w- c:\qstart.000\user-001.dat
2008-12-10 13:42 . 2009-12-05 03:05 33554432 ---ha-w- c:\qstart.000\user-000.dat


((((((((((((((((((((((((((((( SnapShot@2009-12-30_14.47.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-21 14:51 . 2009-12-31 06:44 90074 c:\windows\system32\perfc009.dat
- 2008-07-21 14:51 . 2009-12-30 14:17 90074 c:\windows\system32\perfc009.dat
+ 2008-07-21 14:51 . 2009-12-31 06:44 491384 c:\windows\system32\perfh009.dat
- 2008-07-21 14:51 . 2009-12-30 14:17 491384 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-05-23 1146880]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2008-07-09 4456448]
"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2008-08-28 1283984]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-29 16805888]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-06-05 188416]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\Lenovo\Bluetooth Software\BTTray.exe [2008-6-23 600680]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.11.2009 12:27 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21.02.2009 12:11 54752]
R2 MDES;DVM Meta Data Export Service;c:\qstart.sys\DVMExportService.exe [28.10.2008 16:07 307200]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [10.12.2008 14:12 9472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10.12.2008 14:17 157696]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 22:48 704864]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\Lenovo\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Penelope8282\Anwendungsdaten\Mozilla\Firefox\Profiles\aubd1rwv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 12:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\SAMLIB.dll
.
Zeit der Fertigstellung: 2009-12-31 12:09:13
ComboFix-quarantined-files.txt 2009-12-31 11:09
ComboFix2.txt 2009-12-30 14:49

Vor Suchlauf: 20 Verzeichnis(se), 117.203.111.936 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 117.176.160.256 Bytes frei

- - End Of File - - F361F620C4BE4ACFC354E296D2219848



ALLES SO OKAY?????????????

Endlich, danke! :D
Logfiles ist okay. Noch Meldungen/Probleme?
Prüf mal bitte ob die Windows-Firewall aktiv ist.

Firewall hab ich aktiviert, das stellt sich immer irgendwie automatisch auf inaktiv um nach gewisser zeit aber da werd ich jetzt öfter mal schauen und aktivieren,
sonst keine Probleme bis jetzt!!!

Ist denn jetzt alles ok???

Tausend Dank!

Wegen der Firewall: Mach das gleich nochmal mit der CScript.txt, nur diesmal diesen Text benutzen und auf die cofi ziehen:

Danach sollte sich die Firewall hoffentlich nicht mehr deaktivieren ;)

So, hab das dann nochmal mit der Firewall gemacht mit folgendem Ergebnis:


ComboFix 09-12-30.02 - Penelope8282 31.12.2009 12:52:13.3.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.430 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Penelope8282\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Penelope8282\Desktop\CFScript.txt.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-31 ))))))))))))))))))))))))))))))
.

2009-12-31 06:39 . 2009-12-31 08:40 -------- d--h--w- c:\temp\dvmexp
2009-12-31 06:39 . 2009-12-31 06:39 -------- d-----w- C:\dvmexp
2009-12-30 14:26 . 2009-12-30 21:03 -------- d-----w- c:\programme\trend micro
2009-12-30 14:26 . 2009-12-30 14:26 -------- d-----w- C:\rsit
2009-12-30 13:24 . 2009-12-30 13:24 -------- d-----w- c:\dokumente und einstellungen\Penelope8282\Anwendungsdaten\Malwarebytes
2009-12-30 13:24 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-30 13:24 . 2009-12-30 13:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-30 13:23 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-30 13:23 . 2009-12-30 13:24 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-30 13:16 . 2009-12-30 13:16 -------- d-----w- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-31 09:17 . 2009-08-09 07:55 -------- d-----w- c:\programme\ICQ6.5
2009-12-31 06:44 . 2008-07-21 14:51 520208 ----a-w- c:\windows\system32\perfh007.dat
2009-12-31 06:44 . 2008-07-21 14:51 109606 ----a-w- c:\windows\system32\perfc007.dat
2009-12-09 20:55 . 2008-12-10 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-07 19:06 . 2009-11-05 11:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-10 10:16 . 2009-03-15 02:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-11-10 08:42 . 2009-03-15 02:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-11-05 11:27 . 2009-11-05 11:27 -------- d-----w- c:\programme\Avira
2009-11-05 11:27 . 2009-11-05 11:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-29 07:41 . 2008-07-21 14:51 832512 ------w- c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2008-07-21 14:50 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2008-07-21 14:50 17408 ----a-w- c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2008-07-21 14:51 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2008-07-21 14:50 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-14 00:23 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-14 03:09 . 2009-02-10 21:52 70008 ----a-w- c:\dokumente und einstellungen\Penelope8282\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-13 10:32 . 2008-07-21 14:51 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2008-07-21 14:51 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2008-07-21 14:51 150528 ----a-w- c:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-30_14.47.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-21 14:51 . 2009-12-31 06:44 90074 c:\windows\system32\perfc009.dat
- 2008-07-21 14:51 . 2009-12-30 14:17 90074 c:\windows\system32\perfc009.dat
+ 2008-07-21 14:51 . 2009-12-31 06:44 491384 c:\windows\system32\perfh009.dat
- 2008-07-21 14:51 . 2009-12-30 14:17 491384 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-05-23 1146880]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2008-07-09 4456448]
"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2008-08-28 1283984]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-29 16805888]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-06-05 188416]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\Lenovo\Bluetooth Software\BTTray.exe [2008-6-23 600680]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.11.2009 12:27 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21.02.2009 12:11 54752]
R2 MDES;DVM Meta Data Export Service;c:\qstart.sys\DVMExportService.exe [28.10.2008 16:07 307200]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [10.12.2008 14:12 9472]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10.12.2008 14:17 157696]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 22:48 704864]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\Lenovo\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Penelope8282\Anwendungsdaten\Mozilla\Firefox\Profiles\aubd1rwv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 13:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\SAMLIB.dll

- - - - - - - > 'explorer.exe'(2872)
c:\windows\system32\btmmhook.dll
c:\windows\system32\msls31.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-12-31 13:03:40
ComboFix-quarantined-files.txt 2009-12-31 12:03
ComboFix2.txt 2009-12-31 11:09
ComboFix3.txt 2009-12-30 14:49

Vor Suchlauf: 21 Verzeichnis(se), 117.226.270.720 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 117.217.202.176 Bytes frei

- - End Of File - - 69513CE68BC7AEEFB8C76995BAD7BF3A

Also ich finde den rechner heute nen bisl langsamer als gestern!!!! :crazy:

Hab schon wieder Befall gehabt!!
Hab grad Maleware gemacht!

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3454
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

31.12.2009 15:55:40
mbam-log-2009-12-31 (15-55-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 166768
Laufzeit: 56 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{2347FEDD-22E3-4128-B499-B9C92361E063}\RP264\A0055926.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Das ist ein Überbleibsel in der SWH...

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hab dieses Registry Doctor ausgeführt und der hat über 700 fehlerhafte Dateien gefunden aber ich kann diese nicht beheben, da dies kostenpflichtig ist.