Hallo Cosinus,

zu allererst, ich hab es geschafft mit dem Programm Malewarebytes, alles zu löschen. Und zwar bin ich folgendermaßen vorgegangen, ich hab anfangs alle Meldungen die im Ordner "Dokumente und Einstellungen" waren nicht mit gelöscht, da ja dort das Problem lag, dass sich das Programm immer aufgehängt hat. Danach hab ich die anderen nach und nach gelöscht bis auf 2 Meldungen, die waren aber bei einem erneuten Scan nicht mehr dabei.
Ich habe die Logfiles in einer Datei zusammengefasst und hier mal hochgeladen, falls dies etwas hilft:

http://www.file-upload.net/download-2092575/logfiles-mbam.txt.html

Und hier hab ich noch eine aktuelle Auswertung von GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-20 16:30:20
Windows 5.1.2600 Service Pack 3
Running: jblkh2my.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\uwtdipod.sys


---- System - GMER 1.0.15 ----

SSDT F857C666 ZwCreateKey
SSDT F857C65C ZwCreateThread
SSDT F857C66B ZwDeleteKey
SSDT F857C675 ZwDeleteValueKey
SSDT F857C67A ZwLoadKey
SSDT F857C648 ZwOpenProcess
SSDT F857C64D ZwOpenThread
SSDT F857C684 ZwReplaceKey
SSDT F857C67F ZwRestoreKey
SSDT F857C670 ZwSetValueKey
SSDT F857C657 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + F0 804E274C 2 Bytes [66, C6]
.text ntoskrnl.exe!_abnormal_termination + F3 804E274F 1 Byte [F8]
.text ntoskrnl.exe!_abnormal_termination + 120 804E277C 2 Bytes [5C, C6]
.text ntoskrnl.exe!_abnormal_termination + 123 804E277F 1 Byte [F8]
.text ntoskrnl.exe!_abnormal_termination + 234 804E2890 2 Bytes [48, C6]
.text ...
? shngsuhd.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\System32\drivers\hardlock.sys section is writeable [0xEE641400, 0x4C904, 0xE0000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xEE6A5A20] C:\WINDOWS\System32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xEE6A5A20]
.protectÿÿÿÿhardlockunknown last code section [0xEE6A5800, 0x548B, 0xE0000020] C:\WINDOWS\System32\drivers\hardlock.sys unknown last code section [0xEE6A5800, 0x548B, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\avmwlanstick\wlangui.exe[1232] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 011D299A
.text C:\Programme\avmwlanstick\wlangui.exe[1232] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 011D294A
.text C:\Programme\avmwlanstick\wlangui.exe[1232] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 011D290E
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 011D28F2
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!send 71A14C27 5 Bytes JMP 011D277E
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 011D2870
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!recv 71A1676F 5 Bytes JMP 011D27B6
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011D27EE
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01AF299A
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01AF294A
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01AF290E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AF28F2
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!send 71A14C27 5 Bytes JMP 01AF277E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01AF2870
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01AF27B6
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01AF27EE
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01AA299A
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01AA294A
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01AA290E
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AA28F2
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!send 71A14C27 5 Bytes JMP 01AA277E
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01AA2870
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01AA27B6
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01AA27EE
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 0134299A
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 0134294A
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 0134290E
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 013428F2
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!send 71A14C27 5 Bytes JMP 0134277E
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01342870
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!recv 71A1676F 5 Bytes JMP 013427B6
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 013427EE
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 023828F2
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!send 71A14C27 5 Bytes JMP 0238277E
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02382870
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!recv 71A1676F 5 Bytes JMP 023827B6
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 023827EE
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 0238299A
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 0238294A
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 0238290E
.text C:\WINDOWS\explorer.exe[2256] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 022D299A
.text C:\WINDOWS\explorer.exe[2256] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 022D294A
.text C:\WINDOWS\explorer.exe[2256] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 022D290E
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!closesocket 71A13E2B 3 Bytes JMP 022D28F2
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!closesocket + 4 71A13E2F 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!send 71A14C27 3 Bytes JMP 022D277E
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!send + 4 71A14C2B 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSARecv 71A14CB5 3 Bytes JMP 022D2870
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSARecv + 4 71A14CB9 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!recv 71A1676F 3 Bytes JMP 022D27B6
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!recv + 4 71A16773 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSASend 71A168FA 3 Bytes JMP 022D27EE
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSASend + 4 71A168FE 1 Byte [90]
.text C:\WINDOWS\System32\alg.exe[3276] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00B4299A
.text C:\WINDOWS\System32\alg.exe[3276] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00B4294A
.text C:\WINDOWS\System32\alg.exe[3276] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00B4290E
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B428F2
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B4277E
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B42870
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B427B6
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B427EE

---- Devices - GMER 1.0.15 ----

Device \Driver\ACPI \Device\00000041 82DBFC40
Device \Driver\ACPI \Device\00000042 82DBFC40
Device \Driver\ACPI \Device\00000050 82DBFC40
Device \Driver\ACPI \Device\00000051 82DBFC40
Device \Driver\ACPI \Device\00000052 82DBFC40
Device \Driver\ACPI \Device\00000045 82DBFC40
Device \Driver\ACPI \Device\00000053 82DBFC40
Device \Driver\ACPI \Device\00000046 82DBFC40
Device \Driver\ACPI \Device\00000054 82DBFC40
Device \Driver\ACPI \Device\00000060 82DBFC40
Device \Driver\ACPI \Device\00000047 82DBFC40
Device \Driver\ACPI \Device\00000061 82DBFC40
Device \Driver\ACPI \Device\00000063 82DBFC40
Device \Driver\ACPI \Device\00000057 82DBFC40
Device \Driver\ACPI \Device\00000064 82DBFC40
Device \Driver\ACPI \Device\00000058 82DBFC40
Device \Driver\ACPI \Device\00000065 82DBFC40
Device \Driver\ACPI \Device\00000059 82DBFC40
Device \Driver\ACPI \Device\0000004c 82DBFC40
Device \Driver\ACPI \Device\0000005a 82DBFC40
Device \Driver\ACPI \Device\0000005b 82DBFC40
Device \Driver\ACPI \Device\0000004f 82DBFC40

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----v

So ich hoffe es passt alles so.

BTW zur Zeit ist googel wieder brav.

Gruß
engeltom

Combofix ist endlich wieder online. Mach damit bitte einen Durchlauf:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo cosinus,

sry, dass es so lange gedauert hat. Hatte noch ne wichtige Prüfung an der Uni und über Weihnachten war ich weg.

Habe ComboFix ausgeführt, wie du geschrieben hast. Hier die Logfile.

ComboFix 09-12-27.02 - *** 28.12.2009 8:43.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.288 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_nav.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_navps.dat
c:\programme\Mozilla Firefox\searchplugins\search.xml
c:\windows\system\oeminfo.ini
c:\windows\system32\ewfoblkl.ini
c:\windows\system32\foyiydtl.ini
c:\windows\system32\gagjeftj.ini
c:\windows\system32\gegmqdhr.ini
c:\windows\system32\golhbdng.ini
c:\windows\system32\iuekdxtb.ini
c:\windows\system32\kjjisqto.ini
c:\windows\system32\kRBJkUtv.ini
c:\windows\system32\kRBJkUtv.ini2
c:\windows\system32\kxqnhjwc.ini
c:\windows\system32\lbrwmqpm.ini
c:\windows\system32\motoymrh.ini
c:\windows\system32\nljvjwek.ini
c:\windows\system32\odygflfn.ini
c:\windows\system32\ohoyrljo.ini
c:\windows\system32\opygwrql.ini
c:\windows\system32\piaicagw.ini
c:\windows\system32\psyjqjgm.ini
c:\windows\system32\qlbkddpi.ini
c:\windows\system32\rkofcmrm.ini
c:\windows\system32\tilnhxcj.ini
c:\windows\system32\tqhirske.ini
c:\windows\system32\ycswmtig.ini

.
original MBR restored successfully !
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 ))))))))))))))))))))))))))))))
.

2009-12-21 05:23 . 2009-12-21 05:23 -------- d--h--w- c:\windows\$hf_mig$
2009-12-20 16:13 . 2009-12-20 16:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-20 16:12 . 2009-12-20 16:12 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-12-20 16:12 . 2009-12-20 16:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-17 13:06 . 2009-12-17 13:06 -------- d-----w- c:\programme\trend micro
2009-12-17 13:06 . 2009-12-17 13:06 -------- d-----w- C:\rsit
2009-12-16 20:29 . 2009-12-16 20:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-16 20:28 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-16 20:28 . 2009-12-16 20:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-16 20:28 . 2009-12-16 20:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-16 20:28 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-16 20:02 . 2009-12-16 20:02 -------- d-----w- c:\programme\CCleaner
2009-12-16 19:22 . 2009-12-16 19:22 -------- d-----w- c:\programme\TrendMicro
2009-12-15 21:19 . 2001-08-17 12:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys
2009-12-15 21:19 . 2001-08-17 12:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys
2009-12-15 21:19 . 2001-08-17 12:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys
2009-12-15 21:18 . 2001-08-17 12:47 6272 ----a-w- c:\windows\system32\dllcache\apmbatt.sys
2009-12-15 21:18 . 2002-08-28 21:59 36224 ----a-w- c:\windows\system32\dllcache\an983.sys
2009-12-15 21:18 . 2001-08-17 12:52 12032 ----a-w- c:\windows\system32\dllcache\amsint.sys
2009-12-15 21:18 . 2001-08-17 12:51 5248 ----a-w- c:\windows\system32\dllcache\aliide.sys
2009-12-15 21:18 . 2001-08-17 11:11 16969 ----a-w- c:\windows\system32\dllcache\amb8002.sys
2009-12-15 21:18 . 2001-08-17 12:49 26624 ----a-w- c:\windows\system32\dllcache\alifir.sys
2009-12-15 21:18 . 2001-08-17 11:11 27678 ----a-w- c:\windows\system32\dllcache\ali5261.sys
2009-12-15 21:18 . 2001-08-17 13:07 56960 ----a-w- c:\windows\system32\dllcache\aic78xx.sys
2009-12-15 21:18 . 2001-08-17 13:07 55168 ----a-w- c:\windows\system32\dllcache\aic78u2.sys
2009-12-15 21:18 . 2001-08-17 12:52 12800 ----a-w- c:\windows\system32\dllcache\aha154x.sys
2009-12-15 21:14 . 2001-08-18 03:52 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2009-12-15 20:47 . 2009-12-15 20:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-12-15 20:47 . 2009-12-15 20:47 -------- d-----w- c:\programme\Security Task Manager
2009-12-15 20:45 . 2009-12-15 20:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-20 20:27 . 2009-12-20 16:14 52224 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2009-12-20 16:14 . 2009-12-20 16:14 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-16 19:22 . 2009-12-16 19:22 388096 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-15 20:48 . 2009-12-15 20:48 256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_9040580900063D11C8EF10054038389C.dll
2009-12-15 20:47 . 2009-12-15 20:47 1084 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109E60070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109C20070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 74 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109B10070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 180 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109A10070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 60 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109910070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 108 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109810070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 92 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109610070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 423 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109020090400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 107 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109510070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 108 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109010070400000000000F01FEC.dll
2009-12-10 06:44 . 2002-11-21 09:59 85214 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 06:44 . 2002-11-21 09:59 460658 ----a-w- c:\windows\system32\perfh007.dat
2009-12-08 06:45 . 2009-05-15 16:54 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-04 22:06 . 2009-11-04 22:06 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-11-04 22:02 . 2009-11-04 22:02 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-10-29 07:40 . 2002-08-29 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-24 08:29 . 2005-03-15 15:33 28256 ----a-w- c:\windows\system32\drivers\MxlW2k.sys
2009-10-22 05:05 . 2007-10-06 09:01 92968 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-21 05:38 . 2009-02-04 18:20 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2009-02-04 18:20 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2009-02-04 18:21 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-15 17:16 . 2009-10-15 17:16 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-10-13 10:32 . 2002-08-29 11:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2002-08-29 11:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2002-08-29 11:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-09-30 20:59 . 2009-09-30 20:59 152576 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-05-01 22:02 . 2009-05-01 22:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 22:02 . 2009-05-01 22:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-28 1454080]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-10-08 1783808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
2003-01-15 11:58 26112 ----a-w- c:\programme\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 04:23 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ACE Mega CoDecS Pack\\Media Player Classic\\mplayerc.exe"=
"c:\\Programme\\ACE Mega CoDecS Pack\\UtilitieS\\WMDiag.exe"=
"c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"19897:TCP"= 19897:TCP:BitComet 19897 TCP
"19897:UDP"= 19897:UDP:BitComet 19897 UDP
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"8127:TCP"= 8127:TCP:Services
"8112:TCP"= 8112:TCP:Services

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [08.10.2008 18:50 141312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 17:54 108289]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.09.2008 17:17 265088]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?]
S1 sbpcint4;SB AudioPCI 128;c:\windows\system32\DRIVERS\sbpcint4.sys --> c:\windows\system32\DRIVERS\sbpcint4.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [25.09.2008 17:17 4352]
S3 FileObjInfo;STFileDriver;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys [08.10.2008 18:50 5632]
S4 uscsc108;uscsc108;c:\windows\system32\DRIVERS\uscsc108.sys --> c:\windows\system32\DRIVERS\uscsc108.sys [?]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uSearchMigratedDefaultURL = hxxp://w*w.Google.com/
mSearchMigratedDefaultURL = hxxp://w*w.Google.com/
uInternet Settings,ProxyOverride = localhost
mSearchURL = hxxp://w*w.Google.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Croc - c:\programme\Fox\Croc\Uninst.isu



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2009-12-28 08:52
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????I?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2188)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Spyware Terminator\sp_rsser.exe
c:\windows\wanmpsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-28 08:58:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-28 07:58

Vor Suchlauf: 22 Verzeichnis(se), 25.313.017.856 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 25.355.976.704 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - CB7AEFA943F88DD7BEC75768697B803F



Vielen Dank für die Geduld und die Unterstützung.
Gruß
engeltom

Mir fällt jetzt erst auf, dass Dein System nur auf FAT32 und nicht NTFS läuft. FAT32 hat mehrere Nachteile, Du kannst aber ohne Datenverlust nach NTFS konvertieren. Mehr dazu später.


Ich weiß nicht was ich von diesem versteckten Eintrag halten soll. Die c:\windows\htpatch.exe ist eigentlich keine schädliche Datei, sieht hier aber verdächtig aus. Werte sie bitte bei Virustotal.com aus und poste den Ergebnislink.

Ich hab es jetzt mehrmals probiert. Entweder ich mach was falsch, oder es funktioniert im Moment nicht.

Es kommt immer folgende Seite, nachdem ich die Datei hochgeladen hab und dann auf senden klicke:

http://www.virustotal.com/de/reanalisis.html?e148f5035abcc8f33d69c867073a6501c9bc76b75f331a4a60a21e2d2b08bd9c-1261989383

Das ist so, weil die Datei schonmal non jmd. anders hochgeladen wurde. Dann kann man sich die Ergebnisse anzeigen oder nochmal auswerten lassen. Die htpatch scheint aber ok zu sein.

Oh, jetzt hab ich es. Eines meiner Addons hat da was blockiert.

Hier der Link:

http://www.virustotal.com/de/analisis/e148f5035abcc8f33d69c867073a6501c9bc76b75f331a4a60a21e2d2b08bd9c-1261989808

Ja, die Datei scheint sauber zu sein, der eine Fund ist ein Fehlalarm.

• Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Hi cosinus,
funktioniert irgendwie nicht, egal wie ich es auch eingebe. Hab sogar schon versucht den Datenträger umzubennen und diesen Namen zu benutzen. Trotzdem kommt immer wieder "Ungültige Laufwerkangabe". Hab es auch mit und ohne leer in sämtlichen Kombinationen versucht.
Gruß
Thomas

Nimm die Bezeichnung mal für das Laufwerk raus. Wenn convert nachfragt, einfach nix reinschreiben und mit Enter bestätigen, oder hast Du das schon probiert?

Hallo consinus,
funktioniert leider noch immer nicht.

Hab hier mal zwei Bilder hochgeladen, vielleicht hilft das ja bei der Problemlösung.
Einmal von meinem Arbeitsplatz:
http://www11.file-upload.net/thumb/2...49v31r6ttb.JPG


und einmal von dem "cmd":
http://www11.file-upload.net/thumb/2...qwze5aeweo.JPG

Danke und Gruß
Thomas

Du hast den Befehl falsch eingetippt :D

FALSCH: convert c: \fs:ntfs

RICHTIG: convert c: /fs:ntfs

Das ist jetzt fast ein bisschen peinlich. Aber egal. Es hat geklappt und gar nicht so lang gedauert wie ich befürchtet hatte.
Danke schonmal.

Das kommt schon vor, ist nicht schlimm :D
Wie verhält sich Dein PC denn jetzt?

Naja, wesentliche Veränderungen gabe es nicht. Bei der ganzen Bereinigungsaktion ist mir aber aufgefallen, dass er jetzt wieder schneller arbeitet. Der PC ist auch schon 8-9 Jahre alt. Deshalb hat sich sehr viel "Müll" angesammelt, der das System wohl ganz schön beeinträchtigt hat.

Google hat sich bisher auch nicht mehr verändert und leitet mich wieder normal weiter.

Ich bedanke mich auf jedenfall schonmal recht herzlich für die super Unterstützung und der ganzen Hilfe. Was ich dabei gelernt habe ist echt beträchtlich. Und ich hoffe, das mein PC demnächst etwas von diesen ganzen Plagegeistern verschont bleibt.
Gruß
Thomas